Interviewfragen für Cybersecurity (General)
The questions every cybersecurity candidate should be ready for — fundamentals that come up regardless of the specific role.
Ist AES-256 in der Praxis dramatisch sicherer als AES-128?
Praktisch nein. AES-128 erfordert bereits etwa 2^128 Aufwand für Brute Force — völlig undurchführbar — daher macht AES-256 dich gegen Brute Force nicht spürbar sicherer; es gibt vor allem Reserve (post-quanten Spielraum, Compliance). Beide sind standardisiert und ungebrochen. Dein Modus (GCM), Nonce-Handhabung und Schlüsselverwaltung zählen weit mehr als 128 gegen 256. „AES-256 ist doppelt so sicher“ ist der Irrtum.
Ein vollständiger Virenscan kam sauber zurück — beweist das, dass die Maschine nicht kompromittiert ist?
Nein. Antivirus ist ein Signal, kein Beweis. Es übersieht dateilose und im Speicher laufende Angriffe, brandneue oder verschleierte Proben, den Missbrauch legitimer Werkzeuge (Living-off-the-Land) und Rootkits, die sich davor verstecken. Fehlende Beweise sind kein Beweis für Abwesenheit — echte Sicherheit kommt aus EDR-Telemetrie, Speicherforensik, Verhaltensanalyse und IOC-Jagd. Einen sauberen Virenscan als Beweis für ein sauberes System zu behandeln, ist ein klassischer Incident-Response-Fehler.
Ist ein Fingerabdruck oder Gesichtsscan ein Beispiel für „etwas, das man weiß“?
Nein. Die drei Kategorien von Authentifizierungsfaktoren sind etwas, das man weiß (Passwort/PIN), etwas, das man hat (Token/Telefon) und etwas, das man ist (Biometrie). Ein Fingerabdruck oder Gesichtsscan gehört zu „etwas, das man ist“, einem gemessenen physischen Merkmal. Der Haken: Biometrie ist kein Geheimnis und lässt sich nicht erneuern — leckt die Vorlage deines Fingerabdrucks, kannst du deinen Fingerabdruck nicht ändern. Deshalb funktioniert Biometrie am besten als ein Faktor, der oft einen lokalen Schlüssel entsperrt, statt als eigenständiger Passwortersatz.
Macht clientseitige (JavaScript-)Eingabevalidierung deine Anwendung sicher?
Nein. Clientseitige Validierung ist reiner UX-Komfort — ein Angreifer kann JavaScript abschalten, die Anfrage im Browser oder in Burp bearbeiten oder die API direkt mit curl aufrufen und sie so vollständig umgehen. Sicherheitsprüfungen (Validierung, Autorisierung, Bereinigung) müssen auf dem Server erzwungen werden, dem einzigen Ort, den du kontrollierst. Der Irrtum ist, den Browser für eine Vertrauensgrenze zu halten; das ist er nicht, denn der Client läuft auf dem Rechner des Angreifers. Clientprüfungen sind toll für schnelles Feedback, nie für Sicherheit.
Wie entschlüsselt man einen SHA-256-Hash zurück zur ursprünglichen Eingabe?
Gar nicht — kryptografische Hashes sind Einwegfunktionen ohne Inverse. Einen Hash zu „cracken“ heißt, Kandidaten-Eingaben zu raten, jede zu hashen und zu vergleichen (Wörterbuch, Brute Force, Rainbow Tables), und genau deshalb nutzt man langsame, gesalzene Hashes für Passwörter. Es gibt keinen Schlüssel, der einen Hash „entschlüsselt“. Wenn sich etwas entschlüsseln lässt, wurde es verschlüsselt, nicht gehasht — und Base64 ist umkehrbare Kodierung, kein Hashing.
Dein Antivirus hat die EICAR-Datei gemeldet — bedeutet das, dass du mit einem Virus infiziert bist?
Nein. Die EICAR-Testdatei ist eine bewusst harmlose 68-Byte-ASCII-Zeichenkette, die jeder Antivirus-Hersteller zu erkennen vereinbart, damit man Erkennung und Alarmierung sicher prüfen kann, ohne echte Malware anzufassen. Ein Treffer bedeutet, dass dein Antivirus funktioniert — nicht, dass du infiziert bist. Es ist kein Virus und tut nichts, wenn es ausgeführt wird. Eine EICAR-Testerkennung mit einer echten Infektion zu verwechseln, ist ein verbreiteter Anfänger-Fallstrick.
Verbirgt HTTPS vor Ihrem Provider oder Netzwerk, welche Website Sie besuchen?
Größtenteils nein. Der Ziel-Hostname wird im Klartext in der SNI-Erweiterung des TLS-ClientHello gesendet, und Ihre DNS-Abfrage verrät ihn meist ebenfalls, sodass ein Provider oder Netzwerk sehen kann, WELCHE Seite Sie besuchen — selbst über HTTPS. Sie können nur den Pfad und Inhalt nicht lesen. Encrypted ClientHello (ECH) und DNS-over-HTTPS können diese Lücke schließen, sind aber nicht universell. „HTTPS verbirgt alles“ ist der Irrtum.
