Cybersecurity Wiki
Fundiertes, quellengestütztes Wissen zu allen wichtigen Themen der IT-Sicherheit - von Angriffsmethoden über Standards bis hin zu Schutzarchitekturen. Verfasst von AWARE7-Experten.
Angriffstechniken
Lateral Movement: Wie sich Angreifer durch Netzwerke bewegen
Lateral Movement beschreibt die Ausbreitung eines Angreifers nach dem Initial Access - von Pass-the-Hash über RDP Hijacking bis SSH Pivoting. Mit Einordnung in die Kill Chain, Tool-Übersicht (BloodHound, Mimikatz, CrackMapExec, Chisel) sowie Erkennungs- und Schutzmaßnahmen.
Man-in-the-Middle-Angriffe: Techniken, Erkennung und Schutz
Man-in-the-Middle-Angriffe (MITM) positionieren einen Angreifer zwischen Kommunikationsparteien - lautlos, oft unsichtbar. Alle Techniken erklärt: ARP-Spoofing, SSL-Stripping, DNS-Spoofing, BGP-Hijacking, AiTM-Phishing.
Spoofing: Angriffsarten, Erkennung und Schutzmaßnahmen
Spoofing erklärt: IP-Spoofing, DNS-Spoofing, E-Mail-Spoofing, ARP-Spoofing, Caller-ID-Spoofing und Website-Spoofing - wie Angreifer Identitäten fälschen, woran man es erkennt und wie technische Schutzmaßnahmen wie SPF, DKIM, DMARC und DNSSEC helfen.
Anwendungssicherheit
API-Sicherheit: OWASP API Top 10, Authentifizierung, Testing und Best Practices
Umfassender Guide zu API-Sicherheit: OWASP API Security Top 10 (2023) vollständig erklärt mit Code-Beispielen, API-Authentifizierung (API Keys, JWT, OAuth 2.0, mTLS), Testmethodik für REST und GraphQL, Tool-Einsatz (Burp Suite, Postman, jwt_tool, Nuclei), API-Discovery und Security-Checkliste für Entwickler und Penetrationstester.
Application Security Testing (AST): SAST, DAST, IAST und SCA
Application Security Testing kombiniert vier komplementäre Testmethoden: SAST (statische Analyse des Quellcodes), DAST (dynamische Tests gegen laufende Anwendungen), IAST (Instrumentierung von innen) und SCA (Analyse von Drittbibliotheken). Dieser Artikel erklärt Funktionsprinzip, Stärken und Schwächen jeder Methode, wie sie in CI/CD integriert werden und welche Tools für welchen Use Case geeignet sind.
Ausbildung & Training
Capture the Flag (CTF): Lernformat für Cybersecurity
Capture-the-Flag-Wettbewerbe sind praxisorientierte Hacking-Events, bei denen Teilnehmende Sicherheitsprobleme lösen, um digitale Flaggen zu finden. Dieser Artikel erklärt CTF-Formate, Kategorien, Plattformen und den Einsatz von CTFs in Unternehmen.
IT-Security-Ressourcen: Podcasts, Plattformen und Informationsquellen
Ein strukturierter Überblick über deutschsprachige und englische IT-Sicherheits-Podcasts, Lernplattformen, Nachrichtenquellen, CTF-Plattformen und Community-Ressourcen für Einsteiger und Profis.
Bedrohungen
Advanced Persistent Threat (APT): Anatomie gezielter Cyberangriffe
Advanced Persistent Threats (APT) sind staatlich geförderte oder hochprofessionelle Angreifergruppen, die Ziele über Monate hinweg systematisch infiltrieren. Definition, Lebenszyklus nach MITRE ATT&CK, bekannte Gruppen wie APT28 und Lazarus sowie Erkennungs- und Schutzmaßnahmen.
Cryptojacking: Wenn Angreifer fremde Rechenleistung kapern
Cryptojacking bezeichnet den unbefugten Missbrauch fremder IT-Ressourcen für das Mining von Kryptowährungen. Erkennungsmerkmale, Verbreitungswege, Schutzmaßnahmen und die rechtliche Einordnung im Überblick.
Darknet-Marktplätze: Funktionsweise, Risiken und Auswirkungen
Darknet-Marktplätze sind digitale Schwarzmärkte im Tor-Netzwerk, auf denen gestohlene Daten, Schadsoftware und kriminelle Dienstleistungen gehandelt werden. Dieser Artikel erklärt Struktur, Geschäftsmodell, bekannte Marktplätze und die Auswirkungen auf Unternehmen.
Internetbetrug erkennen: Warnsignale, Methoden und Schutzmaßnahmen
Internetbetrug umfasst alle betrügerischen Handlungen, die über digitale Kanäle begangen werden - von Phishing und Fake-Shops bis hin zu Romance Scam und Tech-Support-Betrug. Dieser Artikel erklärt die häufigsten Betrugsarten, die zehn wichtigsten Warnsignale, konkrete Sofortmaßnahmen für Betroffene, Präventionsstrategien sowie die rechtliche Lage in Deutschland.
Krypto-Kriminalität: Die dunkle Seite von Blockchain und Kryptowährungen
Krypto-Kriminalität umfasst alle Formen krimineller Aktivitäten im Zusammenhang mit Blockchain-Technologien und Kryptowährungen - von Geldwäsche über Exchange-Hacks bis zu Ransomware-Zahlungen und Darknet-Marktplätzen.
Krypto-Scams: Betrugsmaschen mit Kryptowährungen erkennen
Krypto-Scams sind Betrugsmaschen, die Kryptowährungen als Köder oder Zahlungsmittel einsetzen. Pig Butchering, Fake-Exchanges, Rug Pulls und Romance Scams verursachen weltweit Milliardenschäden. Dieser Artikel erklärt die Methoden und wie man sich schützt.
Microsoft-Support-Betrug: Die Masche erkennen und sich schützen
Beim Microsoft-Support-Betrug (Tech Support Scam) geben sich Kriminelle als Microsoft-Mitarbeiter aus, erschleichen sich Fernzugriff auf den Computer des Opfers und fordern anschließend Zahlungen für erfundene Dienstleistungen. Dieser Artikel erklärt den Ablauf der Masche, Varianten, Warnsignale und die richtigen Schritte für Betroffene.
