API Security am Netz: Rate Limits, Auth, WAF und L7 Controls

API Security am Netz ist heute ein entscheidender Erfolgsfaktor für Verfügbarkeit, Datenschutz und Betrugsprävention – weil APIs längst nicht mehr nur „Backend-Schnittstellen“ sind, sondern der zentrale Zugriffspfad für Web-Apps, Mobile Apps, Partnerintegrationen und interne Microservices. Gleichzeitig ist der Angriffsraum groß: Credential Stuffing auf Login-Endpunkte, Bot-Traffic, massenhaftes Scraping, Business-Logic-Abuse (z. B. Gutschein-/Preis-Manipulation), Injection-Angriffe, API-Enumeration, Überlast durch…

WAF vs. NGFW: Rollenabgrenzung für Web- und API-Security

Die Frage „WAF vs. NGFW“ taucht in Projekten zur Web- und API-Security fast immer auf – und sie ist berechtigt. Beide Technologien können HTTP(S)-Traffic inspizieren, beide können Angriffe blocken, beide erzeugen Logs. Trotzdem sind ihre Rollen grundverschieden. Eine Web Application Firewall (WAF) ist spezialisiert auf Layer 7: Sie versteht Web- und API-Protokolle, Parameter, Pfade, Header,…

Bot Management: Schutz vor Credential Stuffing und Scraping

Bot Management ist heute ein zentraler Bestandteil moderner Netzwerk- und Anwendungssicherheit, weil zwei Angriffsarten nahezu jedes online erreichbare System betreffen: Credential Stuffing und Scraping. Credential Stuffing nutzt geleakte Zugangsdaten aus früheren Datenpannen, um automatisiert Login-Endpunkte zu testen – oft millionenfach, verteilt über Botnetze und Residential Proxies. Scraping wiederum extrahiert Inhalte, Preise, Profile oder Produktdaten automatisiert,…

Web Security Headers: CSP/HSTS als ergänzende Control-Layer

Web Security Headers sind ein oft unterschätzter Baustein moderner Web- und API-Security. Während WAF, API-Gateway, Authentisierung und Netzwerksegmentierung große Schutzwirkung entfalten, entsteht ein erheblicher Teil realer Angriffe im Browserkontext: Cross-Site Scripting (XSS), Clickjacking, Mixed Content, Session-Hijacking durch unsichere Weiterleitungen oder das unbeabsichtigte Preisgeben sensibler Informationen über Referer-Header. Genau hier setzen Security Header an. Sie sind…

Alert Engineering: High-Signal Security Alerts aus Firewall Events

Alert Engineering ist die Disziplin, aus großen Mengen an Firewall Events wenige, hochrelevante Security Alerts zu bauen, die tatsächlich handlungsfähig sind. In vielen Organisationen werden Firewall-Logs zwar zentral gesammelt, aber die Alarmierung folgt einfachen Mustern: „Deny = Alert“ oder „IOC-Hit = Ticket“. Das führt fast immer zu Alert-Fatigue: Das SOC wird mit tausenden Low-Signal-Events überflutet,…

Anomalie-Erkennung: Baselines für East-West und North-South Traffic

Anomalie-Erkennung ist in modernen Netzwerken eine der wenigen Methoden, die auch dann noch funktioniert, wenn Angreifer keine bekannten Signaturen auslösen und wenn ein Großteil des Traffics verschlüsselt ist. Statt „was ist bekannt böse?“ fragt Anomalie-Erkennung: „was ist für dieses Netzwerk, dieses Segment oder diesen Service untypisch?“ Genau dafür brauchen Sie Baselines – also belastbare Normalwerte…

Packet Capture Strategien: PCAPs zielgerichtet und rechtskonform sammeln

Packet Capture Strategien sind ein zentraler Baustein für Network Security Monitoring, Incident Response und Troubleshooting – aber nur dann, wenn PCAPs zielgerichtet, effizient und rechtskonform gesammelt werden. Wer „einfach alles mitschneidet“, produziert schnell unbeherrschbare Datenmengen, hohe Kosten und vor allem rechtliche Risiken: In PCAPs können personenbezogene Daten, Zugangstokens, Inhalte von Anwendungen oder Metadaten enthalten sein,…

BGP Security am Edge: RPKI, Prefix Filter und Route Leak Mitigation

BGP Security am Edge ist heute ein Pflichtprogramm für jede Organisation, die eigene Präfixe ins Internet annonciert, Multi-Homing betreibt oder als Service Provider Kundenrouting entgegennimmt. Border Gateway Protocol (BGP) ist dabei bewusst „vertrauensbasiert“ entworfen worden: Es prüft nicht automatisch, ob ein Nachbar ein Präfix überhaupt announcen darf oder ob ein AS-Pfad plausibel ist. Genau daraus…

Forensik an Firewalls: Evidence, Chain of Custody und Export-Workflows

Forensik an Firewalls ist in vielen Incident-Response-Szenarien der schnellste Weg zu belastbaren Fakten: Welche Verbindungen gab es wirklich? Welche Policy hat gegriffen? Welche NAT-Übersetzung hat eine interne Quelle nach außen abgebildet? Welche administrativen Änderungen wurden vorgenommen – und wann? Damit diese Erkenntnisse nicht nur technisch hilfreich, sondern auch als Evidence verwertbar sind, müssen sie reproduzierbar,…

Anti-Spoofing (BCP38/uRPF): Ingress/Egress Filtering richtig umsetzen

Anti-Spoofing (BCP38/uRPF) gehört zu den wirkungsvollsten, aber am häufigsten unterschätzten Sicherheitsmaßnahmen in IP-Netzwerken. Spoofing bedeutet, dass ein Angreifer Pakete mit gefälschter Quelladresse (Source IP) versendet – etwa um DDoS-Angriffe zu verstärken, Reflexionsangriffe zu ermöglichen oder die Herkunft von Traffic zu verschleiern. Wenn Netze an ihren Kanten (Ingress/Egress) nicht konsequent filtern, können sie ungewollt als „Verstärker“…