Schützt HTTPS in der Datenbank gespeicherte Daten (Daten im Ruhezustand)?
Nein. TLS/HTTPS sichert Daten bei der Übertragung zwischen Client und Server; nach dem Empfang werden sie von der App entschlüsselt und im Klartext verarbeitet und dann je nach Datenbankkonfiguration gespeichert. Daten im Ruhezustand zu schützen ist ein eigenes Thema — Datenträger-/Spaltenverschlüsselung, ein KMS und Zugriffskontrolle. „Wir nutzen HTTPS“ mit „unsere gespeicherten Daten sind verschlüsselt“ zu verwechseln ist ein verbreiteter und gefährlicher Irrtum.
Verhindert die Umstellung der Seite auf HTTPS SQL-Injection und XSS?
Nein. HTTPS verschlüsselt den Kanal, sodass Angreifer den Verkehr unterwegs nicht lesen oder manipulieren können, aber die bösartige Eingabe kommt an, wird entschlüsselt und von deiner App genau wie zuvor verarbeitet. SQL-Injection und XSS sind Fehler der Anwendungsschicht, die durch parametrisierte Abfragen und Output-Encoding behoben werden, nicht durch Transportverschlüsselung. Der Irrtum unterstellt, Verschlüsselung bereinige Inhalte — tut sie nicht; der Angreifer sendet die Payload einfach über die HTTPS-Verbindung.
Verbirgt der private / Inkognito-Modus deine Aktivität vor deinem ISP oder Arbeitgeber?
Nein. Der private/Inkognito-Modus verhindert nur, dass der lokale Browser Verlauf, Cookies und Formulardaten nach der Sitzung speichert — am Netzwerkpfad ändert er nichts. Dein ISP, der Proxy deines Arbeitgebers, der DNS-Resolver und die Seiten, bei denen du dich anmeldest, sehen deine Aktivität weiterhin. Der Irrtum ist „Inkognito = unsichtbar”; tatsächlich ist es Privatsphäre vor anderen Nutzern desselben Geräts, nicht Anonymität vor dem Netzwerk.
Ist 127.0.0.1 die einzige Loopback-Adresse?
Nein. Der ganze Bereich 127.0.0.0/8 ist für Loopback reserviert, also lösen 127.0.0.2, 127.1.1.1 und so weiter alle zum lokalen Host auf. Das ist wichtig für SSRF und das Umgehen von Allow-Lists — ein Angreifer kann 127.0.0.2 oder andere Kodierungen nutzen, um eine naive Prüfung „127.0.0.1 blockieren“ zu umgehen — und für das Binden mehrerer lokaler Dienste. (In IPv6 ist Loopback die einzelne Adresse ::1.)
Ist die MAC-Adresse eines Geräts dauerhaft und weltweit eindeutig?
Nein. Eine MAC wird vom Hersteller vergeben (OUI plus Geräte-ID) und ist „eingebrannt“, aber praktisch jedes Betriebssystem erlaubt es, sie per Software zu überschreiben (macchanger, ip link set address). MAC-Adressen sind also fälschbar und dürfen nicht zur Authentifizierung dienen — MAC-Filterung ist schwach, und Smartphones randomisieren die MAC inzwischen aus Datenschutzgründen. „Dauerhaft und eindeutig“ ist der Irrtum.
Macht die Aktivierung von MFA ein Konto unmöglich zu phishen?
Nein. MFA hebt die Hürde stark, aber OTP- und Push-Faktoren sind phishbar: Adversary-in-the-Middle-Kits (z. B. Evilginx) leiten Login und Code in Echtzeit weiter, und MFA-Müdigkeit/Push-Bombing bringt Nutzer zum Bestätigen. Abgefangene Codes sind innerhalb ihres kurzen Fensters wiederverwendbar. Der Irrtum ist „MFA = nicht phishbar”; entscheidend ist der Faktortyp. Phishing-resistente MFA — FIDO2/WebAuthn-Passkeys, an den Origin der Seite gebunden — ist das, was dies tatsächlich vereitelt.
Wirkt NAT wie eine Firewall und sichert Ihr Netzwerk?
Nein. NAT (und PAT) bildet private Adressen auf eine öffentliche IP ab und verwirft als Nebeneffekt unaufgeforderte eingehende Verbindungen, weil für sie keine Zuordnung existiert. Das ist keine Sicherheitsrichtlinie — keine Inspektion, keine Regeln, kein Logging — und NAT-Traversal, Hole Punching sowie ausgehend initiiertes C2 passieren ungehindert. NAT ist ein Adressierungswerkzeug; Sie brauchen trotzdem eine echte Firewall. „NAT = Firewall“ ist der Irrtum.