Bedrohungslandschaft
DDoS-Angriffe: Typen, Abwehr und aktuelle Bedrohungslage
DDoS-Angriffe vollständig erklärt: Volumetric, Protocol, Application Layer - wie Botnets funktionieren, welche DDoS-Typen es gibt, und wie Unternehmen sich effektiv schützen.
Malware: Arten, Analyse und Schutzmaßnahmen
Von Viren und Trojaner bis Ransomware, Spyware und Rootkits - alle Malware-Varianten erklärt, aktuelle Bedrohungslandschaft, Analyse-Methoden und praxiserprobte Schutzmaßnahmen für Unternehmen.
PDF-Sicherheit: Schadsoftware, sichere Viewer und Schutzmaßnahmen
Wie Angreifer PDFs als Angriffsvektor nutzen, welche Viewer sicher sind und wie Sie sich vor schadhaften PDF-Anhängen schützen.
Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen
Vollständiger Guide zu Phishing und Social Engineering: Phishing-Taxonomie (Mass Phishing, Spear Phishing, Whaling, BEC, Smishing, Vishing, QR-Code-Phishing, AiTM), technische Angriffstechniken (Domain-Spoofing, Phishing-Kits), psychologische Manipulationsprinzipien (Cialdini), Pretexting, technische Schutzmaßnahmen (DMARC, phishing-resistente MFA, E-Mail-Gateway), Phishing-Simulationen, Schulungsinhalte und Incident Response. Mit aktuellen KI-Phishing-Trends 2024.
Ransomware
Ransomware ist Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Entsperrung ein Lösegeld fordert. Sie ist eine der kostspieligsten Cyberbedrohungen weltweit.
Social Engineering: Psychologische Manipulationstaktiken in der IT-Sicherheit
Social Engineering erklärt: Pretexting, Baiting, Tailgating, Quid pro Quo - alle Angriffsvarianten, die psychologischen Hebel dahinter und wirksame Gegenmaßnahmen.
Supply Chain Angriffe: SolarWinds, Log4Shell und die unsichtbare Bedrohung
Supply Chain Angriffe erklärt: wie SolarWinds, Log4Shell und XZ Utils funktionieren, warum sie so gefährlich sind, und wie Unternehmen ihre Software-Lieferkette absichern.
Branchenspezifisch
E-Rezept: Digitalisierung, Sicherheit und Datenschutz im Gesundheitswesen
Das E-Rezept ersetzt den rosa Papierzettel durch eine digitale Verordnung. Dieser Artikel erklärt die technische Infrastruktur, die Datenschutzrisiken, bekannte Sicherheitsvorfälle und was Patienten sowie IT-Verantwortliche im Gesundheitswesen wissen müssen.
Maritime IT-Sicherheit: Cybersecurity in der Schifffahrt
Maritime IT-Sicherheit schützt Schiffe, Häfen und die maritime Infrastruktur vor Cyberangriffen. GPS-Spoofing, ECDIS-Manipulationen und Ransomware-Angriffe auf Reedereien zeigen, wie real die Bedrohungslage ist.
Cloud Security
Cloud Detection Engineering: Angriffserkennung in AWS, Azure und GCP
Erkennungsregeln fuer Cloud-Angriffe in AWS, Azure und GCP: Detection-as-Code, ATT&CK for Cloud, CloudTrail-Auswertung und False-Positive-Management.
Cloud IAM Security: AWS, Azure und GCP richtig absichern
Cloud Identity and Access Management Sicherheit: AWS IAM (Least Privilege, Permission Boundaries, Service Control Policies, IAM Access Analyzer), Azure RBAC + Entra ID (Custom Roles, Conditional Access, Managed Identities), GCP IAM (Workload Identity Federation, Organization Policies), Service Account Sicherheit, Cloud-native Secret Management (AWS Secrets Manager, Azure Key Vault, GCP Secret Manager), Cross-Cloud-Identitätsfoederation und CSPM-Integration.
Cloud Key Management: AWS KMS, Azure Key Vault und HashiCorp Vault im Vergleich
Cloud Key Management Services (KMS) im Vergleich: AWS KMS, Azure Key Vault und HashiCorp Vault mit Envelope Encryption, HSM, BYOK und Compliance.
Container-Sicherheit und Kubernetes Hardening: Der vollständige Guide
Container- und Kubernetes-Sicherheit von Grund auf: Das 4C-Modell, Docker-Image-Hardening (non-root, distroless, multi-stage), Container-Scanning mit Trivy und Grype, Kubernetes RBAC, Pod Security Standards (restricted), NetworkPolicy (deny-all + Allowlist), Secrets Management mit External Secrets Operator und Vault, Runtime-Security mit Falco und eBPF, Serverless Security, Supply Chain Security mit Cosign/SLSA, CI/CD-Pipeline und Cloud-Native Security Maturity Model.
Compliance
GRC: Governance, Risk Management und Compliance für Unternehmen
Einführung in GRC (Governance, Risk Management and Compliance): Was GRC bedeutet, wie ein GRC-Framework aufgebaut wird, welche Tools unterstützen, wie GRC mit ISO 27001, NIS2 und DSGVO zusammenhängt und warum integriertes GRC effizienter ist als siloartige Compliance-Ansätze.
Kritische Infrastruktur (KRITIS): Definition, Schutz und NIS2
KRITIS - Kritische Infrastrukturen in Deutschland: welche Sektoren betroffen sind, welche Cybersicherheitspflichten gelten, und wie die NIS2-Richtlinie den Schutz verschärft.
Compliance & Governance
Cloud Compliance: SOC 2, ISO 27017, ISO 27018, CSA STAR und FedRAMP
Cloud Compliance umfasst die Gesamtheit regulatorischer Anforderungen und Zertifizierungsstandards für Cloud-Dienste: SOC 2 (Trust Service Criteria), ISO 27017 (Cloud-spezifische Sicherheitskontrollen), ISO 27018 (Datenschutz in der Cloud), CSA STAR (Cloud Security Alliance), FedRAMP (US-Bundesbehörden), C5 (BSI) und EUCS (EU Cloud Scheme). Dieser Artikel erklärt Unterschiede, Anforderungen und Zertifizierungsprozesse.
