TLS Inspection: Wann Pflicht – und wann riskant für Privacy/Compliance

TLS Inspection (auch „SSL Inspection“ oder „HTTPS Inspection“) ist für Security-Teams ein zweischneidiges Schwert: Einerseits ermöglicht sie, in verschlüsseltem Verkehr Malware, Data-Exfiltration, Phishing und Policy-Verstöße zu erkennen, die sonst unsichtbar bleiben. Andererseits greift sie tief in Vertraulichkeit und Integrität der Kommunikation ein, erhöht die Angriffsfläche und kann erhebliche Risiken für Privacy, Compliance und Betriebsstabilität erzeugen.…

OAuth/OIDC-Abuse: Threat Model für moderne Auth

OAuth/OIDC-Abuse ist eines der wichtigsten Threat-Model-Themen für moderne Authentisierung, weil Angriffe hier selten „laut“ sind: Statt klassische Exploits auszunutzen, missbrauchen Angreifer legitime Protokollflüsse, schlecht konfigurierte Clients oder schwach abgesicherte Identity-Provider-Integrationen. OAuth 2.0 und OpenID Connect (OIDC) ermöglichen Single Sign-on, API-Zugriffe und Delegation über Organisationsgrenzen hinweg. Genau diese Stärke ist auch das Risiko: Token werden zu…

mTLS für Zero Trust: PKI-Design und operative Zertifikatsrotation

mTLS für Zero Trust gilt als eine der wirksamsten Methoden, um Identitäten zwischen Systemen sauber zu verifizieren und laterale Bewegungen in modernen Netzwerken zu begrenzen. Wo klassische Perimeter-Modelle auf „innen = vertraut“ setzten, verlangt Zero Trust nach eindeutigen, kryptografisch gesicherten Aussagen: Wer spricht mit wem, über welchen Pfad, mit welcher Berechtigung – und ist diese…

Cipher-Suite-Hardening: Downgrades und Legacy-Fallen vermeiden

Cipher-Suite-Hardening ist eines der effektivsten, aber zugleich am häufigsten unterschätzten Mittel, um TLS-Verbindungen gegen Downgrade-Angriffe, schwache Kryptografie und Legacy-Fallen abzusichern. In vielen Umgebungen ist TLS zwar „an“, dennoch werden Verbindungen im Ernstfall über veraltete Protokollversionen oder anfällige Cipher Suites ausgehandelt, weil Kompatibilitätsdruck, falsch gesetzte Defaults oder historische Sonderfälle die Konfiguration verwässern. Genau dort setzen Downgrade-Techniken…

SNI, ALPN und Fingerprinting: Nützliche TLS-Telemetrie für SecOps

SNI, ALPN und Fingerprinting gehören heute zu den wichtigsten Bausteinen, wenn SecOps trotz zunehmender Verschlüsselung (TLS 1.3, QUIC, HTTP/3) belastbare Netzwerksignale gewinnen will. Während Payload-Inspection in vielen Umgebungen technisch, organisatorisch oder rechtlich eingeschränkt ist, liefert die TLS-Aushandlung selbst eine erstaunlich reiche Telemetrie: Welche Domain wird angefragt, welches Applikationsprotokoll wird verhandelt, welche Cipher Suites und Extensions…

Session Fixation: Wie es passiert und wie man es verhindert

Session Fixation ist eine der am häufigsten unterschätzten Ursachen für Account-Übernahmen in Webanwendungen – gerade weil sie oft „leise“ passiert und in Logs nicht wie ein klassischer Angriff aussieht. Während viele Teams den Fokus auf Passwortschutz, MFA und TLS legen, bleibt ein entscheidender Punkt manchmal unzureichend abgesichert: die Frage, ob eine Sitzung nach dem Login…

Session Hijacking im internen Netzwerk: Evidence von L2 bis L7 verbinden

Session Hijacking im internen Netzwerk ist für viele Organisationen unangenehm, weil es oft nicht wie ein „klassischer“ Angriff aussieht: Keine lauten Exploits, keine auffälligen Malware-Signaturen, sondern eine scheinbar legitime Session, die plötzlich falsche Dinge tut. Gerade im LAN oder im Campus-Netz wirken die Rahmenbedingungen „vertrauenswürdig“: geringe Latenz, viele nicht segmentierte Broadcast-Domänen, interne DNS- und Authentifizierungsdienste,…

Kerberos-Ticket-Abuse: Mapping auf die Session Layer für IR

Kerberos-Ticket-Abuse ist in vielen Windows-Enterprise-Umgebungen einer der häufigsten Wege, wie Angreifer sich seitwärts bewegen, Privilegien ausweiten oder persistente Zugriffe sichern – ohne ständig Passwörter zu tippen. Genau deshalb ist Kerberos für Incident Response (IR) so wichtig: Tickets sind faktisch „Sitzungsartefakte“. Wer ein Ticket kontrolliert, kann oft wie ein legitimer Nutzer oder Dienst auftreten, selbst wenn…

VPN-Session-Abuse: Von Credential Stuffing bis Session Persistence

VPN-Session-Abuse ist längst kein Nischenthema mehr, sondern ein wiederkehrendes Muster in echten Enterprise-Incidents: Angreifer zielen nicht nur auf den initialen Login ab, sondern auf die „Sitzung“ selbst – also auf das, was nach der Authentifizierung bestehen bleibt. Während Passwortschutz und MFA häufig im Vordergrund stehen, werden Session-Lebenszyklen, Token-Handling, Re-Authentication-Regeln, Gerätebindung und Telemetrie oft zu wenig…

Remote-Access-Session-Monitoring: Was muss zwingend geloggt werden?

Remote-Access-Session-Monitoring entscheidet in vielen Organisationen darüber, ob ein Incident innerhalb von Minuten eingegrenzt oder über Tage „im Nebel“ gesucht wird. Remote Access ist heute weit mehr als ein klassisches VPN: ZTNA-Gateways, SASE/Proxy-Zugänge, VDI, RDP-Jump-Hosts, Bastion-Hosts, Privileged Access Workstations und Cloud-Identity-Provider bilden zusammen eine Zugriffskette, in der die eigentliche Sicherheitsentscheidung häufig auf Session-Ebene fällt. Genau deshalb…