Dein Konto wurde kompromittiert — wirft ein bloßes Ändern des Passworts den Angreifer hinaus?
Nicht allein. Viele Systeme halten bestehende Sitzungen und bereits ausgestellte Tokens nach einem Passwortwechsel gültig — OAuth-Refresh-Tokens, „App-Passwörter“, API-Schlüssel und persistente Cookies — sodass ein Angreifer mit einer aktiven Sitzung drinbleiben kann. Die richtige Reaktion ist, das Passwort zu ändern UND alle Sitzungen und Tokens zu invalidieren, App-Anmeldedaten zu widerrufen und MFA-Geräte sowie Wiederherstellungseinstellungen zu prüfen. Anzunehmen, ein Reset allein werfe den Angreifer hinaus, ist ein klassischer Incident-Response-Fehler.
Sind per HTTP POST gesendete Daten verborgen oder sicherer als per GET?
Nein. POST trägt die Parameter einfach im Anfrage-Body statt in der URL; dieser Body ist Klartext und für jeden, der den Verkehr sieht, voll sichtbar, sofern kein HTTPS genutzt wird. POST ist vorzuziehen für zustandsändernde Aktionen und hält Parameter aus URLs, Logs und Verlauf heraus, bietet aber für sich keine Vertraulichkeit. Der Irrtum verwechselt „nicht in der URL” mit „verschlüsselt” — nur TLS verschlüsselt die Daten beider Methoden bei der Übertragung.
Ein Server wirkt kompromittiert — behebt ein Neustart oder Herunterfahren das Problem?
Nein. Die meisten echten Eindringversuche richten Persistenz ein (Dienste, geplante Aufgaben, Run-Schlüssel, Implantate), die einen Neustart überlebt, sodass der Angreifer einfach zurückkehrt. Schlimmer noch, das Ausschalten löscht flüchtige Beweise — laufende Prozesse, Netzwerkverbindungen, Malware im Speicher und Verschlüsselungsschlüssel —, die du zum Eingrenzen des Vorfalls brauchst. Richtig ist, einzudämmen, indem du den Host isolierst und dabei den Speicher bewahrst, und dann zu untersuchen. Neustart oder Herunterfahren als „Lösung“ ist ein schädlicher Instinkt.
Welchen Port verwendet traceroute?
Fangfrage — es gibt keinen einzelnen traceroute-Port. Das klassische Unix-traceroute sendet UDP-Datagramme an hohe, unwahrscheinliche Ports ab etwa 33434 mit steigendem TTL; Windows tracert nutzt stattdessen ICMP Echo. Es funktioniert, indem es die ICMP-Time-Exceeded-Nachrichten liest, die Router beim Ablauf des TTL zurücksenden, nicht durch das Anvisieren eines reservierten Ports. Und ICMP selbst hat überhaupt keine Ports.
Macht Sie die Nutzung eines VPN online anonym?
Nein. Ein VPN verschlüsselt den Traffic bis zum VPN-Server und verbirgt Ihre IP vor dem Ziel, aber der Anbieter kann Ihre Aktivität sehen und protokollieren, und Logins, Cookies sowie Browser-Fingerprinting identifizieren Sie weiterhin. Es verlagert das Vertrauen von Ihrem lokalen Netzwerk/Provider auf den VPN-Betreiber — das ist Privatsphäre gegenüber dem lokalen Netzwerk, keine Anonymität. Tor und strenge operative Disziplin sind andere Werkzeuge für ein anderes Ziel.
Was sind die Phasen des Incident-Response-Lebenszyklus, und warum ist die Reihenfolge wichtig?
Das klassische Modell ist PICERL: Vorbereitung, Identifikation (Erkennung), Eindämmung, Beseitigung, Wiederherstellung und Lessons Learned. NIST gruppiert es als Vorbereitung; Erkennung und Analyse; Eindämmung, Beseitigung und Wiederherstellung; sowie Aktivität nach dem Vorfall. Die Reihenfolge zählt, weil man den Umfang erfassen und eindämmen muss, bevor man beseitigt, und erst wiederherstellt, wenn die Bedrohung entfernt ist – sonst infiziert man erneut. Es ist eine Schleife, keine Linie: Lessons Learned fließen in die Vorbereitung zurück.
Erkläre den Unterschied zwischen Indicators of Compromise (IOCs) und Indicators of Attack (IOAs).
Ein IOC ist ein forensisches Artefakt dafür, dass bereits etwas Bösartiges passiert ist: ein bösartiger Datei-Hash, eine C2-IP oder -Domain, ein bekannter schädlicher Registry-Schlüssel. Ein IOA ist ein Verhaltenssignal eines laufenden Angriffs, unabhängig von den konkreten Werkzeugen, z. B. ein Word-Dokument, das PowerShell startet und dann ins Internet greift. IOCs sind reaktiv und durch Ändern eines Hashes leicht zu umgehen; IOAs erfassen die Absicht und überstehen Werkzeugwechsel.
