SNI, ALPN und Fingerprinting: Nützliche TLS-Telemetrie für SecOps

SNI, ALPN und Fingerprinting gehören heute zu den wichtigsten Bausteinen, wenn SecOps trotz zunehmender Verschlüsselung (TLS 1.3, QUIC, HTTP/3) belastbare Netzwerksignale gewinnen will. Während Payload-Inspection in vielen Umgebungen technisch, organisatorisch oder rechtlich eingeschränkt ist, liefert die TLS-Aushandlung selbst eine erstaunlich reiche Telemetrie: Welche Domain wird angefragt, welches Applikationsprotokoll wird verhandelt, welche Cipher Suites und Extensions…

Session Fixation: Wie es passiert und wie man es verhindert

Session Fixation ist eine der am häufigsten unterschätzten Ursachen für Account-Übernahmen in Webanwendungen – gerade weil sie oft „leise“ passiert und in Logs nicht wie ein klassischer Angriff aussieht. Während viele Teams den Fokus auf Passwortschutz, MFA und TLS legen, bleibt ein entscheidender Punkt manchmal unzureichend abgesichert: die Frage, ob eine Sitzung nach dem Login…

Session Hijacking im internen Netzwerk: Evidence von L2 bis L7 verbinden

Session Hijacking im internen Netzwerk ist für viele Organisationen unangenehm, weil es oft nicht wie ein „klassischer“ Angriff aussieht: Keine lauten Exploits, keine auffälligen Malware-Signaturen, sondern eine scheinbar legitime Session, die plötzlich falsche Dinge tut. Gerade im LAN oder im Campus-Netz wirken die Rahmenbedingungen „vertrauenswürdig“: geringe Latenz, viele nicht segmentierte Broadcast-Domänen, interne DNS- und Authentifizierungsdienste,…

Kerberos-Ticket-Abuse: Mapping auf die Session Layer für IR

Kerberos-Ticket-Abuse ist in vielen Windows-Enterprise-Umgebungen einer der häufigsten Wege, wie Angreifer sich seitwärts bewegen, Privilegien ausweiten oder persistente Zugriffe sichern – ohne ständig Passwörter zu tippen. Genau deshalb ist Kerberos für Incident Response (IR) so wichtig: Tickets sind faktisch „Sitzungsartefakte“. Wer ein Ticket kontrolliert, kann oft wie ein legitimer Nutzer oder Dienst auftreten, selbst wenn…

VPN-Session-Abuse: Von Credential Stuffing bis Session Persistence

VPN-Session-Abuse ist längst kein Nischenthema mehr, sondern ein wiederkehrendes Muster in echten Enterprise-Incidents: Angreifer zielen nicht nur auf den initialen Login ab, sondern auf die „Sitzung“ selbst – also auf das, was nach der Authentifizierung bestehen bleibt. Während Passwortschutz und MFA häufig im Vordergrund stehen, werden Session-Lebenszyklen, Token-Handling, Re-Authentication-Regeln, Gerätebindung und Telemetrie oft zu wenig…

Remote-Access-Session-Monitoring: Was muss zwingend geloggt werden?

Remote-Access-Session-Monitoring entscheidet in vielen Organisationen darüber, ob ein Incident innerhalb von Minuten eingegrenzt oder über Tage „im Nebel“ gesucht wird. Remote Access ist heute weit mehr als ein klassisches VPN: ZTNA-Gateways, SASE/Proxy-Zugänge, VDI, RDP-Jump-Hosts, Bastion-Hosts, Privileged Access Workstations und Cloud-Identity-Provider bilden zusammen eine Zugriffskette, in der die eigentliche Sicherheitsentscheidung häufig auf Session-Ebene fällt. Genau deshalb…

Layer-4-Security: Connection-basierte Angriffe und State-Exhaustion

Layer-4-Security wird oft erst dann ernst genommen, wenn es weh tut: Wenn öffentliche Services trotz „genug Bandbreite“ nicht mehr erreichbar sind, wenn Load Balancer in einen Failover-Zustand kippen oder wenn Firewalls plötzlich legitimen Traffic droppen, weil ihre State-Tabellen voll sind. Genau hier setzt das Thema connection-basierte Angriffe und State-Exhaustion an. Im Gegensatz zu reinen Volumenangriffen…

SMB/LDAP Session Enumeration: Subtile Recon-Signale

SMB/LDAP Session Enumeration gehört zu den subtilsten Reconnaissance-Mustern in Windows-dominierten Unternehmensnetzen. Anders als lautes Port-Scanning oder offensichtliche Brute-Force-Versuche wirkt diese Form der Erkundung oft „administrativ“: Es werden Sitzungen, Freigaben, Benutzer- und Gruppeninformationen abgefragt, häufig mit gültigen Credentials und in kleinen Häppchen, um nicht aufzufallen. Genau das macht sie gefährlich. SMB (Server Message Block) liefert Angreifern…

SYN Flood vs. Connection Exhaustion: Unterscheidung anhand von Telemetrie

SYN Flood vs. Connection Exhaustion zu unterscheiden ist eine der wichtigsten Fähigkeiten in der operativen Netzwerksicherheit, weil beide Muster auf den ersten Blick gleich wirken können: Nutzer melden „Service nicht erreichbar“, Monitoring zeigt steigende Fehlerquoten, und die erste Reaktion lautet oft „DDoS“. In der Praxis sind es jedoch zwei unterschiedliche Problemklassen, die andere Telemetrie-Signale, andere…

RDP-Session-Security: Lateral Movement aus Session-Patterns erkennen

RDP-Session-Security ist in vielen Unternehmen der stille Dreh- und Angelpunkt zwischen produktiver Administration und riskanter Angriffsfläche. Remote Desktop Protocol (RDP) wird für Serverbetrieb, Helpdesk-Aufgaben, Wartung von Legacy-Systemen, Jump-Host-Konzepte und manchmal sogar für Applikationszugriff genutzt. Genau diese Normalität macht RDP für Angreifer attraktiv: Wenn ein Konto oder ein Endpunkt kompromittiert ist, lässt sich über RDP schnell…