802.1X für Einsteiger (Security): Architektur, Flow und Best Practices

802.1X ist ein Standard für portbasierte Netzwerkzugangskontrolle und gehört zu den wirksamsten Security-Baselines im Enterprise-Access-Netz – sowohl kabelgebunden (Switchport) als auch im WLAN. Für Einsteiger wirkt 802.1X zunächst komplex, weil mehrere Komponenten zusammenspielen: Endgerät, Switch oder Access Point, ein RADIUS-Server sowie Zertifikate und Identitäten. Der Nutzen ist jedoch sehr konkret: Ein Gerät erhält erst dann…

NAC-Deployment: Stufenweiser Rollout ohne Ops zu stören

Ein erfolgreiches NAC-Deployment (Network Access Control) entscheidet sich selten an der Lizenz oder der „besten“ Plattform, sondern an der Art, wie Sie es in den Betrieb bringen. NAC greift direkt in den Netzwerkzugang ein – also in genau den Bereich, in dem Ausfälle sofort sichtbar werden: Benutzer kommen nicht ins Netz, Drucker drucken nicht, IoT-Geräte…

NAC-Bypasses beheben: Typische Szenarien und Countermeasures

NAC-Bypasses beheben ist ein Thema, das viele Teams erst dann ernst nehmen, wenn trotz „ausgerolltem NAC“ plötzlich unbekannte Geräte im Produktionsnetz auftauchen oder Segmentierungsregeln umgangen werden. Das ist kein Widerspruch: Network Access Control ist nur so stark wie seine schwächste Ausnahmeregel, sein Fallback-Design und die Konsequenz im Enforcement. In der Praxis entstehen NAC-Bypasses selten durch…

Rogue Switch / Rogue AP erkennen: IR-Prozess im LAN

Einen Rogue Switch oder einen Rogue AP im LAN zu erkennen, gehört zu den Vorfällen, die im Alltag unterschätzt werden: Oft sieht zunächst alles „normal“ aus, bis es plötzlich zu ARP-Anomalien, DHCP-Problemen, unerklärlichen Latenzspitzen oder Security-Alerts kommt. In vielen Fällen ist der Auslöser banal – ein Mitarbeiter steckt einen günstigen 5-Port-Switch unter den Schreibtisch, ein…

IoT-Segmentierung: Sichere und praktikable VLAN/ACL-Designs

IoT-Segmentierung ist eine der wirksamsten Maßnahmen, um Sicherheitsrisiken durch vernetzte Geräte zu begrenzen, ohne den Betrieb zu blockieren. In realen Umgebungen treffen jedoch gegensätzliche Anforderungen aufeinander: IoT-Geräte sind oft schwer zu patchen, sprechen proprietäre Protokolle, nutzen Cloud-Dienste und verhalten sich in Netzen „laut“ (Broadcasts, Multicast, häufige DNS- oder NTP-Requests). Gleichzeitig müssen sie zuverlässig funktionieren –…

Wireless MITM: Evil Twin & praxisnahe Detection für SecOps

Wireless MITM ist für SecOps besonders tückisch, weil der Angriff nicht zwingend „laut“ sein muss: Ein sauber umgesetzter Man-in-the-Middle über WLAN kann Nutzer unbemerkt auf ein falsches Funknetz lenken, Sessions umleiten und Anmeldedaten oder Tokens abgreifen – ohne dass klassische Perimeter-Kontrollen sofort anschlagen. Der bekannteste Praxisfall ist der Evil Twin: Ein Angreifer betreibt einen Access…

Netzwerkrisiken auf OSI-Layer mappen: Risk-Register-Template

Netzwerkrisiken auf OSI-Layer mappen ist eine der schnellsten Methoden, um ein belastbares Risk-Register aufzubauen, das sowohl für Security Engineering als auch für Audit, Betrieb und Management verständlich bleibt. Viele Risk Registers scheitern in der Praxis daran, dass Risiken zu abstrakt beschrieben werden („Netzwerk unsicher“) oder zu toolzentriert sind („Firewall fehlt“), ohne den technischen Ort der…

Audit Evidence für Network Security: Was muss belegbar sein?

Audit Evidence für Network Security bedeutet: Sie können gegenüber Auditoren, internen Prüfern oder Kunden nachvollziehbar belegen, dass Ihre Netzwerk-Sicherheitskontrollen existieren, wirksam sind und im Betrieb dauerhaft eingehalten werden. In der Praxis scheitern Audits selten daran, dass „nichts umgesetzt“ wurde, sondern daran, dass Nachweise fehlen, unvollständig sind oder nicht den richtigen Zeitraum abdecken. Besonders im Netzwerk…

OSI-Modell für Security Architecture Reviews: Pflichtfragen pro Layer

Das OSI-Modell für Security Architecture Reviews ist ein äußerst praktisches Werkzeug, um Architekturentscheidungen systematisch zu prüfen – unabhängig davon, ob es um On-Premises-Netze, Cloud-Setups, hybride Umgebungen oder servicebasierte Plattformen geht. In vielen Reviews verlaufen Diskussionen entweder zu abstrakt („Zero Trust einführen“) oder zu toolzentriert („Wir brauchen eine WAF“), ohne klar zu machen, wo eine Kontrolle…

Zero Trust aus OSI-Perspektive: Reale Controls statt Buzzword

Zero Trust aus OSI-Perspektive ist ein wirkungsvoller Ansatz, um aus dem Schlagwort „Zero Trust“ ein umsetzbares Sicherheitsprogramm zu machen. In der Praxis scheitert Zero Trust oft daran, dass es als Produktkategorie oder als abstraktes Prinzip behandelt wird („never trust, always verify“), ohne klar zu definieren, welche Kontrollen wo technisch greifen und wie deren Wirksamkeit nachgewiesen…