Hybrid Security: On-Prem + Cloud Policies konsistent halten

Hybrid Security ist für viele Unternehmen kein Übergangszustand mehr, sondern der Normalfall: geschäftskritische Workloads laufen weiterhin On-Premises im Rechenzentrum, während neue Anwendungen, Datenplattformen und SaaS-Abhängigkeiten in die Cloud wandern. Genau daraus entsteht eine anspruchsvolle Sicherheitsaufgabe: On-Prem + Cloud Policies konsistent halten. In der Praxis bedeutet das nicht „dieselben Regeln überall“, sondern „dieselben Sicherheitsabsichten überall“ –…

Risk Acceptance: Ausnahmen auditfest dokumentieren

Risk Acceptance ist im Sicherheits- und Compliance-Alltag unvermeidbar: Nicht jede Schwachstelle kann sofort behoben werden, nicht jede Legacy-Anwendung lässt sich kurzfristig segmentieren, und nicht jede Business-Anforderung passt in ein perfektes „Least Privilege“-Modell. Entscheidend ist jedoch nicht, dass Ausnahmen existieren, sondern wie sie dokumentiert, genehmigt, zeitlich begrenzt, überwacht und nachweisbar begründet werden. Genau hier scheitern viele…

Cloud Egress Security: NAT Gateways, Proxy und Logging-Design

Cloud Egress Security ist einer der stärksten Hebel, um Command-and-Control (C2), Datenabfluss und unerwünschte Schattenabhängigkeiten in Cloud-Umgebungen zu reduzieren. In vielen Architekturen liegt der Fokus auf Ingress (WAF, Load Balancer, Public Exposure), während ausgehender Traffic aus privaten Subnetzen eher „einfach funktionieren“ soll. Genau das macht Egress zum Einfallstor: Kompromittierte Workloads laden Payloads nach, kommunizieren über…

API Security am Netz: Rate Limits, Auth, WAF und L7 Controls

API Security am Netz ist heute ein entscheidender Erfolgsfaktor für Verfügbarkeit, Datenschutz und Betrugsprävention – weil APIs längst nicht mehr nur „Backend-Schnittstellen“ sind, sondern der zentrale Zugriffspfad für Web-Apps, Mobile Apps, Partnerintegrationen und interne Microservices. Gleichzeitig ist der Angriffsraum groß: Credential Stuffing auf Login-Endpunkte, Bot-Traffic, massenhaftes Scraping, Business-Logic-Abuse (z. B. Gutschein-/Preis-Manipulation), Injection-Angriffe, API-Enumeration, Überlast durch…

WAF vs. NGFW: Rollenabgrenzung für Web- und API-Security

Die Frage „WAF vs. NGFW“ taucht in Projekten zur Web- und API-Security fast immer auf – und sie ist berechtigt. Beide Technologien können HTTP(S)-Traffic inspizieren, beide können Angriffe blocken, beide erzeugen Logs. Trotzdem sind ihre Rollen grundverschieden. Eine Web Application Firewall (WAF) ist spezialisiert auf Layer 7: Sie versteht Web- und API-Protokolle, Parameter, Pfade, Header,…

Bot Management: Schutz vor Credential Stuffing und Scraping

Bot Management ist heute ein zentraler Bestandteil moderner Netzwerk- und Anwendungssicherheit, weil zwei Angriffsarten nahezu jedes online erreichbare System betreffen: Credential Stuffing und Scraping. Credential Stuffing nutzt geleakte Zugangsdaten aus früheren Datenpannen, um automatisiert Login-Endpunkte zu testen – oft millionenfach, verteilt über Botnetze und Residential Proxies. Scraping wiederum extrahiert Inhalte, Preise, Profile oder Produktdaten automatisiert,…

Web Security Headers: CSP/HSTS als ergänzende Control-Layer

Web Security Headers sind ein oft unterschätzter Baustein moderner Web- und API-Security. Während WAF, API-Gateway, Authentisierung und Netzwerksegmentierung große Schutzwirkung entfalten, entsteht ein erheblicher Teil realer Angriffe im Browserkontext: Cross-Site Scripting (XSS), Clickjacking, Mixed Content, Session-Hijacking durch unsichere Weiterleitungen oder das unbeabsichtigte Preisgeben sensibler Informationen über Referer-Header. Genau hier setzen Security Header an. Sie sind…

OT/ICS Netzwerksecurity: Segmentierung, Firewalls und Monitoring

OT/ICS Netzwerksecurity (Operational Technology / Industrial Control Systems) ist heute eine der anspruchsvollsten Disziplinen in der Netzwerktechnik, weil sie Sicherheitsziele mit Betriebszielen versöhnen muss: Verfügbarkeit und Prozesssicherheit stehen an erster Stelle, gleichzeitig wachsen Bedrohungen durch Ransomware, Supply-Chain-Angriffe, Fernwartung und IT/OT-Konvergenz. In vielen industriellen Umgebungen sind Steuerungen (PLCs), SCADA-Systeme, HMI-Stationen, Historian-Server und Engineering Workstations über Jahre…

IPv6 Security für Experten: RA Guard, ND Inspection und ACL Design

IPv6 Security ist in vielen Umgebungen noch immer ein „Nebenprojekt“ – und genau das macht sie gefährlich. In der Praxis entstehen Sicherheitslücken selten durch „IPv6 an sich“, sondern durch unbeabsichtigte Dual-Stack-Exposition, unzureichende Filterregeln für ICMPv6 und fehlende First-Hop-Security an Access-Switches. Angreifer nutzen bevorzugt Mechanismen wie Router Advertisements (RA) und Neighbor Discovery (ND), um Traffic umzuleiten,…

Dual-Stack Policy Design: Parität zwischen IPv4 und IPv6 sicherstellen

Dual-Stack Policy Design ist der entscheidende Schritt, um Parität zwischen IPv4 und IPv6 sicherzustellen und damit Dual-Stack-Umgebungen wirklich sicher zu betreiben. In der Praxis ist IPv6 oft längst aktiv, ohne dass es bewusst geplant wurde: Betriebssysteme nutzen Link-Local-Adressen, WLANs und Provider liefern IPv6 standardmäßig aus, Cloud-Plattformen aktivieren Dual Stack für Load Balancer oder Kubernetes, und…