Data Governance: Daten als Unternehmensasset systematisch verwalten
Data Governance ist der organisatorische und technische Rahmen für den sicheren, regelkonformen und wertschöpfenden Umgang mit Unternehmensdaten. Dieser Artikel erklärt das Data Governance Framework, Rollen (Data Owner, Steward, Custodian), Datenklassifizierung, Datenkatalog, Datenqualität, Lineage und Compliance-Integration (DSGVO, ISO 27001).
Compliance & Recht
DSGVO und IT-Sicherheit: Technische Anforderungen, TOMs und Umsetzung
DSGVO und IT-Sicherheit: Technische Massnahmen nach Art. 32, TOMs, 72-Stunden-Meldepflicht, DSFA und Privacy by Design in der Praxis.
Informationssicherheitsbeauftragter (ISB)
Der ISB verantwortet das ISMS, Risikoanalysen und Compliance. Aufgaben, Qualifikation, NIS-2-Pflicht und der Vergleich interner vs. externer ISB für Unternehmen.
Compliance & Standards
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik, das Unternehmen und Behörden eine systematische Methodik zur Umsetzung von Informationssicherheit bietet - mit sehr detaillierten, praxisnahen Bausteinen.
DORA - Digital Operational Resilience Act
DORA ist eine EU-Verordnung, die ab Januar 2025 für Finanzunternehmen verbindliche Anforderungen an die digitale Betriebsstabilität, das IKT-Risikomanagement und die Meldung von Vorfällen vorschreibt.
ISO 27001 - Informationssicherheitsmanagementsystem
ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme (ISMS). Er definiert Anforderungen an Aufbau, Betrieb und kontinuierliche Verbesserung der Informationssicherheit.
NIS2-Richtlinie
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Rechtsvorschrift, die Cybersicherheitsanforderungen für kritische und wichtige Einrichtungen harmonisiert und verschärft.
Datenschutz
Datenleck-Check: So prüfen Sie, ob Ihre Daten kompromittiert wurden
Ein Datenleck-Check prüft, ob E-Mail-Adressen, Passwörter oder andere persönliche Daten in bekannten Datenpannen aufgetaucht sind. Dieser Artikel erklärt die wichtigsten Tools (Have I Been Pwned, Firefox Monitor, HPI Identity Leak Checker, Google Password Checkup), wie diese Dienste technisch funktionieren, welche Sofortmaßnahmen nach einem Treffer gelten und warum Domain-Monitoring für Unternehmen unverzichtbar ist.
Third-Party-Cookies: Abschaffung, Alternativen und Datenschutz
Third-Party-Cookies sind das technische Fundament des Werbe-Trackings im Web. Dieser Artikel erklärt, wie sie funktionieren, warum ihr Ende absehbar ist, welche Alternativen entstehen und was das für Datenschutz und Website-Betreiber bedeutet.
USB-Stick sicher löschen: Daten unwiederbringlich entfernen
Normales Löschen oder Formatieren entfernt Daten auf einem USB-Stick nicht unwiederbringlich - mit einfachen Tools lassen sie sich vollständig wiederherstellen. Dieser Artikel erklärt die verschiedenen Löschmethoden, die Besonderheiten von Flash-Speicher, geeignete Tools und Unternehmensrichtlinien nach NIST 800-88.
DevSecOps
DevSecOps Tools Vergleich: SAST, DAST, SCA und Secrets Scanning
Ein strukturierter Vergleich der wichtigsten DevSecOps-Tools für Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Software Composition Analysis (SCA) und Secrets Scanning. Der Artikel erklärt Einsatzzweck, Stärken und Grenzen von Semgrep, SonarQube, Snyk, OWASP ZAP, Nuclei, Trivy, Gitleaks und weiteren Tools sowie deren Integration in CI/CD-Pipelines (GitHub Actions, GitLab CI).
DevSecOps: Sicherheit in CI/CD-Pipelines integrieren
Praxisguide zur DevSecOps-Implementierung: Wie Security-Tests in CI/CD-Pipelines integriert werden, welche Tools für SAST, DAST, SCA und Container-Scanning eingesetzt werden, und wie Security-Findings in den Entwicklungs-Workflow fließen. Mit konkreten GitLab-CI und GitHub-Actions-Beispielen.
Software Supply Chain Security: SLSA, Sigstore und Dependency Management
Software Supply Chain Security schützt den gesamten Softwareentwicklungsprozess vor Kompromittierung - von Quellcode-Repositories über Build-Systeme bis zu Paket-Registries. SLSA (Supply-chain Levels for Software Artifacts) definiert Sicherheitsstufen für Build-Prozesse. Sigstore ermöglicht transparentes Code-Signing. Dieser Artikel erklärt SolarWinds, XZ Utils und andere Supply-Chain-Angriffe sowie praktische Gegenmaßnahmen.
E-Mail-Sicherheit
DKIM - DomainKeys Identified Mail
DKIM ist ein E-Mail-Authentifizierungsprotokoll, das ausgehende E-Mails kryptografisch signiert und so sicherstellt, dass die Nachricht auf dem Weg zum Empfänger nicht manipuliert wurde.
DMARC - Domain-based Message Authentication, Reporting and Conformance
DMARC ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut und Domaininhaber in die Lage versetzt, E-Mail-Spoofing und Phishing-Angriffe zu verhindern.
E-Mail-Security-Gateway: Phishing und Malware stoppen
E-Mail-Security-Gateway-Implementierung: SPF/DKIM/DMARC-Durchsetzung, Anti-Phishing (URL-Rewriting, Sandboxing), Anti-Malware (Attachment-Scanning, Zero-Day-Protection), Business-Email-Compromise (BEC) Erkennung, Sichere E-Mail-Gateways im Vergleich (Microsoft Defender for Office 365, Proofpoint, Mimecast, Hornetsecurity), E-Mail-Archivierung für Compliance, TLS-Verschlüsselung erzwingen und Konfiguration von DMARC-Reports.
E-Mail-Sicherheit: SPF, DKIM, DMARC, BIMI und MTA-STS im Detail
Vollständige E-Mail-Sicherheitsreferenz: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), DMARC (Reporting und Enforcement), BIMI (Brand Indicators for Message Identification), MTA-STS und DANE. Inklusive DNS-Konfigurationsbeispielen, typischer Fehlkonfigurationen, stufenweisem Rollout und Debugging-Tools.
