Web Security Headers: CSP/HSTS als ergänzende Control-Layer

Web Security Headers sind ein oft unterschätzter Baustein moderner Web- und API-Security. Während WAF, API-Gateway, Authentisierung und Netzwerksegmentierung große Schutzwirkung entfalten, entsteht ein erheblicher Teil realer Angriffe im Browserkontext: Cross-Site Scripting (XSS), Clickjacking, Mixed Content, Session-Hijacking durch unsichere Weiterleitungen oder das unbeabsichtigte Preisgeben sensibler Informationen über Referer-Header. Genau hier setzen Security Header an. Sie sind…

Alert Engineering: High-Signal Security Alerts aus Firewall Events

Alert Engineering ist die Disziplin, aus großen Mengen an Firewall Events wenige, hochrelevante Security Alerts zu bauen, die tatsächlich handlungsfähig sind. In vielen Organisationen werden Firewall-Logs zwar zentral gesammelt, aber die Alarmierung folgt einfachen Mustern: „Deny = Alert“ oder „IOC-Hit = Ticket“. Das führt fast immer zu Alert-Fatigue: Das SOC wird mit tausenden Low-Signal-Events überflutet,…

Anomalie-Erkennung: Baselines für East-West und North-South Traffic

Anomalie-Erkennung ist in modernen Netzwerken eine der wenigen Methoden, die auch dann noch funktioniert, wenn Angreifer keine bekannten Signaturen auslösen und wenn ein Großteil des Traffics verschlüsselt ist. Statt „was ist bekannt böse?“ fragt Anomalie-Erkennung: „was ist für dieses Netzwerk, dieses Segment oder diesen Service untypisch?“ Genau dafür brauchen Sie Baselines – also belastbare Normalwerte…

Packet Capture Strategien: PCAPs zielgerichtet und rechtskonform sammeln

Packet Capture Strategien sind ein zentraler Baustein für Network Security Monitoring, Incident Response und Troubleshooting – aber nur dann, wenn PCAPs zielgerichtet, effizient und rechtskonform gesammelt werden. Wer „einfach alles mitschneidet“, produziert schnell unbeherrschbare Datenmengen, hohe Kosten und vor allem rechtliche Risiken: In PCAPs können personenbezogene Daten, Zugangstokens, Inhalte von Anwendungen oder Metadaten enthalten sein,…

BGP Security am Edge: RPKI, Prefix Filter und Route Leak Mitigation

BGP Security am Edge ist heute ein Pflichtprogramm für jede Organisation, die eigene Präfixe ins Internet annonciert, Multi-Homing betreibt oder als Service Provider Kundenrouting entgegennimmt. Border Gateway Protocol (BGP) ist dabei bewusst „vertrauensbasiert“ entworfen worden: Es prüft nicht automatisch, ob ein Nachbar ein Präfix überhaupt announcen darf oder ob ein AS-Pfad plausibel ist. Genau daraus…

Forensik an Firewalls: Evidence, Chain of Custody und Export-Workflows

Forensik an Firewalls ist in vielen Incident-Response-Szenarien der schnellste Weg zu belastbaren Fakten: Welche Verbindungen gab es wirklich? Welche Policy hat gegriffen? Welche NAT-Übersetzung hat eine interne Quelle nach außen abgebildet? Welche administrativen Änderungen wurden vorgenommen – und wann? Damit diese Erkenntnisse nicht nur technisch hilfreich, sondern auch als Evidence verwertbar sind, müssen sie reproduzierbar,…

Anti-Spoofing (BCP38/uRPF): Ingress/Egress Filtering richtig umsetzen

Anti-Spoofing (BCP38/uRPF) gehört zu den wirkungsvollsten, aber am häufigsten unterschätzten Sicherheitsmaßnahmen in IP-Netzwerken. Spoofing bedeutet, dass ein Angreifer Pakete mit gefälschter Quelladresse (Source IP) versendet – etwa um DDoS-Angriffe zu verstärken, Reflexionsangriffe zu ermöglichen oder die Herkunft von Traffic zu verschleiern. Wenn Netze an ihren Kanten (Ingress/Egress) nicht konsequent filtern, können sie ungewollt als „Verstärker“…

Incident Response im Netzwerk: Isolation, Blocken und Recovery Patterns

Incident Response im Netzwerk entscheidet in der Praxis darüber, ob ein Sicherheitsvorfall ein begrenztes Ereignis bleibt oder sich in Minuten zu einem flächendeckenden Ausfall entwickelt. Während Endpoint-Maßnahmen wie EDR-Isolation wichtig sind, liegt die schnellste und oft wirksamste Hebelwirkung häufig im Netzwerk: Isolation kompromittierter Systeme, gezieltes Blocken von Command-and-Control (C2) und Datenabfluss sowie ein kontrolliertes Recovery,…

DDoS Schutzarchitektur: Scrubbing, RTBH und Flowspec explained

Eine moderne DDoS Schutzarchitektur entscheidet darüber, ob geschäftskritische Online-Services bei Angriffen erreichbar bleiben oder ob ein einzelnes Ereignis zu stundenlangen Ausfällen, Umsatzverlust und Reputationsschäden führt. Distributed Denial of Service (DDoS) ist dabei kein „Spezialfall“ mehr: Angriffe sind heute häufig, automatisiert, oft kurz („hit and run“) und kombinieren mehrere Vektoren wie volumetrische Floods, Protokollmissbrauch und applikationsnahe…

Deception im Netzwerk: Honeytokens und Canary Credentials einsetzen

Deception im Netzwerk ist eine der wenigen Security-Methoden, die nicht primär auf „Blocken“ oder „Erkennen bekannter Muster“ setzt, sondern Angreifer aktiv in die Irre führt und dabei extrem hochwertige Alarme erzeugt. Genau hier kommen Honeytokens und Canary Credentials ins Spiel: künstlich platzierte Köderdaten (Tokens) und bewusst ausgebrachte Zugangsdaten (Credentials), die in einem normalen Betrieb niemals…