Erkläre die Reihenfolge der Flüchtigkeit und warum sie die Abfolge der Beweissicherung im DFIR bestimmt.
Die Reihenfolge der Flüchtigkeit ordnet Beweise danach, wie schnell sie verschwinden, sodass man das Fragilste zuerst sichert. Grob: CPU-Register/Cache, dann RAM und Laufzeitzustand (Prozesse, Netzwerkverbindungen, ARP), dann temporäre Dateien/Swap, dann Disk, dann Remote-Logging und Überwachungsdaten, und zuletzt Archivmedien und Backups. Außerdem arbeitet man auf forensischen Kopien, hasht sie und führt eine Beweiskette, damit Beweise zulässig bleiben.
Was ist Ransomware, und führe mich durch, wie du reagierst, sobald sie aktiv Systeme verschlüsselt.
Ransomware ist Malware, die Daten verschlüsselt (und zunehmend exfiltriert) und dann Zahlung fordert. Im aktiven Fall: betroffene Hosts vom Netzwerk isolieren, ohne sie auszuschalten, wenn du den Speicher bewahren kannst, Umfang, Patient Zero und die Variante bestimmen, Beweise sichern, das Standbein und etwaige Backdoors finden und vertreiben, dann aus bekannt sauberen Offline-Backups wiederherstellen. Zahlen ist ein letztes Mittel und garantiert nie die Wiederherstellung.
Erkläre, wie SPF, DKIM und DMARC zusammenarbeiten, um E-Mail-Spoofing zu verhindern.
SPF veröffentlicht, welche IPs für eine Domain Mail senden dürfen. DKIM fügt eine kryptografische Signatur hinzu, damit der Empfänger prüfen kann, dass die Nachricht nicht verändert wurde und von der Domain stammt. DMARC bindet die SPF/DKIM-Ergebnisse über das Alignment an den sichtbaren From:-Header, sagt Empfängern, was bei Fehlschlag zu tun ist (none/quarantine/reject), und sendet Berichte. SPF und DKIM allein schützen das vom Nutzer gesehene From nicht – DMARC erzwingt das.
Welche Windows-Ereignis-IDs und -Protokolle würdest du bei der Untersuchung eines Einbruchs zuerst heranziehen?
Das Security-Protokoll ist primär: 4624 erfolgreiche Anmeldung (mit Anmeldetyp), 4625 fehlgeschlagene Anmeldung, 4634/4647 Abmeldung, 4672 spezielle Rechte zugewiesen, 4720 Konto erstellt, 4688 Prozesserstellung (mit Befehlszeile, falls aktiviert) und 4768/4769 Kerberos. Ergänze 7045 Dienstinstallation (System-Protokoll), 4698 geplante Aufgabe erstellt und PowerShell-Skriptblock-Protokollierung (4104). Anmeldetyp und Befehlszeilen-Auditing machen diese Protokolle nützlich.
Wie sollten Passwörter gespeichert werden und warum bcrypt/scrypt/argon2 statt schneller Hashes verwenden?
Speichere Passwörter mit einer bewusst langsamen, gesalzenen, adaptiven Passwort-Hashfunktion – bcrypt, scrypt oder Argon2 – nie mit einem schnellen Allzweck-Hash wie SHA-256 oder MD5. Schnelle Hashes sind auf Geschwindigkeit ausgelegt, sodass Angreifer mit GPUs Milliarden Versuche pro Sekunde gegen eine geleakte Datenbank testen können. Langsame Hashes haben einen einstellbaren Arbeitsfaktor (und Speicherkosten), der jeden Versuch teuer macht und Brute Force selbst nach einem Leak unpraktikabel hält.
Was ist ein Salt beim Passwort-Hashing, warum wird er verwendet und was ist ein Pepper?
Ein Salt ist ein einzigartiger Zufallswert, der pro Benutzer erzeugt und vor dem Hashing mit dem Passwort kombiniert wird. Er sorgt dafür, dass identische Passwörter unterschiedliche Hashes ergeben, und macht vorberechnete Angriffe wie Rainbow Tables nutzlos, da der Angreifer pro Salt eine eigene Tabelle bräuchte. Salts werden neben dem Hash gespeichert. Ein Pepper ist ein zusätzlicher geheimer Wert, für alle Benutzer gleich, getrennt aufbewahrt (z. B. in der App-Konfiguration oder einem HSM), sodass ein Datenbankleck allein nicht genügt.
Wie erzeugt eine TOTP-Authenticator-App diese 6-stelligen Codes?