E-Mail-Sicherheitsarchitektur: DMARC, SPF, DKIM, BIMI und MTA-STS im Verbund
Vollständige E-Mail-Sicherheitsarchitektur erklärt: SPF (Sender Policy Framework) verhindert IP-Spoofing, DKIM (DomainKeys Identified Mail) signiert E-Mails kryptografisch, DMARC (Domain-based Message Authentication) verbindet beides und legt Richtlinien für Fehler fest. BIMI ermöglicht Logo-Anzeige in E-Mail-Clients als Vertrauenssignal. MTA-STS und TLS-RPT sichern den Transport. Inklusive stufenweiser Implementierung, DNS-Konfiguration und Monitoring.
SPF - Sender Policy Framework
SPF ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das festlegt, welche Mailserver E-Mails im Namen einer Domain versenden dürfen, und damit E-Mail-Spoofing verhindert.
SPF (Sender Policy Framework): E-Mail-Authentifizierung gegen Spoofing
SPF (Sender Policy Framework) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das festlegt, welche Mailserver für eine Domain senden dürfen. Erklärt: Funktionsweise, DNS-Syntax, Mechanismen, das 10-Lookup-Limit, Grenzen von SPF und das Zusammenspiel mit DKIM und DMARC.
Endpoint Security
Application Allowlisting: Windows Defender Application Control und AppLocker
Application Allowlisting (früher Whitelisting) lässt nur explizit freigegebene Software ausführen und verhindert so Malware-Ausführung fundamental. Dieser Artikel erklärt WDAC (Windows Defender Application Control) und AppLocker: Richtlinien-Aufbau, Regeltypen (Hash, Publisher, Path), CI/CD-Integration, Audit-Mode, Bypass-Techniken und Migrationsstrategie von Deny-All zu produktiver Umgebung.
Mobile Device Management (MDM): Smartphones und Tablets sicher verwalten
Mobile Device Management (MDM) ermöglicht die zentrale Verwaltung von Smartphones, Tablets und Laptops. Dieser Artikel erklärt MDM-Architekturen, Enrollment-Methoden (DEP/Apple Business Manager, Android Enterprise Zero-Touch), Compliance Policies, App Management (MAM), BYOD vs. Firmeneigene Geräte und Produkt-Vergleich (Intune, Jamf, VMware Workspace ONE).
Mobile Security: Android und iOS Enterprise-Härtung, MDM und BYOD
Umfassender Guide zur Mobile Security für Unternehmen: Bedrohungsprofil (Malicious Apps, Smishing, Vishing, Netzwerkrisiken), MDM vs. MAM, BYOD/COPE/COBO-Modelle, iOS Enterprise-Härtung (Supervised Mode, Per-App-VPN, Lockdown Mode), Android Enterprise (Work Profile, Fully Managed, Knox), Mobile Threat Defense (Lookout, Zimperium, Microsoft Defender for Mobile), Conditional Access, DSGVO-konforme MDM-Policies und Incident Response für kompromittierte Mobilgeräte.
Endpoint-Sicherheit
EDR im Unternehmen: Deployment, Tuning und Incident Response
Endpoint Detection and Response (EDR) ist die kritische Sicherheitsschicht für moderne Endpunkte. Dieser Guide erklärt EDR-Architektur und Deployment (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Carbon Black), wie EDR-Alerting richtig konfiguriert wird (Alert Fatigue vermeiden), wie EDR-Daten für Threat Hunting genutzt werden, und wie EDR in SOAR und SIEM integriert wird. Inklusive Vergleich EDR vs. XDR vs. MDR.
Windows Server Härtung: CIS Benchmark, Microsoft Security Baseline und Praxis-Guide
Systematische Härtung von Windows Server 2019/2022 nach CIS Benchmark Level 1/2 und Microsoft Security Baseline: Dienste deaktivieren, SMB v1 abschalten, NTLM einschränken, LAPS v2 für lokale Administrator-Passwörter, PowerShell-Härtung, Windows Firewall, Audit-Policies (auditpol), Protected Users Security Group, Credential Guard, AppLocker und TLS 1.3 erzwingen. Mit priorisierten PowerShell-Skripten und Compliance-Prüfung.
Grundlagen
Allowlist und Blocklist: Zugriffskontrolle in der IT-Sicherheit
Allowlists und Blocklists sind grundlegende Mechanismen der Zugriffskontrolle. Dieser Artikel erklärt Funktionsweise, Einsatzbereiche wie E-Mail-Filterung, Firewalls und Application Control, vergleicht beide Ansätze und zeigt den Zusammenhang mit Zero-Trust-Strategien.
IT Asset Management (ITAM) und Cybersicherheit: Alles inventarisieren, alles schützen
Warum vollständiges IT Asset Management die Grundlage jeder Sicherheitsstrategie ist: CMDB-Konzept, Software Asset Management, SBOM, Hardware-Lifecycle, automatisierte Discovery-Tools und wie ITAM mit ISO 27001, NIS2 und Vulnerability Management zusammenhängt.
Physische Sicherheit in der Informationssicherheit: Server, Büro und Zugangskontrolle
Physische Sicherheit ist das oft unterschätzte Fundament der Informationssicherheit. Dieser Artikel behandelt Serverraum-Sicherheit, Zutrittskontrollsysteme, Clean Desk Policy, Laptop-Diebstahl-Schutz, physische Angriffsvektoren (Evil Maid, USB-Drops) und wie physische Maßnahmen mit ISO 27001 und BSI IT-Grundschutz zusammenhängen.
Sichere Webseiten erkennen: Merkmale und Prüfmethoden
Nicht jede Webseite mit Schloss-Symbol ist sicher. Dieser Artikel erklärt, welche technischen und inhaltlichen Merkmale eine sichere Website ausmachen, wie man Phishing-Seiten erkennt und welche Browser-Tools bei der Prüfung helfen.
Identity & Access Management
Access Control Modelle: DAC, MAC, RBAC, ABAC und Zero Trust
Zugriffskontrolle ist das fundamentale Sicherheitskonzept jedes IT-Systems. Dieser Artikel erklärt die vier Hauptmodelle - Discretionary (DAC), Mandatory (MAC), Role-Based (RBAC), Attribute-Based (ABAC) - deren Stärken und Schwächen, praktische Implementierungsbeispiele in Active Directory, AWS IAM und PostgreSQL sowie den Übergang zu Zero-Trust-Zugriffskontrolle.
