Insights

Cybersecurity Blog

Analysen, Praxis-Tipps und Einordnungen aus der Welt der IT-Sicherheit.

API Security Testing: Praxis-Guide für REST und GraphQL APIs

API Security Testing deckt Schwachstellen auf die klassische Web-Tests übersehen: IDOR in API-Endpunkten, fehlerhafte Zugriffskontrollen, Mass Assignment, BOLA/BFLA, GraphQL-Introspection, JWT-Schwachstellen und Rate-Limiting-Bypass. Dieser Guide erklärt Testmethodik, Tools (Burp Suite, OWASP ZAP, Postman, GraphQL-Voyager) und OWASP API Security Top 10 2023.

Vincent Heinen

4. März 202611 Min.

Artikel lesen

456 Artikel insgesamt - Seite 5 von 66

Offensive Security

API-Sicherheit für Unternehmen: OWASP API Top 10 und praktische Härtung

APIs sind das häufigste Angriffsziel moderner Webanwendungen. Dieser Guide erklärt die OWASP API Security Top 10, typische API-Schwachstellen wie Broken Object Level Authorization (BOLA), fehlende Authentifizierung und Massenzuweisung - mit konkreten Codebeispielen für sichere API-Implementierung und API-Gateway-Härtung.

Vincent Heinen

4. März 202611 Min.

Netzwerk- & Endpoint Security

Automotive Cybersecurity: UN-ECE WP.29, ISO 21434 und Fahrzeug-Hacking

Automotive Cybersecurity ist seit 2022 Pflicht für alle neuen Fahrzeugtypen (UN-ECE WP.29 R155/R156). ISO 21434 definiert den Cybersecurity-Engineering-Prozess über den gesamten Fahrzeuglebenszyklus. Dieser Guide erklärt die regulatorischen Anforderungen, TARA (Threat Analysis and Risk Assessment), typische Angriffsvektoren auf moderne Fahrzeuge (CAN-Bus, OBD-II, Telematics, V2X), und wie Fahrzeugzulieferer Security-by-Design implementieren.

Jan Hörnemann

4. März 202611 Min.

Netzwerk- & Endpoint Security

Microsoft Entra ID (Azure AD) härten: Sicherheitskonfiguration für KMU

Microsoft Entra ID ist das Identity-System von über 300 Millionen Unternehmensnutzern - und ein primäres Angriffsziel. Dieser Guide erklärt die wichtigsten Sicherheitskonfigurationen: Conditional Access, Privileged Identity Management, Identity Protection, Security Defaults und wie KMU ohne Enterprise-Lizenz ihre Entra-ID-Umgebung absichern.

Vincent Heinen

4. März 202610 Min.

Netzwerk- & Endpoint Security

Browser-Sicherheitshärtung: Unternehmensrichtlinien für Chrome, Edge und Firefox

Browser sind das Primär-Einfallstor für Web-basierte Angriffe im Unternehmensumfeld. Dieser Guide erklärt zentral verwaltete Browser-Sicherheitsrichtlinien via GPO/Intune für Chrome und Edge, kritische Sicherheitseinstellungen (Extensions-Management, HTTPS-Only, Unsafe Content Blocking), Browser-Isolation (RBI), Web-Filtering und die Abwehr von Browser-basierten Angriffen wie Malvertising, Drive-by-Downloads und Browser-Exploits.

Vincent Heinen

4. März 202610 Min.

Compliance & Standards

BSI IT-Grundschutz für KMU: Einstieg ohne BSI-Berater

Wie kleine und mittlere Unternehmen den BSI IT-Grundschutz pragmatisch nutzen können - ohne das volle Kompendium zu lesen. BSI IT-Grundschutz-Profil für KMU, wichtigste Bausteine, kostenlose BSI-Werkzeuge und der Unterschied zu ISO 27001. Mit Schritt-für-Schritt-Anleitung.

Oskar Braun

4. März 20269 Min.

Security Operations

Bug Bounty Programme aufbauen: Vom internen Prozess zur öffentlichen Plattform

Bug Bounty Programme ermöglichen es Unternehmen, ethische Hacker strukturiert in die Sicherheitsarbeit einzubinden. Dieser Guide erklärt den Aufbau von Bug Bounty Programmen (privat, öffentlich, VDP), Scope-Definition, Belohnungsstruktur, Triage-Prozesse, rechtliche Absicherung und die Wahl zwischen HackerOne, Bugcrowd und internen Plattformen.

Vincent Heinen

4. März 202610 Min.