TOTP (Time-based One-Time Password) kombiniert ein bei der Einrichtung festgelegtes gemeinsames Geheimnis mit der aktuellen, in feste Fenster (meist 30 Sekunden) unterteilten Zeit. Es führt HMAC über den Zeitschritt-Zähler mit dem Geheimnis aus und kürzt das Ergebnis dann auf einen 6-stelligen Code. Sowohl App als auch Server halten dasselbe Geheimnis und dieselbe Uhr, sodass sie unabhängig denselben Code berechnen – ohne Netzwerkaufruf. Der Code wechselt mit jedem Fenster.
Können Sie die CIA-Triade erklären und warum sie wichtig ist?
Die CIA-Triade umfasst die drei Kernziele der Informationssicherheit: Vertraulichkeit (nur autorisierte Parteien können Daten lesen), Integrität (Daten werden nicht unbefugt verändert) und Verfügbarkeit (autorisierte Nutzer können bei Bedarf auf Systeme zugreifen). Nahezu jede Maßnahme lässt sich einem oder mehreren dieser Ziele zuordnen.
Erklären Sie Defense in Depth und geben Sie ein Beispiel.
Defense in Depth bedeutet, mehrere unabhängige Sicherheitsmaßnahmen zu schichten, sodass bei Ausfall einer Maßnahme die anderen das Asset weiterhin schützen. Sie geht davon aus, dass keine einzelne Maßnahme perfekt ist — etwa durch die Kombination von Firewall, Netzwerksegmentierung, Endpunktschutz, MFA, Least Privilege und Verschlüsselung, statt sich allein auf den Perimeter zu verlassen.
Können Sie den Unterschied zwischen Hashing, Verschlüsselung und Kodierung erklären?
Kodierung (wie Base64) ist eine reversible Formatänderung ohne Geheimnis — keine Sicherheit. Verschlüsselung ist mit einem Schlüssel reversibel und schützt die Vertraulichkeit. Hashing ist eine Einwegfunktion, die einen Digest fester Länge erzeugt, für Integritätsprüfungen und Passwortspeicherung verwendet wird und nicht zur Eingabe zurückgerechnet werden kann.
Erklären Sie den Unterschied zwischen einem IDS und einem IPS.
Ein IDS (Intrusion Detection System) überwacht den Datenverkehr und löst Alarme aus, blockiert aber nicht — es liegt typischerweise außerhalb des Datenpfads. Ein IPS (Intrusion Prevention System) sitzt inline im Datenpfad und kann bösartigen Verkehr aktiv verwerfen oder blockieren. Das IPS verhindert, aber ein Fehlalarm kann legitimen Verkehr unterbrechen.
Erklären Sie das Least-Privilege-Prinzip und wie Sie es anwenden würden.
Least Privilege bedeutet, dass jeder Nutzer, Prozess und Dienst nur den für seine Aufgabe minimal erforderlichen Zugriff erhält und nicht mehr. Es begrenzt den Wirkungsradius eines kompromittierten Kontos, senkt das Insider-Bedrohungsrisiko und verkleinert die Angriffsfläche. Man wendet es über rollenbasierten Zugriff, regelmäßige Zugriffsüberprüfungen und Just-in-Time-Erhöhung an.
Was ist MFA, und warum ist sie sicherer als ein Passwort allein?
MFA erfordert zwei oder mehr Authentifizierungsfaktoren aus unterschiedlichen Kategorien — etwas, das man weiß (Passwort), etwas, das man hat (Telefon/Token), etwas, das man ist (Biometrie). Sie hilft, weil ein Angreifer, der einen Faktor wie ein Passwort stiehlt, sich ohne die anderen trotzdem nicht anmelden kann. Phishing-resistente MFA wie FIDO2 ist am stärksten.
Was ist Phishing, und welche Maßnahmen würden Sie ergreifen, um es zu reduzieren?
Phishing ist Social Engineering, das Menschen dazu verleitet, Anmeldedaten preiszugeben, Geld zu überweisen oder Malware auszuführen, meist über gefälschte E-Mails oder Websites. Die Abwehr ist geschichtet: E-Mail-Filterung und -Authentifizierung (SPF/DKIM/DMARC), MFA zur Begrenzung des Schadens gestohlener Anmeldedaten, Awareness-Schulungen und eine einfache Möglichkeit, verdächtige Nachrichten zu melden.
Erklären Sie symmetrische versus asymmetrische Verschlüsselung und wann jede eingesetzt wird.
Symmetrische Verschlüsselung nutzt einen einzigen gemeinsamen geheimen Schlüssel zum Ver- und Entschlüsseln und ist schnell, doch beide Parteien müssen den Schlüssel bereits teilen. Asymmetrische nutzt ein öffentlich/privates Schlüsselpaar und löst das Problem der Schlüsselverteilung, aber langsamer. Echte Protokolle wie TLS nutzen asymmetrische Kryptografie, um einen symmetrischen Schlüssel auszutauschen, und wechseln dann für die Massendaten zu symmetrischer.