Digitale Identitäten: Zwischen Realität und Cyberspace
Was digitale Identitäten sind, wie Identitätsdiebstahl funktioniert und wie man sich mit MFA, Passkeys, eIDAS und Self-Sovereign Identity schützt.
Identity Governance and Administration (IGA): Joiner-Mover-Leaver und Zugriffszertifizierung
Identity Governance and Administration (IGA) umfasst die Prozesse zur Verwaltung von Benutzeridentitäten über deren gesamten Lebenszyklus: Anlage bei Joiner-Prozessen, Anpassung bei Role Changes (Mover), Deaktivierung bei Leaver-Prozessen. IGA-Systeme automatisieren Berechtigungsvergabe, erzwingen Segregation of Duties (SoD) und ermöglichen periodische Zugriffszertifizierungen.
Identity Security
Identitätsdiebstahl und Account Takeover: Angriffe und Schutzmaßnahmen
Wie Angreifer Accounts übernehmen und Identitäten missbrauchen: Credential Stuffing, Passwort-Spraying, SIM-Swapping, MFA-Bypass-Techniken. Schutzmaßnahmen mit Microsoft Sentinel, Conditional Access und FIDO2 für Unternehmen.
Privileged Access Management (PAM): Privilegierte Konten schützen
Privileged Access Management (PAM) schützt die mächtigsten Konten in einer IT-Umgebung - Domain Admins, Root-Accounts, Service-Accounts. Dieser Artikel erklärt PAM-Architektur (Vault, Session Recording, JIT-Zugang), PAM-Produkte im Vergleich (CyberArk, Delinea, BeyondTrust, HashiCorp Vault, Microsoft PIM), Tiered-Admin-Modell, Just-in-Time-Privilege, Break-Glass-Konten, DSGVO-konforme Session-Aufzeichnung und Integration mit SIEM und SOAR.
Incident Response
CSIRT: Computer Security Incident Response Teams im Überblick
CSIRT steht für Computer Security Incident Response Team und bezeichnet eine spezialisierte Einheit zur strukturierten Reaktion auf Cybersicherheitsvorfälle. Dieser Artikel erklärt Aufbau, Aufgaben, Rollen und Prozesse eines CSIRT sowie die Abgrenzung zu CERT und SOC und gibt einen Überblick über nationale und internationale CSIRT-Strukturen.
Digitaler Ersthelfer: Erste Hilfe bei Cyberangriffen
Digitale Ersthelfer sind geschulte Mitarbeiter, die bei IT-Sicherheitsvorfällen im Unternehmen die ersten Maßnahmen einleiten können - bevor Spezialisten hinzugezogen werden. Das Konzept stärkt die Resilienz gerade in kleinen und mittleren Unternehmen.
IT-Notfallplan: Vorbereitung auf Cyberangriffe
Ein IT-Notfallplan legt fest, welche Schritte ein Unternehmen nach einem Cyberangriff einleiten muss, um schnell in den Regelbetrieb zurückzukehren. Dieser Artikel erklärt die Bestandteile eines Cyber Incident Response Plans, die Erstellung Schritt für Schritt, Notfallübungen und den BSI-Standard 200-4.
Kryptographie
Kryptographie: Verschlüsselung, Algorithmen, PKI und Post-Quantum
Kryptographie ist die technische Grundlage der IT-Sicherheit. Dieser Artikel erklärt symmetrische und asymmetrische Verschlüsselung (AES, RSA, ECC), Hash-Funktionen und Passwort-Hashing (bcrypt, Argon2), digitale Signaturen, PKI-Hierarchien, TLS 1.3 mit konkreten Nginx-Konfigurationen, Post-Quantum-Kryptographie (ML-KEM, ML-DSA), BSI TR-02102 Empfehlungen und häufige Implementierungsfehler in der Praxis.
Password Hashing: Wie Passwörter sicher gespeichert werden
Password Hashing ist das grundlegende Verfahren, mit dem Passwörter niemals im Klartext gespeichert werden, sondern als kryptographischer Hashwert. Dieser Artikel erklärt die Funktionsweise von Hash-Funktionen, spezialisierte Algorithmen wie bcrypt, scrypt und Argon2, den Einsatz von Salt und Pepper sowie Angriffsmethoden wie Rainbow Tables und Brute Force.
RSA-Verschlüsselung: Funktionsweise, Sicherheit und Zukunft
RSA ist das meistverbreitete asymmetrische Kryptosystem und Grundlage von HTTPS, E-Mail-Signierung und sicherer Authentifizierung. Dieser Artikel erklärt die mathematischen Grundlagen, praktische Anwendungen, bekannte Angriffe und die Bedrohung durch Quantencomputing.
SSL/TLS: Grundlagen, Zertifikate und sichere Konfiguration
SSL und TLS sind die kryptographischen Protokolle hinter jeder HTTPS-Verbindung. Dieser Artikel erklärt die Geschichte von SSL 1.0 bis TLS 1.3, den TLS-Handshake und Cipher Suites, das Zertifikatssystem (DV/OV/EV, Let's Encrypt, CA-Hierarchie), sichere Server-Konfiguration (HSTS, OCSP Stapling), bekannte Schwachstellen (BEAST, POODLE, Heartbleed, ROBOT) sowie Testing-Tools wie testssl.sh und SSL Labs.
Netzwerksicherheit
DMZ - Demilitarisierte Zone in der Netzwerksicherheit
Die DMZ (Demilitarisierte Zone) ist ein abgeschottetes Netzwerksegment zwischen Internet und internem Netz. Architektur, Einsatzbereiche, Vor- und Nachteile sowie Best Practices.
DNS-Blocking: Webseiten sperren, Phishing verhindern, Sicherheit erhöhen
DNS-Blocking sperrt unerwünschte Domains auf Ebene der Namensauflösung, bevor eine Verbindung aufgebaut wird. Dieser Artikel erklärt Funktionsweise, Einsatzszenarien wie Phishing-Schutz und Malware-Prävention, Tools wie Pi-hole und Quad9 sowie die Grenzen des Verfahrens.
