API-Attack-Surface kontinuierlich messen

API-Attack-Surface kontinuierlich messen ist eine der wirksamsten Maßnahmen, um Sicherheitsrisiken in modernen Architekturen früh zu erkennen, bevor sie sich zu Vorfällen entwickeln. APIs wachsen oft schneller als die dazugehörigen Kontrollen: neue Microservices, neue Versionen, zusätzliche Endpoints für Mobile-Apps, Partner-Integrationen, interne „Helper“-Routen, Schatten-Deployments oder temporäre Debug-Funktionen. Genau hier entsteht Angriffsfläche – nicht nur durch „klassische“ Schwachstellen,…

Bot-Mitigation: Bösartige Bots vs. legitime Automation unterscheiden

Bot-Mitigation ist heute weniger ein „Blocke alle Bots“-Problem als eine Präzisionsaufgabe: Bösartige Bots müssen zuverlässig erkannt und gestoppt werden, während legitime Automation weiterhin funktionieren soll. In der Praxis konkurrieren beide oft um dieselben Ressourcen und sehen sich in Telemetrie zunächst ähnlich: hohe Request-Raten, wiederholte Pfade, API-Nutzung statt Browser-Interaktion, wechselnde IPs oder Headless-Clients. Der entscheidende Unterschied…

Canary Rules für WAF: Sicheres Rollout

Canary Rules für WAF: Sicheres Rollout ist eine der effektivsten Methoden, um den Schutz einer Web Application Firewall (WAF) zu verbessern, ohne dabei Verfügbarkeit oder Conversion durch unnötige Blockierungen zu gefährden. In der Praxis scheitern WAF-Änderungen selten an der Idee „mehr Schutz“, sondern an der operativen Umsetzung: Eine neue Regel trifft plötzlich einen legitimen Checkout-Flow,…

Layer-7-DDoS: Detection über Request-Raten und Muster

Layer-7-DDoS (auch „Application-Layer-DDoS“ oder „HTTP-Flood“) zielt nicht primär auf Bandbreite, sondern auf Applikations- und Plattformressourcen: CPU, Threads, Connection Pools, Datenbank-Queries, Cache-Misses, Upstream-Dependencies oder Rate-Limits von Drittanbietern. Das Erkennen solcher Angriffe ist anspruchsvoll, weil Layer-7-Traffic zunächst wie „normaler“ Web-Traffic aussieht: echte HTTP-Requests, valide URLs, scheinbar legitime User-Agents und oft sogar erfolgreiche Statuscodes. Die beste Detection kombiniert…

Post-Incident-Tuning: Rules smarter machen

Post-Incident-Tuning: Rules smarter machen ist der Schritt, der nach einem Security-Vorfall aus reiner Reaktion echte Resilienz macht. Direkt nach der Eindämmung ist die Versuchung groß, „mehr zu blocken“ oder Alarmregeln pauschal zu verschärfen. Genau hier entstehen jedoch die typischen Folgeprobleme: False Positives explodieren, Teams ignorieren Alerts, wichtige Signale gehen im Rauschen unter, und die nächste…

OAuth/OIDC-Misuse: Threat Model für moderne Implementierungen

Ein sauberes Threat Model für moderne Authentifizierung und Autorisierung beginnt heute fast immer bei OAuth 2.0 und OpenID Connect (OIDC). Beide Standards sind etabliert, werden aber in der Praxis häufig „missbraucht“ – nicht aus böser Absicht, sondern weil Teams Flows vermischen, Defaults übernehmen oder einzelne Schutzmechanismen (State, PKCE, Nonce, Audience, Token-Bindung) als optional behandeln. Genau…

SSRF und Cloud Metadata: Warum es gefährlich ist

SSRF (Server-Side Request Forgery) gehört zu den gefährlichsten Schwachstellen in Cloud-Umgebungen, weil sie eine scheinbar harmlose Funktion (z. B. „URL prüfen“, „Bild von einer URL laden“, „Webhook auslösen“) in einen internen Netzwerk-Proxy verwandeln kann. Besonders kritisch wird SSRF, wenn der betroffene Workload Zugriff auf Cloud-Metadaten hat: Cloud-Provider stellen über lokale Metadata-Services Informationen und temporäre Zugangsdaten…

DNS Tunneling: Detection über Query-Patterns

DNS Tunneling ist eine Technik, bei der Daten über DNS-Anfragen und -Antworten transportiert werden, um Sicherheitskontrollen zu umgehen oder Exfiltration zu ermöglichen. Weil DNS in nahezu jedem Netzwerk „immer funktionieren muss“, wird es häufig weniger streng gefiltert und überwacht als HTTP(S). Genau das macht DNS Tunneling so attraktiv: Ein kompromittierter Host kann Daten in Subdomains…

Cache Poisoning: Szenarien und Mitigation

Cache Poisoning bezeichnet Angriffe, bei denen ein Angreifer einen Cache mit manipulierten oder falschen Inhalten „vergiftet“, sodass nachfolgende Nutzer oder Systeme statt der korrekten Daten eine vom Angreifer kontrollierte Antwort erhalten. In der Praxis begegnet Ihnen Cache Poisoning vor allem in zwei Welten: als DNS-Cache-Poisoning (falsche Namensauflösung) und als Web-Cache-Poisoning (falsche HTTP-Antworten im CDN/Reverse-Proxy/Shared Cache).…

E-Mail-Security (SMTP): Nützliche Telemetrie für IR

E-Mail-Security (SMTP) ist für Incident Response (IR) oft der schnellste Weg, um den Ursprung, die Reichweite und die technische Mechanik eines Angriffs zu verstehen. Während Endpoint- und Web-Telemetrie häufig erst nachgelagert Hinweise liefert, entsteht im Mailfluss bereits eine sehr dichte Spur: Verbindungsdaten, Authentifizierungsresultate, Zustellpfade, Inhaltsmerkmale, Policy-Entscheidungen und nachgelagerte Benutzeraktionen. Genau diese Telemetrie ist nützlich, weil…