Erklären Sie den Unterschied zwischen TCP und UDP und wann Sie jedes verwenden würden.
TCP ist verbindungsorientiert und zuverlässig: Es nutzt einen Drei-Wege-Handshake, garantiert geordnete Zustellung und überträgt verlorene Pakete erneut. UDP ist verbindungslos und schnell, ohne Garantien für Zustellung, Reihenfolge oder Überlastkontrolle. Nutzen Sie TCP für Genauigkeit (Web, E-Mail, Dateiübertragung) und UDP für geschwindigkeitssensiblen Verkehr (DNS, VoIP, Streaming, Gaming).
Wie unterscheiden Sie eine Schwachstelle von einer Bedrohung und einem Risiko?
Eine Schwachstelle ist eine Schwäche (ungepatchte Software). Eine Bedrohung ist ein Akteur oder Ereignis, das sie ausnutzen könnte (eine Ransomware-Gruppe). Risiko ist die Kombination aus der Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, und der Auswirkung, falls dies geschieht. Risiko = Bedrohung x Schwachstelle x Auswirkung, und das ist es, was man tatsächlich priorisiert.
Was ist eine Firewall, und was ist der Unterschied zwischen einer zustandslosen und einer zustandsbehafteten?
Eine Firewall steuert den Verkehr zwischen Netzwerkzonen, indem sie ihn anhand von Regeln zulässt oder verweigert. Eine zustandslose Firewall bewertet jedes Paket isoliert gegen die Regeln; eine zustandsbehaftete Firewall verfolgt den Zustand von Verbindungen, um Rückverkehr für von ihr erlaubte Sitzungen zuzulassen. Next-Gen-Firewalls ergänzen das Bewusstsein für die Anwendungsschicht.
Was ist ein Zero-Day, und wie verteidigt man sich gegen etwas ohne Patch?
Ein Zero-Day ist eine Schwachstelle, die der Hersteller noch nicht kennt (oder nicht gepatcht hat), sodass die Verteidiger „null Tage“ hatten, um sie zu beheben. Da kein Patch existiert, stützt sich die Abwehr auf geschichtete Maßnahmen, verhaltensbasierte Erkennung, Segmentierung, Least Privilege und schnelle Incident Response statt auf eine Signatur.
Ist ARP ein TCP- oder UDP-Protokoll?
Weder noch. ARP ist ein Layer-2-Protokoll (Sicherungsschicht), das direkt in einem Ethernet-Frame gekapselt wird und nicht in einem IP-Paket. Da es niemals über IP läuft, kann es weder TCP noch UDP verwenden — das sind Layer-4-Transporte, die IP darunter benötigen. Die Aufgabe von ARP besteht darin, eine bekannte IP-Adresse zur passenden MAC-Adresse im selben lokalen Netzsegment aufzulösen.
Ihr XSS-Test mit alert() löst aus, aber das Popup ist leer — was sagt Ihnen das?
Es bestätigt XSS. Wenn alert() überhaupt ausgelöst hat, hat der Browser Ihr eingeschleustes JavaScript im Seitenkontext geparst und ausgeführt — das ist die Schwachstelle. Ein leeres Popup bedeutet nur, dass das übergebene String-Argument nicht wie erwartet angezeigt wurde (Anführungszeichen-Behandlung, Kodierung oder Kontext-Verstümmelung haben die Nachricht zerstört), nicht dass die Payload blockiert wird. Der Ausführungspunkt ist aktiv; von hier aus verfeinern Sie die Payload.
Komprimiert man zuerst und verschlüsselt dann, oder verschlüsselt man zuerst und komprimiert dann?
Zuerst komprimieren, dann verschlüsseln. Gute Verschlüsselung erzeugt eine Ausgabe, die statistisch nicht von Zufall zu unterscheiden ist, sodass im Chiffretext keine Muster mehr zum Komprimieren übrig bleiben — danach zu komprimieren ist sinnlos. Der wichtige Vorbehalt: geheime und vom Angreifer kontrollierte Daten vor der Verschlüsselung gemeinsam zu komprimieren kann über die Chiffretext-Länge Informationen verraten, genau das sind die Angriffe CRIME und BREACH.
Schützt das Aktivieren von CORS vor CSRF?
Nein. CORS ist keine Abwehr gegen CSRF — es lockert tatsächlich die Same-Origin-Policy, damit eine Seite Cross-Origin-Antworten lesen kann, die sie sonst nicht lesen dürfte. CSRF muss die Antwort nicht lesen; es genügt, dass der Browser des Opfers eine authentifizierte zustandsändernde Anfrage sendet. Die echten Abwehrmechanismen sind Anti-CSRF-Tokens, das SameSite-Cookie-Attribut und das Prüfen von Origin/Referer.
Warum sind „gelöschte“ Daten oft noch wiederherstellbar?