Firewall und Next-Generation Firewall (NGFW): Netzwerkschutz verstehen
Von der klassischen Paketfilter-Firewall zur Next-Generation Firewall (NGFW) mit Deep Packet Inspection, IPS, SSL-Inspection und Application Control. Konfigurationsbeispiele, Firewall-Generationen und Entscheidungshilfe welche Lösung für welches Unternehmen passt.
Firewall: Funktionsweise, Typen und Best Practices für Unternehmen
Eine Firewall kontrolliert den Netzwerkverkehr anhand definierter Regeln und schützt Netzwerksegmente vor unautorisierten Zugriffen. Dieser Artikel erklärt alle Firewall-Typen von Paketfilter bis NGFW, Host-based vs. Network-Firewalls, Konfigurationsprinzipien sowie die Abgrenzung zu IDS/IPS und WAF.
Lateral Movement: Erkennung und Verteidigung im Unternehmensnetzwerk
Lateral Movement bezeichnet die Techniken mit denen Angreifer sich nach erstem Zugang durch ein Netzwerk bewegen um weitere Systeme zu kompromittieren. Dieser Artikel erklärt die häufigsten Techniken (Pass-the-Hash, Pass-the-Ticket, Kerberoasting, WMI/PSExec), Erkennungsstrategien via Windows-Event-Logs und EDR sowie Defense-Maßnahmen (Local Admin Password Solution LAPS, Protected Users Security Group, SMB Signing, Network Segmentierung).
Network Access Control (NAC): 802.1X, RADIUS, Posture Assessment und Zero-Trust-Integration
Network Access Control (NAC): 802.1X, RADIUS, Posture Assessment, VLAN-Quarantaene und Vergleich von Cisco ISE, Aruba ClearPass und Forescout.
Network Detection and Response (NDR): Bedrohungserkennung im Netzwerk
Network Detection and Response (NDR) analysiert Netzwerkverkehr mittels ML, Verhaltensanalyse und Threat Intelligence um Bedrohungen zu erkennen die Endpoint-Lösungen umgehen. NDR-Lösungen (Darktrace, ExtraHop, Vectra AI, Cisco Secure Network Analytics) erkennen: Command-and-Control-Traffic, laterale Bewegung, Daten-Exfiltration, verschlüsselte Malware. Integration in XDR-Plattformen und SOC-Workflows.
Netzwerksicherheit: Architekturen, Technologien und Best Practices
Netzwerksicherheit schützt Unternehmensnetze vor Einbruch, Datenverlust und Manipulation. Ein praxisorientierter Überblick zu Firewall, Segmentierung, Zero Trust, typischen Angriffen und Penetrationstests.
Proxy Server: Funktionsweise, Typen und Sicherheitsaspekte
Ein Proxy Server schaltet sich als Vermittler zwischen zwei Kommunikationspartner. Dieser Artikel erklärt Funktionsweise, Forward- und Reverse-Proxy, SOCKS, Caching, Filterung, Anonymisierung, Load Balancing und den Unterschied zu VPN.
VPN: Funktionsweise, Protokolle und Einsatzszenarien
VPN (Virtual Private Network) erklärt: Tunneling, Verschlüsselung, Protokolle (IPSec, OpenVPN, WireGuard, L2TP, SSTP), Site-to-Site vs. Remote Access, Split Tunneling, Unternehmenseinsatz, Zero Trust als Alternative sowie Grenzen und Auswahlkriterien.
WLAN-Sicherheit im Unternehmen: Von WPA3 bis 802.1X
Enterprise-WLAN-Sicherheit: WPA3-Enterprise vs. WPA3-SAE, 802.1X-Authentifizierung (RADIUS + EAP-TLS/PEAP), SSID-Segmentierung (Corp vs. BYOD vs. Gäste), Rogue Access Point Detection, WLAN-IDS/IPS, PMF (Protected Management Frames), Evil Twin Attack Erkennung, sichere WLAN-Konfiguration für Cisco, Aruba und Ubiquiti sowie WLAN-Pen-Test-Methodik.
Offensive Security
Active Directory Angriffe
Active Directory (AD) ist das Herzstück fast jeder Windows-Unternehmensinfrastruktur - und damit das bevorzugte Angriffsziel. Dieser Artikel erklärt die häufigsten AD-Angriffstechniken und wie man sich schützt.
OSINT: Open Source Intelligence in der Cybersecurity
OSINT (Open Source Intelligence) erklärt: wie Angreifer und Pentester öffentlich verfügbare Informationen nutzen, welche Tools eingesetzt werden und wie Unternehmen ihre OSINT-Angriffsfläche reduzieren.
Penetrationstest (Pentest)
Ein Penetrationstest ist ein autorisierter Sicherheitstest, bei dem Experten reale Cyberangriffe simulieren, um Schwachstellen in IT-Systemen, Netzwerken oder Anwendungen zu identifizieren.
Pentest-Tools: Die wichtigsten Werkzeuge für Penetrationstester
Strukturierter Überblick über die wichtigsten Pentest-Tools nach Kategorie: Reconnaissance, Scanning, Exploitation, Post-Exploitation, Reporting und Terminal-Dokumentation. Mit Einordnung von Nmap, Burp Suite, Metasploit, Gobuster, Nikto, SSLScan, Terminalizer und weiteren Werkzeugen.
Red Teaming: Angriffssimulationen professionell durchführen
Umfassender Guide zu Red-Team-Operationen: Unterschied zu Penetrationstests, TIBER-EU-Rahmenwerk, Red-Team-Phasen (Reconnaissance bis Reporting), C2-Infrastruktur, häufig genutzte TTPs und wie Unternehmen von Red Team Engagements profitieren.
Shodan: Die Suchmaschine für das Internet der Dinge
Shodan ist eine Suchmaschine, die öffentlich erreichbare Geräte, Server und Dienste im Internet indexiert - nicht Webseiteninhalte, sondern technische Service-Banner mit Softwareversionen, offenen Ports und Konfigurationsdaten. Für Penetrationstester, Sicherheitsforscher und Unternehmen ist Shodan ein zentrales Werkzeug zur Analyse der eigenen Angriffsfläche.
