Neu Das Whitepaper zur kontinuierlichen Sicherheitsvalidierung 2026 ist verfügbar. Whitepaper lesen →
Background · 8 Defensive Operations & Governance

Perimeter-, Office- & Datenbank-Sicherheit.

Was sich am Perimeter ändert, die Realitäten der Office-Netzwerk-Härtung (BYOD, Drucker, Gast-Segmentierung) und Datenbank-Sicherheit jenseits SQL-Injection — Replikation, Backup, Encryption-at-Rest.

Perimeter (External-Facing-Web)

  • Auffindbarkeit. Deine Domain wird von Censys, Shodan, FOFA und jedem Recon-Tool enumeriert. Annehmen: 100% deiner externen Surface ist bekannt. Kontinuierlich inventorisieren — was du nicht kennst, verteidigst du nicht.
  • Exposure-Budget. Jeder Public-Endpoint = Angriffsfläche. Katalogisieren: Hostname + Port + Service + Owner. Verwaiste Surface aggressiv abbauen. "Temporäre" Subdomains leben ewig.
  • Subdomain-Takeover. DNS-Record zeigt auf decommissionierte Cloud-Ressource (S3-Bucket, Azure-Web-App, Heroku-App). Angreifer claimed Ressource = kontrolliert Subdomain. Quartalsweise DNS-Audit; automatisierte subjack/nuclei-Templates.
  • Credential-Stuffing-Baseline. 99% des Login-Traffics auf populärem Endpoint ist malicious Automation. Counter:
    • HaveIBeenPwned-Integration — bekannt-geleakte Passwörter bei Signup/Change ablehnen.
    • Passkeys / WebAuthn als Primary; Passwort als Fallback.
    • Per-IP/JA4/User-Agent-Rate-Limit auf Login; progressive Captcha; Account-Lockout mit sinnvoller Recovery.
    • MFA verpflichtend für jede nicht-triviale Action.
  • Scraping-Kooperative. Verteilte Residential-Proxy-Botnets scrapen protected Content. Heuristik: Behavioral-Biometrics (Maus-/Scroll-Patterns), Browser-Feature-Inkonsistenz, Request-Velocity pro Identity.
  • Abuse-Traffic-Muster. Cross-Protocol-Noise — gleiche IP-Block versucht SSH, FTP, RDP, HTTP-Login — auto-Block auf Network-Layer. Reputation-Feeds (AbuseIPDB, Spamhaus, GreyNoise) reduzieren Noise.

Office-Netzwerk

  • BYOD-Admission.
    • 802.1X mit Certificate-based-Auth auf Wired und Wireless.
    • NAC-Posture-Check (OS-Version, EDR läuft, Disk-Encryption an) vor IP-Vergabe.
    • Failed Posture → Quarantine-VLAN mit Remediation-Portal.
  • Segmentierung.
    • Corp-VLAN — nur Managed-Devices.
    • BYOD-VLAN — Personal-Devices; können Corp-Ressourcen nicht außer via VPN/ZTNA erreichen.
    • Guest-VLAN — Internet only, isoliert von allem Corporate.
    • IoT/Printer-VLAN — restricted Egress (Print-Server, NTP, Vendor-Cloud only).
  • Drucker-Realität. Drucker haben OS, Web-Admin, Default-Creds, offene Telnet/FTP und CVE-History. Wie Untrusted behandeln: dediziertes VLAN, kein Inbound von Corp, Firmware auf Schedule, Default-Creds geändert.
  • IoT-Rauschniveau. Conference-Room-Displays, Smart-TVs, Sensoren. Default-Verhalten: Vendor-Cloud anrufen, mDNS broadcasten. Mitigation: Per-Device-Class-Allow-List-Egress; Broadcast/Multicast-Bridging zwischen VLANs blocken.
  • Guest-Segmentierung, die hält. Separates SSID + separates VLAN + separater Egress + Client-Isolation (kein Peer-to-Peer auf Guest). Social-Engineering-Brücke (Mitarbeiter steckt Guest-Device in Corp-VLAN-Port) durch 802.1X gefangen.
  • Nützlicher Audit-Trail. DHCP-Leases (IP → MAC → Switch-Port-Mapping), DNS-Query-Logs (fängt Malware-C2 und Shadow-IT), 802.1X-Auth-Events. Compliance-Theater-Audit-Trail = unkorrelierte Raw-Syslog ohne Analysefläche.

Datenbank-Sicherheit jenseits Injection

  • Replikationstopologie.
    • Primary-Replica-Async — Replica-Lag bedeutet RPO = Lag beim Incident. Kein Zero-Data-Loss versprechen.
    • Synchron Multi-Region — langsamere Writes, Zero-Data-Loss bei Single-Region-Failure.
    • Logical-Replication — selektive Tables, Cross-Version. Nützlich für Migration und Audit-Feed.
  • Backup-Haltung (3-2-1 + Ransomware-resilient).
    • 3 Kopien, 2 Media-Typen, 1 Off-Site. Modernes Addendum: 1 immutable/air-gapped.
    • Off-Host: separate Maschine.
    • Off-Network: nicht aus Produktions-Netz erreichbar.
    • Off-Account (Cloud): separater AWS-/GCP-/Azure-Account mit One-Way-Replikation und Object-Lock-Immutability.
    • Getesteter Restore: quartalsweise Tabletop, jährliche Full-Restore-Übung. Ungetestete Backups sind Wunschdenken.
  • Rollen-Engine-Quirks pro Vendor.
    • Postgres: GRANT mit Options, Default-Privileges, Role-Inheritance, Ownership-Chains — Audit erfordert SQL, kein Point-and-Click.
    • MySQL: per-Database / per-Table / per-Column-Grants. SUPER = Root-equivalent.
    • Oracle / SQL Server: komplexe Role-Hierarchien, Schema-Ownership, Application-Roles. Audit-Tooling Vendor-spezifisch.
  • Encryption-at-Rest-Trade-offs.
    • TDE (Transparent-Data-Encryption) — Disk-Level, schützt gegen Backup-/Disk-Diebstahl, nicht gegen In-DB-Kompromittierung.
    • Per-Tenant-Column-Encryption — schützt gegen In-DB-Read für andere Tenants; Query-Patterns limitiert.
    • Customer-Managed-KMS-Keys — Customer kann revoken; operative Komplexität.
    • Key-Rotation — operativ teuer im Scale; Envelope-Encryption (DEK + KEK) entkoppelt.
  • Audit-Logging. Per-Query-Audit im Scale = teuer; Per-Privileged-Action-Audit erschwinglich. DDL, GRANT/REVOKE, Login außerhalb Maintenance-Window, Failed-Auth-Bursts capturen.
FaustregelFür Perimeter alle sechs Monate 10% deiner exponierten Surface löschen oder restricten. Für Office ist Segmentierung die einzige durable Control; alles andere patcht eine leaky Boundary. Für Datenbank ist das Backup, das dich vor Ransomware schützt, das du letztes Quartal getestet hast — der Rest ist Hoffnung.

Verwandte Notizen in dieser Domain

Von der Referenz zum Befund

Validieren Sie das in Ihrer eigenen Umgebung.