Mikrosegmentierung mit Policy-Modellen: Tags, Labels und Service Maps

Mikrosegmentierung mit Policy-Modellen ist eine der wirksamsten Antworten auf moderne Angriffsrealitäten in IT-Netzwerken: Angreifer müssen nicht mehr „von außen“ kommen, um Schaden anzurichten. Häufig beginnt ein Vorfall mit kompromittierten Credentials, einem infizierten Endpoint oder einer ungepatchten Anwendung – und setzt sich dann als East-West-Bewegung fort, also lateral zwischen Workloads, Servern und Services. Genau hier greift…

Privileged Access Management im Netzwerk: Sessions, Recording, JIT

Privileged Access Management im Netzwerk ist einer der wirksamsten Hebel, um Security und Auditierbarkeit gleichzeitig zu verbessern. Denn in der Netzwerktechnik entscheiden privilegierte Zugänge über alles: Wer auf Firewalls, Switches, Router, Load Balancer, NAC-Systeme, DNS/DHCP/IPAM, VPN-Gateways und Cloud-Networking zugreifen kann, kann Regeln verändern, Traffic umleiten, Segmentierung aufheben, Logs deaktivieren und im Extremfall ganze Standorte lahmlegen.…

Microsegmentation mit Kubernetes: Network Policies, mTLS und Gateways

Microsegmentation mit Kubernetes ist heute eine Kernkompetenz für moderne Netzwerksecurity, weil Container-Plattformen die klassischen Annahmen von Netzsegmentierung auf den Kopf stellen: IPs sind kurzlebig, Workloads skalieren dynamisch, Services kommunizieren oft East-West über Cluster-Overlay-Netze, und ein großer Teil des Traffics läuft verschlüsselt über HTTP/2 oder gRPC. Wer in dieser Welt weiterhin mit statischen IP-Listen und groben…

Compliance Frameworks: ISO 27001, NIS2, PCI DSS in Firewall Controls übersetzen

Compliance Frameworks wirken auf den ersten Blick abstrakt: ISO 27001 spricht von Managementsystemen und Kontrollen, NIS2 von risikobasierten Maßnahmen und Meldepflichten, PCI DSS von Anforderungen für Zahlungsdaten. In der Praxis landen viele dieser Vorgaben jedoch sehr konkret im Netzwerk – und damit in Firewall Controls. Genau hier scheitern viele Programme: Entweder wird „Compliance“ als Dokumentationsübung…

Threat Intelligence Feeds: Enrichment ohne Alert-Fatigue

Threat Intelligence Feeds sind für viele Security-Teams der schnellste Weg, externe Erkenntnisse in die eigene Erkennung zu bringen: bösartige IPs, Domains, URL-Muster, Dateihashes, Signaturen, TTPs (Tactics, Techniques and Procedures) und Kampagnenkontext. In der Praxis scheitert der Nutzen jedoch häufig an einem bekannten Problem: Alert-Fatigue. Wenn jede neue IOC-Liste (Indicator of Compromise) sofort zu tausenden Treffern…

Geo-IP Policies: Sinnvoller Einsatz und häufige Fehlannahmen

Geo-IP Policies sind in vielen Unternehmen ein beliebtes Werkzeug, um Netzwerkzugriffe „einfach“ zu steuern: Bestimmte Länder werden blockiert, andere zugelassen, und schon wirkt die Angriffsfläche kleiner. In der Realität sind Geo-IP Policies jedoch ein zweischneidiges Schwert. Richtig eingesetzt können sie tatsächlich Risiko reduzieren, Incident-Triage beschleunigen und Compliance-Anforderungen unterstützen. Falsch eingesetzt führen sie dagegen zu trügerischer…

DNS Security: Protective DNS, Sinkholes und Detection Patterns

DNS Security ist in modernen IT-Netzwerken ein zentraler Hebel, weil nahezu jede Kommunikation mit einer Namensauflösung beginnt – egal ob Web, SaaS, Updates, API-Calls oder Command-and-Control (C2) von Malware. Genau deshalb ist DNS gleichzeitig ein bevorzugter Angriffsvektor und ein hervorragender Sensor: Angreifer nutzen DNS für Phishing, für die Infrastruktursteuerung von Botnetzen, für Datenabfluss (DNS Tunneling)…

Egress Filtering: Data Exfiltration und C2 Traffic blockieren

Egress Filtering ist eine der wirkungsvollsten, aber am häufigsten vernachlässigten Sicherheitsmaßnahmen in Enterprise-Netzwerken. Während viele Architekturen stark auf Ingress-Schutz (WAF, IDS/IPS, DDoS, Perimeter-Firewalls) fokussieren, findet ein großer Teil moderner Angriffe im Inneren statt: kompromittierte Endgeräte, gestohlene Credentials, laterale Bewegung und schließlich Command-and-Control (C2) sowie Data Exfiltration nach außen. Genau an diesem Punkt entscheidet sich, ob…

Network Security Monitoring: Logs, NetFlow/IPFIX und Telemetry kombinieren

Network Security Monitoring ist nur dann wirklich wirksam, wenn Sie mehrere Datenquellen zusammenführen: klassische Logs (Firewall, VPN, DNS, Proxy), Flow-Daten wie NetFlow/IPFIX und moderne Telemetrie (Streaming Telemetry, SNMP-Alternativen, Cloud Flow Logs). Jede einzelne Quelle liefert nur einen Ausschnitt: Logs sind detailreich, aber selektiv; NetFlow/IPFIX ist skalierbar, aber eher „wer spricht mit wem“; Telemetry zeigt Zustand…

SIEM Integration: Firewall Logs korrelieren und priorisieren

Eine saubere SIEM Integration ist heute der Unterschied zwischen „wir haben viele Firewall Logs“ und „wir erkennen Angriffe früh, priorisieren richtig und reagieren kontrolliert“. Firewalls und Next-Gen Firewalls (NGFW) sind zentrale Kontrollpunkte im Netzwerk: Sie entscheiden über Allow/Deny, führen NAT aus, kennen Zonenpfade, sehen Applikationssignaturen, TLS-Events und oft auch Benutzer- oder Geräte-Kontext. Gleichzeitig erzeugen sie…