Web Scraping: Techniken, Rechtslage und Abwehrmaßnahmen
Web Scraping bezeichnet die automatisierte Extraktion von Webinhalten. Techniken, Rechtslage nach DSGVO und UrhG, Erkennung, Abwehr und OSINT-Relevanz kompakt erklärt.
Penetrationstest
OSINT Methoden: Tools und Techniken für Open Source Intelligence
OSINT (Open Source Intelligence) bezeichnet das systematische Sammeln und Auswerten öffentlich verfügbarer Informationen für Sicherheits- und Reconnaissance-Zwecke. Dieser Artikel erklärt OSINT-Methoden für Unternehmensrecherche: DNS-Enumeration (dnsx, amass, subfinder), Google Dorking, Shodan/Censys, Certificate Transparency, Social-Media-OSINT, WHOIS-Analyse und passive Recon-Frameworks wie Maltego und SpiderFoot.
Physical Penetration Testing: Methodik, Werkzeuge und rechtliche Grundlagen
Physical Penetration Testing testet physische Sicherheitsmaßnahmen: Zutrittskontrolle, Tailgating, Lock-Picking, Badge-Klonen, OSINT für physische Ziele, Social Engineering vor Ort. Dieser Artikel erklärt Methodik (PTES Physical), Werkzeuge (Proxmark3, Flipper Zero, Lock-Picks), rechtliche Absicherung (Autorisierungsschreiben), und Schutzmaßnahmen gegen physische Angriffe.
Secure Development
Secure Coding Practices: Sicherheit im Entwicklungsprozess verankern
Secure Coding und Secure SDLC: Von Threat Modeling und STRIDE über sprachspezifische Sicherheitsmuster (Python, Java, Node.js, Go) für Input Validation, SQL Injection, Authentifizierung und Kryptographie bis zu SAST/DAST/SCA in CI/CD, Security Code Reviews, Container Security, SBOM, Secrets Management und dem OWASP SAMM Reifegradmodell. Praxisleitfaden für Entwicklungsteams ohne eigene Security-Abteilung.
Web-Applikations-Sicherheit: OWASP Top 10, Security Testing und WAF
Umfassender Guide zur Web-Applikations-Sicherheit: OWASP Top 10 (2021) mit sicheren Code-Beispielen, vollständige WSTG-Testmethodik (SQL Injection, XSS, SSRF, IDOR, Business Logic), Burp Suite Pro Workflow, Nuclei-Scanning, Security Headers, WAF-Konfiguration und Compliance-Anforderungen (PCI DSS, BSI IT-Grundschutz, ISO 27001, NIS2). Für Entwickler, Security-Teams und Auftraggeber von Web-Pentests.
Security Awareness
Awareness-Kampagne planen: Strategie, Umsetzung und Erfolgsmessung
Security-Awareness-Kampagnen sensibilisieren Mitarbeitende für Cyberbedrohungen und sind ein zentrales Element jedes Informationssicherheitsprogramms. Dieser Artikel erklärt Planung, Zielgruppenanalyse, Umsetzungsformate, KPIs und häufige Fehler.
Phish Scale: NIST-Methodik zur Bewertung von Phishing-Simulationen
Der NIST Phish Scale ist eine wissenschaftlich fundierte Methodik zur Bewertung der Schwierigkeit von Phishing-E-Mails in Simulationen. Er erklärt, warum Click-Raten allein kein aussagekräftiger Maßstab für Security-Awareness-Programme sind.
Security Operations
Attack Surface Management: Externe Angriffsfläche kennen und reduzieren
Attack Surface Management (ASM) ist der kontinuierliche Prozess, alle extern erreichbaren Assets einer Organisation zu entdecken, zu bewerten und zu überwachen. Dieser Artikel erklärt External ASM (EASM), Asset Discovery-Methoden, Exposure-Bewertung, Integration mit Vulnerability Management und relevante Tools (Shodan, Censys, netlas.io, kommerzielle EASM-Plattformen).
Endpoint Security: EDR, EPP und ganzheitlicher Geräteschutz
Endpoint Security schützt alle Endgeräte - Laptops, Server, mobile Geräte. Von klassischem Antivirus zu EDR und XDR: Technologien, Erkennungsmethoden, Härtungsmaßnahmen und Auswahl der richtigen Lösung.
Enterprise Patch Management: Systematische Schwachstellenbehebung
Patch Management ist der strukturierte Prozess zur Identifikation, Bewertung, Testung und Installation von Software-Updates. Dieser Artikel erklärt den vollständigen PM-Prozess: Asset-Inventar, Patch-Quellen, Risikobewertung, Test-Verfahren, Rollout-Strategien (WSUS, SCCM, Ansible, AWS SSM), Notfall-Patching und Compliance-Anforderungen nach ISO 27001 (A.8.8) und NIS2.
Incident Response
Incident Response (IR) ist der strukturierte Prozess zur Erkennung, Eindämmung, Beseitigung und Nachbereitung von Cybersicherheitsvorfällen. Ein vorbereiteter IR-Prozess entscheidet über Ausmaß und Dauer eines Angriffschadens.
IT-Notfallmanagement: Incident Response und Krisenmanagement
Strukturierter Leitfaden für IT-Notfallmanagement: vom Aufbau eines Incident Response Plans über die ersten 72 Stunden nach einem Cyberangriff bis zu gesetzlichen Meldepflichten nach NIS2 und DSGVO. Mit Vorlagen und Checklisten.
Netzwerk-Forensik: Angriffe im Netzwerkverkehr rekonstruieren
Netzwerk-Forensik ist die Analyse von Netzwerkdaten zur Aufklärung von Sicherheitsvorfällen. Dieser Artikel erklärt Capture-Strategien (TAP, SPAN, NetFlow), Analyse-Tools (Wireshark, Zeek, Suricata, NetworkMiner), typische Angriffssignaturen im Traffic, Beweissicherung nach ISO/IEC 27037 und die Grenzen der Netzwerk-Forensik bei verschlüsseltem Verkehr.
Schwachstellenmanagement: Der vollständige Leitfaden
Schwachstellenmanagement (Vulnerability Management) systematisch umsetzen: von der Erkennung über Priorisierung bis zur Behebung - mit CVSS, EPSS und Patch-Strategien.