Weil „löschen“ die Daten normalerweise nicht beseitigt. Es entfernt die Dateisystem-Metadaten — den Zeiger/den Verzeichniseintrag — und markiert die Blöcke als frei, aber die ursprünglichen Bytes bleiben auf der Platte, bis das Betriebssystem diese Blöcke für neue Daten wiederverwendet. Bis dieses Überschreiben geschieht, können forensische Werkzeuge den Inhalt direkt herausziehen.
Was ist der Unterschied zwischen Kodierung, Verschlüsselung und Hashing?
Kodierung wandelt Daten zur Kompatibilität in ein anderes Format um und ist von jedem ohne Schlüssel vollständig umkehrbar (z. B. Base64, URL-Kodierung) — sie bietet keine Vertraulichkeit. Verschlüsselung ist nur mit einem Schlüssel umkehrbar und sorgt für Vertraulichkeit. Hashing ist eine Einwegfunktion: Man kann die Eingabe nicht aus der Ausgabe wiederherstellen, weshalb es sich für Integritätsprüfungen und die Passwortspeicherung eignet (mit Salt und einer langsamen KDF).
Was ist in der Sicherheitserkennung schlimmer: ein False Positive oder ein False Negative?
Aus rein sicherheitstechnischer Sicht ist ein False Negative meist schlimmer: Es bedeutet, dass ein echter Angriff unentdeckt blieb, also gibt es keine Reaktion, keine Eindämmung, und der Vorfall kann unentdeckt schwelen. Aber False Positives sind nicht harmlos — in großer Zahl verursachen sie Alert-Fatigue, bei der Analysten beginnen, Alarme zu ignorieren und den echten zu verpassen. Die richtige Antwort nennt den Kompromiss, nicht nur einen Gewinner.
Hätten Sie auf einer Firewall lieber einen gefilterten oder einen geschlossenen Port?
Gefiltert. Ein gefilterter Port verwirft das Paket still, sodass der Scanner keine Antwort erhält und auf ein Timeout warten muss — er erfährt nichts darüber, ob der Host überhaupt existiert, und der Scan wird drastisch verlangsamt. Ein geschlossener Port sendet ein TCP-RST zurück, das bestätigt, dass der Host lebt und antwortet, und liefert dem Angreifer so gratis Aufklärungswert.
Wenn eine Website das Schloss / HTTPS anzeigt, ist sie dann sicher?
Nein. Das Schloss bedeutet, dass der Transport verschlüsselt und das Zertifikat für diese Domain gültig ist — es sagt nichts darüber aus, ob der Betreiber ehrlich oder der Inhalt bösartig ist. Kostenlose, automatisierte Zertifikate führen dazu, dass Phishing- und Malware-Seiten fast immer ebenfalls ein einwandfrei gültiges Schloss haben. HTTPS schützt den Kanal, nicht das Ziel.
Verhindert HTTPS Man-in-the-Middle-Angriffe vollständig?
Nicht von allein. HTTPS verhindert MITM nur, wenn die Zertifikatsvalidierung strikt erzwungen wird und der Client die Website von Anfang an über HTTPS erreicht. Wenn einer Rogue-CA vertraut wird (Unternehmens-Proxy, von Malware installierte Root), wenn der Nutzer Zertifikatswarnungen wegklickt oder wenn SSL-Stripping die Verbindung auf HTTP herabstuft, bevor TLS startet, kann ein Angreifer sich weiterhin dazwischensetzen.
Ist HTTPS dasselbe wie SSL? Und was ist der Unterschied zwischen SSL und TLS?
HTTPS ist kein eigenes Protokoll — es ist ganz normales HTTP, das innerhalb eines verschlüsselten TLS-Tunnels läuft. SSL ist der alte Name: SSL 2.0/3.0 sind die veralteten, unsicheren Vorgänger von TLS, das sie abgelöst hat (TLS 1.0 bis 1.3). Wenn Leute „SSL-Zertifikat“ oder „SSL“ sagen, meinen sie fast immer eigentlich TLS.
MD5 und SHA-256 sind beide schnelle Hashes — warum eignet sich keiner zur Passwortspeicherung?
Weil sie schnell sind. MD5 und SHA-256 sind auf Geschwindigkeit ausgelegt, was für Passwörter genau falsch ist: Ein Angreifer, der die Hashes stiehlt, kann auf einer GPU Milliarden von Versuchen pro Sekunde berechnen. Die Lösung ist eine bewusst langsame, speicherharte Schlüsselableitungsfunktion — bcrypt, scrypt oder Argon2 — kombiniert mit einem Salt pro Nutzer und einem einstellbaren Arbeitsfaktor.
Welchen Port verwendet ping?
