E-Mail-Security (SMTP/IMAP): Threats auf OSI Layer 7 mappen

E-Mail-Security (SMTP/IMAP) ist in vielen Organisationen gleichzeitig geschäftskritisch und riskant: E-Mail bleibt der häufigste Einstiegspunkt für Social Engineering, Account-Übernahmen und Malware, während die Protokolle bewusst interoperabel, tolerant gegenüber Fehlern und historisch gewachsen sind. Wer E-Mail-Security sauber bewertet, gewinnt durch ein OSI-Denkmuster sofort Struktur: Auf OSI Layer 7 (Application Layer) finden die eigentlichen Angriffe statt –…

Fake/Misissued Certificates: Zertifikats-Anomalien erkennen

Fake/Misissued Certificates sind kein theoretisches Randthema, sondern ein praktisches Risiko für jede Organisation, die sich auf TLS und das Web-PKI-Ökosystem verlässt. Ein gefälschtes oder falsch ausgestelltes Zertifikat kann es Angreifern ermöglichen, sich als legitimer Dienst auszugeben, Man-in-the-Middle-Angriffe zu erleichtern oder interne Security-Kontrollen zu umgehen, die auf „HTTPS = vertrauenswürdig“ basieren. Gleichzeitig ist die Realität komplex:…

HTTP Smuggling & Request Splitting: Funktionsweise und Mitigation

HTTP Smuggling & Request Splitting zählen zu den heimtückischsten Schwachstellen in modernen Web-Stacks, weil sie nicht primär eine einzelne Anwendung betreffen, sondern das Zusammenspiel mehrerer Komponenten: Load Balancer, Reverse Proxy, CDN, WAF, API Gateway und Origin-Server. Der Kern ist fast immer derselbe: Zwei Systeme interpretieren die Grenzen einer HTTP-Anfrage unterschiedlich. Was für das Frontend wie…

TLS Inspection: Wann Pflicht – und wann riskant für Privacy/Compliance

TLS Inspection (auch „SSL Inspection“ oder „HTTPS Inspection“) ist für Security-Teams ein zweischneidiges Schwert: Einerseits ermöglicht sie, in verschlüsseltem Verkehr Malware, Data-Exfiltration, Phishing und Policy-Verstöße zu erkennen, die sonst unsichtbar bleiben. Andererseits greift sie tief in Vertraulichkeit und Integrität der Kommunikation ein, erhöht die Angriffsfläche und kann erhebliche Risiken für Privacy, Compliance und Betriebsstabilität erzeugen.…

OAuth/OIDC-Abuse: Threat Model für moderne Auth

OAuth/OIDC-Abuse ist eines der wichtigsten Threat-Model-Themen für moderne Authentisierung, weil Angriffe hier selten „laut“ sind: Statt klassische Exploits auszunutzen, missbrauchen Angreifer legitime Protokollflüsse, schlecht konfigurierte Clients oder schwach abgesicherte Identity-Provider-Integrationen. OAuth 2.0 und OpenID Connect (OIDC) ermöglichen Single Sign-on, API-Zugriffe und Delegation über Organisationsgrenzen hinweg. Genau diese Stärke ist auch das Risiko: Token werden zu…

mTLS für Zero Trust: PKI-Design und operative Zertifikatsrotation

mTLS für Zero Trust gilt als eine der wirksamsten Methoden, um Identitäten zwischen Systemen sauber zu verifizieren und laterale Bewegungen in modernen Netzwerken zu begrenzen. Wo klassische Perimeter-Modelle auf „innen = vertraut“ setzten, verlangt Zero Trust nach eindeutigen, kryptografisch gesicherten Aussagen: Wer spricht mit wem, über welchen Pfad, mit welcher Berechtigung – und ist diese…

Cipher-Suite-Hardening: Downgrades und Legacy-Fallen vermeiden

Cipher-Suite-Hardening ist eines der effektivsten, aber zugleich am häufigsten unterschätzten Mittel, um TLS-Verbindungen gegen Downgrade-Angriffe, schwache Kryptografie und Legacy-Fallen abzusichern. In vielen Umgebungen ist TLS zwar „an“, dennoch werden Verbindungen im Ernstfall über veraltete Protokollversionen oder anfällige Cipher Suites ausgehandelt, weil Kompatibilitätsdruck, falsch gesetzte Defaults oder historische Sonderfälle die Konfiguration verwässern. Genau dort setzen Downgrade-Techniken…

SNI, ALPN und Fingerprinting: Nützliche TLS-Telemetrie für SecOps

SNI, ALPN und Fingerprinting gehören heute zu den wichtigsten Bausteinen, wenn SecOps trotz zunehmender Verschlüsselung (TLS 1.3, QUIC, HTTP/3) belastbare Netzwerksignale gewinnen will. Während Payload-Inspection in vielen Umgebungen technisch, organisatorisch oder rechtlich eingeschränkt ist, liefert die TLS-Aushandlung selbst eine erstaunlich reiche Telemetrie: Welche Domain wird angefragt, welches Applikationsprotokoll wird verhandelt, welche Cipher Suites und Extensions…

Session Fixation: Wie es passiert und wie man es verhindert

Session Fixation ist eine der am häufigsten unterschätzten Ursachen für Account-Übernahmen in Webanwendungen – gerade weil sie oft „leise“ passiert und in Logs nicht wie ein klassischer Angriff aussieht. Während viele Teams den Fokus auf Passwortschutz, MFA und TLS legen, bleibt ein entscheidender Punkt manchmal unzureichend abgesichert: die Frage, ob eine Sitzung nach dem Login…

Session Hijacking im internen Netzwerk: Evidence von L2 bis L7 verbinden

Session Hijacking im internen Netzwerk ist für viele Organisationen unangenehm, weil es oft nicht wie ein „klassischer“ Angriff aussieht: Keine lauten Exploits, keine auffälligen Malware-Signaturen, sondern eine scheinbar legitime Session, die plötzlich falsche Dinge tut. Gerade im LAN oder im Campus-Netz wirken die Rahmenbedingungen „vertrauenswürdig“: geringe Latenz, viele nicht segmentierte Broadcast-Domänen, interne DNS- und Authentifizierungsdienste,…