BGP-Hijack: Frühe Signale, Auswirkungen und operative Mitigation

Ein BGP-Hijack zählt zu den folgenschwersten Routing-Vorfällen im Internet: Ein fremdes autonomes System (AS) kündigt ein IP-Präfix an, das es nicht kontrolliert, sodass Traffic für dieses Präfix teilweise oder vollständig umgeleitet wird. Die Auswirkungen reichen von harmlos wirkenden Performance-Problemen bis hin zu vollständigen Outages, TLS-Zertifikatswarnungen, Session-Abbrüchen und – in ungünstigen Fällen – Traffic-Abgriff oder Umleitung…

MITRE ATT&CK auf OSI-Schichten mappen: Praxis, die im Feld wirklich hilft

Wer Security „im Feld“ betreibt, merkt schnell: Das MITRE ATT&CK auf OSI-Schichten mappen ist kein akademischer Luxus, sondern eine Abkürzung zu besseren Entscheidungen. MITRE ATT&CK liefert eine gemeinsame Sprache für Angreifer-Taktiken und -Techniken, aber im Alltag bleibt oft unklar, wo genau man ansetzen soll: Welche Telemetrie fehlt? Welche Kontrolle wirkt wirklich? Warum findet das SIEM…

Physische Boundaries in Zero Trust definieren: Layer-1-Perspektive

Wer Physische Boundaries in Zero Trust definieren will, denkt häufig zuerst an Identitäten, Mikrosegmentierung, Policy Engines und Telemetrie. Das ist sinnvoll – aber unvollständig. Zero Trust lebt von klaren Vertrauensgrenzen, und viele dieser Grenzen sind am Ende physisch: Wo steht ein System, wer kann es anfassen, wie laufen Leitungen, wo endet Ihr Verantwortungsbereich, und wo…

OSI-Modell als gemeinsame Sprache für SecOps–NetOps–AppSec

Das OSI-Modell als gemeinsame Sprache für SecOps–NetOps–AppSec ist ein überraschend wirksames Mittel gegen eines der größten Alltagsprobleme in der IT-Security: Teams reden über dieselben Vorfälle, aber in unterschiedlichen Begriffen – und verlieren dabei Zeit, Kontext und Verantwortung. SecOps denkt in Alerts, Indikatoren, Triage und Response; NetOps denkt in Routing, Segmentierung, Latenz und Verfügbarkeit; AppSec denkt…

Den „Owner“ eines Security-Incidents bestimmen durch OSI-Layer-Mapping

Den Owner eines Security-Incidents bestimmen durch OSI-Layer-Mapping ist eine der effektivsten Methoden, um in den ersten Minuten eines Vorfalls Klarheit zu schaffen – ohne in endlose Zuständigkeitsdebatten zu geraten. In vielen Organisationen ist nicht das technische Können das Problem, sondern die Koordination: SecOps sieht einen Alarm, NetOps sieht Auffälligkeiten im Traffic, AppSec sieht Fehler in…

OSI-Modell fürs Security Baseline: Mindestkontrollen pro Schicht als Checkliste

Das OSI-Modell fürs Security Baseline ist eine der praktischsten Möglichkeiten, Sicherheitsanforderungen so zu formulieren, dass sie teamsübergreifend verstanden, umgesetzt und überprüft werden können. Viele Organisationen scheitern nicht daran, dass sie „keine Security“ wollen, sondern daran, dass Baselines zu abstrakt sind („Härtung“, „Least Privilege“, „Logging an“) oder zu tool-spezifisch („Produkt X muss aktiviert sein“). Das OSI-Modell…

Security Coverage messen: Welche Telemetrie pro Schicht vorhanden sein muss

Security Coverage messen ist nur dann sinnvoll, wenn klar ist, welche Telemetrie pro Schicht wirklich vorhanden sein muss, um Angriffe zu erkennen, zu triagieren und verlässlich zu beantworten: „Was ist passiert, wie groß ist der Impact, und sind wir wieder sicher?“ In vielen Organisationen gibt es zwar „viele Logs“, aber keine systematische Abdeckung: Netzwerkdaten ohne…

Root-Cause-Analyse von Netzwerkangriffen mit dem OSI-Framework

Die Root-Cause-Analyse von Netzwerkangriffen mit dem OSI-Framework ist eine der zuverlässigsten Methoden, um nach einem Sicherheitsvorfall von Symptomen zu Ursachen zu gelangen – nachvollziehbar, reproduzierbar und teamübergreifend verständlich. In der Praxis scheitert Root Cause Analysis (RCA) selten an fehlenden Tools, sondern an fehlender Struktur: Ein DDoS wirkt wie ein Layer-4-Problem, kann aber durch einen Layer-7-Endpoint…

Investigation-Playbook: Vom Alert zur Paket-Evidence – OSI-basiert

Ein Investigation-Playbook: Vom Alert zur Paket-Evidence – OSI-basiert ist die schnellste Art, aus einem abstrakten Security-Alarm eine belastbare Beweiskette zu machen. In der Praxis scheitert Incident Response selten an fehlenden Tools, sondern an fehlender Struktur: Ein SIEM-Alert liefert vielleicht eine IP-Adresse, ein Zeitfenster und einen Rule-Namen – aber keine Antwort auf die entscheidenden Fragen „Was…

Layer 1: Physische Sicherheit für moderne Netzwerkinfrastruktur

Layer 1: Physische Sicherheit für moderne Netzwerkinfrastruktur wird in vielen Organisationen unterschätzt, weil der Fokus häufig auf Cloud-Security, Zero Trust, Identitäten oder Applikationsrisiken liegt. Dabei bleibt die physische Ebene der Kommunikationsinfrastruktur die Grundlage jeder Verfügbarkeit, jeder Vertraulichkeit und letztlich jeder Sicherheitskontrolle in höheren Schichten. Wenn jemand unautorisiert an Switches, Router, Patchfelder, Edge-Gateways, WLAN-Controller oder Glasfaserstrecken…