DDoS Schutzarchitektur: Scrubbing, RTBH und Flowspec explained

Eine moderne DDoS Schutzarchitektur entscheidet darüber, ob geschäftskritische Online-Services bei Angriffen erreichbar bleiben oder ob ein einzelnes Ereignis zu stundenlangen Ausfällen, Umsatzverlust und Reputationsschäden führt. Distributed Denial of Service (DDoS) ist dabei kein „Spezialfall“ mehr: Angriffe sind heute häufig, automatisiert, oft kurz („hit and run“) und kombinieren mehrere Vektoren wie volumetrische Floods, Protokollmissbrauch und applikationsnahe…

Deception im Netzwerk: Honeytokens und Canary Credentials einsetzen

Deception im Netzwerk ist eine der wenigen Security-Methoden, die nicht primär auf „Blocken“ oder „Erkennen bekannter Muster“ setzt, sondern Angreifer aktiv in die Irre führt und dabei extrem hochwertige Alarme erzeugt. Genau hier kommen Honeytokens und Canary Credentials ins Spiel: künstlich platzierte Köderdaten (Tokens) und bewusst ausgebrachte Zugangsdaten (Credentials), die in einem normalen Betrieb niemals…

DDoS Runbooks: Playbooks für schnelle Reaktion und Kommunikation

DDoS Runbooks sind der Unterschied zwischen „wir reagieren irgendwie“ und einer kontrollierten, schnellen Abwehr mit klarer Kommunikation. In vielen Organisationen ist die Technik für DDoS-Schutz vorhanden – Scrubbing-Option beim Provider, RTBH/Flowspec-Mechanismen, WAF-Regeln, Rate Limits –, aber im Ernstfall fehlen die Playbooks: Wer entscheidet? Wer setzt welche Maßnahme? Welche Daten braucht das NOC/SOC? Wie informieren wir…

Purple Teaming: Firewall Telemetrie für Detection verbessern

Purple Teaming ist eine der effektivsten Methoden, um Detection nachhaltig zu verbessern – nicht durch mehr Tools, sondern durch bessere Zusammenarbeit zwischen Offensive (Red Team) und Defensive (Blue Team). Im Netzwerkbereich ist der Hebel besonders groß, weil Firewalls an Trust Boundaries sitzen und damit einen einzigartigen Blick auf Traffic, Policies, NAT, Zonenpfade und oft auch…

Secure Web Gateway + NGFW: Rollen sauber trennen und integrieren

Secure Web Gateway + NGFW ist in vielen Unternehmen die realistischste Kombination, um Web- und SaaS-Traffic einerseits sowie segmentierungs- und datacenternahe Sicherheitsanforderungen andererseits sauber abzudecken. In der Praxis scheitert dieses Zusammenspiel jedoch häufig an unscharfen Rollen: Die NGFW wird als „Allzweckfilter“ für alles genutzt, während das Secure Web Gateway (SWG) parallel ähnliche Regeln abbildet –…

CASB/DLP am Netz: Datenabfluss verhindern ohne False Positives

CASB/DLP am Netz ist für viele Unternehmen der praktikabelste Weg, um Datenabfluss (Data Exfiltration) über Web, SaaS und Cloud-Uploads wirksam zu verhindern – ohne die Produktivität mit einer Flut von False Positives zu zerstören. Genau hier liegt die Herausforderung: Je strenger eine DLP-Policy formuliert ist, desto höher ist oft die Blockrate legitimer Vorgänge (z. B.…

TLS/SSL Inspection: Architektur, Risiken und Datenschutz-Trade-offs

TLS/SSL Inspection (auch „TLS-Entschlüsselung“ oder „HTTPS-Inspection“) ist eine der wirkungsvollsten, aber gleichzeitig kontroversesten Maßnahmen in der Netzwerksecurity. Der Grund ist offensichtlich: Ein Großteil des Datenverkehrs ist heute verschlüsselt – Web, SaaS, APIs, Update-Mechanismen, Collaboration-Tools. Ohne Entschlüsselung sieht eine Firewall oder ein Secure Web Gateway oft nur Ziel-IP, SNI und Metadaten. Malware-Downloads, Command-and-Control-Verbindungen oder Datenabfluss verstecken…

Decryption Best Practices: Zertifikate, Exclusions und Performance

Decryption Best Practices sind heute ein Muss, wenn Sie TLS/HTTPS-Verkehr zuverlässig absichern wollen, ohne Stabilität, Nutzererlebnis oder Datenschutz unnötig zu gefährden. In der Praxis entscheidet nicht der „Decryption-Schalter“ darüber, ob TLS-Inspection funktioniert, sondern die Umsetzung: sauberes Zertifikats- und Trust-Design, klare Exclusions (Ausnahmen) mit Governance sowie realistische Performance-Planung. Viele Organisationen scheitern nicht an fehlenden Features, sondern…

Performance-Engineering für NGFW: Throughput, CPS und Session Tables

Performance-Engineering für NGFW ist heute eine Kernkompetenz im Network Security Betrieb, weil moderne Next-Gen Firewalls nicht nur „Ports filtern“, sondern Applikationen erkennen, TLS entschlüsseln, Threat Prevention ausführen, Logs erzeugen und oft auch VPN- oder ZTNA-nahe Funktionen bereitstellen. In vielen Projekten wird Performance dabei zu spät betrachtet: Das neue Regelwerk ist sauber, die Security-Profile sind aktiv,…

Session Table Tuning: Timeouts, NAT und Scale-Probleme verhindern

Session Table Tuning ist eine der wirksamsten Maßnahmen, um Scale-Probleme auf NGFWs und anderen stateful Security-Gateways zu verhindern – und gleichzeitig eine der riskantesten, wenn man sie ohne belastbare Daten ändert. Die Session Table (State Table) ist das Herzstück stateful Inspection: Sie hält für jede aktive Verbindung Zustandsinformationen wie 5-Tuple, TCP-Status, NAT-Mappings, Timer, App-/User-Kontext und…