Security Awareness Training: Wie die Human Firewall wirklich funktioniert
Security Awareness Training richtig umgesetzt: Warum klassische Einmal-Schulungen versagen, was Phishing-Simulationen wirklich messen und wie ein nachhaltiges Awareness-Programm Cyberrisiken reduziert.
Security Metriken und KPIs: Sicherheit messbar machen
Sicherheitsmetriken sind der Beweis dass Investitionen in IT-Sicherheit wirken. Dieser Artikel erklärt welche KPIs für Operations (MTTD, MTTR, FP-Rate), Vulnerability Management (Patch Compliance, MTTR), Awareness Training (Phishing-Klickrate), Compliance (Audit-Erfüllungsgrad) und strategische Board-Berichte relevant sind - mit konkreten Zielwerten und Messformeln.
Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen
SOC und SIEM sind die Grundlage jeder professionellen Bedrohungserkennung. Dieser Artikel erklärt Aufbau und Betrieb eines SOC, SIEM-Architektur, Use Cases, Alert-Triage und die Frage: Eigenes SOC oder MSSP?
SOAR: Security Orchestration, Automation and Response implementieren
Security Orchestration, Automation and Response (SOAR) automatisiert repetitive SOC-Aufgaben und verkürzt Mean Time to Respond (MTTR) von Stunden auf Minuten. Dieser Guide erklärt SOAR-Architektur und Plattformen (Splunk SOAR, Microsoft Sentinel, Palo Alto XSOAR, TheHive), wie Playbooks für häufige Incidents (Phishing, Malware, Credential Compromise) aufgebaut werden, und wie SOAR in SIEM, EDR und Ticketsysteme integriert wird.
Threat Intelligence: Angreifer verstehen bevor sie angreifen
Threat Intelligence (TI) ist das systematische Sammeln und Analysieren von Informationen über Bedrohungsakteure, Angriffsmethoden und IoCs. Von OSINT bis zu kommerziellen Feeds: wie Unternehmen TI operativ einsetzen.
Vulnerability Management: Systematisches Schwachstellenmanagement in der Praxis
Vulnerability Management ist mehr als regelmäßige Scans - es ist ein kontinuierlicher Prozess aus Erkennung, Bewertung, Priorisierung, Behebung und Verifikation. Dieser Artikel erklärt das vollständige VM-Programm: Scanner-Auswahl, CVSS vs. EPSS-Priorisierung, Patch-SLAs, Metriken und Integration in DevSecOps und ISMS.
Sicherheitsarchitektur
Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide
Cloud Security umfassend erklärt: Shared Responsibility Model, häufige Fehlkonfigurationen und wie man sie vermeidet, sichere Cloud-Architektur, CSPM, IAM-Sicherheit, Verschlüsselung, Compliance-Anforderungen und Best Practices für AWS, Azure und Google Cloud.
Zero Trust - Modernes Sicherheitsarchitekturprinzip
Zero Trust ist ein Sicherheitsparadigma, das auf dem Grundsatz 'never trust, always verify' basiert: Kein Benutzer, Gerät oder Netzwerkbereich wird implizit vertraut - jeder Zugriff wird explizit verifiziert.
Standards & Frameworks
ISIS12: Der Einstiegsstandard für Informationssicherheit
ISIS12 ist ein pragmatisches Vorgehensmodell für Informationssicherheit, das speziell für kleine und mittlere Organisationen entwickelt wurde. In 12 Schritten führt es zur Einführung eines ISMS auf Basis des BSI IT-Grundschutzes.
ITIL Framework: IT-Service-Management strukturiert umsetzen
ITIL (IT Infrastructure Library) ist der weltweit verbreitete De-facto-Standard für IT-Service-Management. Das Framework von AXELOS strukturiert IT-Prozesse vom Service-Design bis zum laufenden Betrieb und umfasst in der aktuellen Version ITIL 4 ein Service Value System, sieben Leitprinzipien und 34 Management-Practices.
OWASP: Die Open Worldwide Application Security Project im Überblick
OWASP ist die weltweit führende gemeinnützige Organisation für Anwendungssicherheit. Dieser Artikel erklärt Geschichte, Organisation und die wichtigsten OWASP-Projekte: Top 10 (Web), MASVS und MASTG (Mobile), ASVS, SAMM sowie ZAP und weitere Tools.
Tools & Dienste
Live-Hacking-Maps: Cyberangriffe in Echtzeit visualisiert
Live-Hacking-Maps zeigen animierte Karten mit angeblichen Cyberangriffen in Echtzeit. Dieser Artikel erklärt, was diese Karten tatsächlich zeigen, warum sie methodisch problematisch sind und welche Alternativen für echte Threat Intelligence existieren.
Online-Virenscanner: Dateien und URLs ohne Installation prüfen
Online-Virenscanner ermöglichen die Prüfung von Dateien und URLs gegen die Signaturdatenbanken mehrerer Antivirenprogramme gleichzeitig, ohne Software lokal installieren zu müssen. Dieser Artikel erklärt die Funktionsweise, bekannte Dienste wie VirusTotal und Hybrid Analysis, Anwendungsfälle, Grenzen und API-Integration.
Web Security
Manifest V3: Auswirkungen auf Browser-Erweiterungen und Sicherheit
Manifest V3 ist das neue Grundgerüst für Chrome-Erweiterungen. Dieser Artikel erklärt die technischen Änderungen gegenüber Manifest V2, die Auswirkungen auf Adblocker und Sicherheitstools, die Kritik der Community sowie die Bedeutung für Nutzer und Entwickler.
WordPress-Sicherheit: Schwachstellen, Härtung und Best Practices
WordPress betreibt rund 43 % aller Websites weltweit - und ist damit auch das meistangegriffene CMS. Dieser Artikel erklärt die häufigsten Schwachstellen (Plugins, Themes, Brute Force, SQL Injection, XSS), zeigt konkrete Härtungsmaßnahmen für wp-config.php, Dateiberechtigungen und XML-RPC, und gibt einen Überblick über Webserver-Konfiguration, Backup-Strategie, Monitoring sowie moderne Alternativen wie Headless CMS und Static Site Generators.
Thema nicht gefunden?
Das Wiki wächst kontinuierlich. Wenn Sie Fragen zu einem spezifischen IT-Sicherheitsthema haben, sprechen Sie uns direkt an.
Kostenlose Erstberatung vereinbaren