Fangfrage — ping verwendet keinen Port. Es läuft über ICMP, ein Layer-3-Protokoll, das direkt auf IP aufsitzt. Ports existieren nur in Layer-4-Protokollen wie TCP und UDP, daher hat ICMP (und somit ping) keinen. ICMP verwendet stattdessen Typ- und Code-Felder, z. B. Echo Request Typ 8 und Echo Reply Typ 0.
Wie viele Pakete werden beim TCP-Drei-Wege-Handshake ausgetauscht?
Drei. Der Client sendet ein SYN, der Server antwortet mit einem kombinierten SYN-ACK (ein Paket, das sowohl das SYN des Clients bestätigt als auch das eigene SYN des Servers sendet), und der Client schließt mit einem ACK ab. Der Trick ist, dass SYN-ACK ein einzelnes Paket ist, nicht zwei, sodass die Summe drei beträgt — genau das, was „Drei-Wege“ benennt.
Was sind Zugriffsüberprüfungen (Rezertifizierung) und warum sind sie wichtig?
Zugriffsüberprüfungen (Rezertifizierung) sind periodische Prüfungen, bei denen ein verantwortlicher Eigentümer bestätigt, dass der Zugriff jeder Person weiterhin gerechtfertigt ist, und widerruft, was es nicht ist. Sie sind das Sicherheitsnetz, das Privilegienwucherung, verwaiste Konten und für ein beendetes Projekt erteilte Berechtigungen aufspürt. Die Kontrolle funktioniert nur, wenn ein sachkundiger Eigentümer — meist der Vorgesetzte oder Ressourceneigentümer — den Zugriff wirklich prüft, statt ihn gedankenlos abzunicken, und wenn Widerrufe durchgesetzt werden.
Was ist Identitätsföderation, und welche Rolle spielt ein Identitätsanbieter?
Identitätsföderation stellt Vertrauen zwischen einem Identitätsanbieter (IdP), der Benutzer authentifiziert, und Dienstanbietern (vertrauenden Parteien) her, die diese Authentifizierung nutzen. Der IdP verifiziert den Benutzer und stellt eine signierte Assertion oder ein Token aus; der Dienstanbieter vertraut ihm, statt eigene Anmeldedaten zu verwalten. Das ermöglicht domänenübergreifendes SSO und zentrale Kontrolle, konzentriert aber das Risiko: Kompromittiert man den IdP, kompromittiert man alles, was ihm vertraut.
Was sagt die moderne NIST-800-63B-Leitlinie zu Passwörtern?
Das moderne NIST SP 800-63B stellt Länge über Komplexität: lange Passphrasen erlauben (mindestens 8, 64+ unterstützen), alle Zeichen einschließlich Leerzeichen akzeptieren und keine Zusammensetzungsregeln wie «ein Großbuchstabe, ein Symbol» vorschreiben. Neue Passwörter gegen Listen geleakter Passwörter prüfen, den verpflichtenden periodischen Ablauf streichen (nur bei Hinweis auf Kompromittierung wechseln) und wissensbasierte «Sicherheitsfragen» verwerfen. Ziel sind Regeln, die echten Angriffen standhalten, statt Benutzer in vorhersehbare Muster zu drängen.
Was macht MFA «phishing-resistent», und wie erreichen FIDO2/Passkeys das?
Phishing-resistente MFA bedeutet, dass der zweite Faktor nicht gegen die echte Seite wiedereingespielt werden kann, selbst wenn der Benutzer getäuscht wird. FIDO2/WebAuthn-Passkeys erreichen das mit ursprungsgebundener Public-Key-Kryptografie: Der Authentikator signiert eine an die Domain der echten Seite gebundene Challenge, sodass eine von einer Nachahmerseite oder einem Angreifer-in-der-Mitte erbeutete Anmeldeinformation nutzlos ist. TOTP-Codes und Push-Aufforderungen bleiben phishbar, weil sie in Echtzeit weitergeleitet werden können.
Was ist Privileged Access Management (PAM) und welches Problem löst es?
PAM kontrolliert und überwacht die Konten, die den größten Schaden anrichten können — Domänenadministratoren, root, Dienstkonten. Es tresoriert und rotiert ihre Anmeldedaten, damit keine Geheimnisse geteilt oder hartkodiert werden, vermittelt Sitzungen, sodass Administratoren das rohe Passwort nie sehen, zeichnet auf, was privilegierte Benutzer tun, und gewährt die Erhöhung idealerweise just-in-time statt als dauerhaften Zugriff. Ziel ist es, den Schadensradius der Konten zu verkleinern, die Angreifer am meisten begehren.
Was ist SCIM, und wie unterstützt es Joiner-Mover-Leaver-Provisionierung?
SCIM (System for Cross-domain Identity Management) ist eine standardisierte REST/JSON-API und ein Schema zum Erstellen, Aktualisieren und Löschen von Benutzerkonten über Anwendungen hinweg. An ein HR-System oder einen IdP angebunden, automatisiert es den Joiner-Mover-Leaver-Lebenszyklus: Konten und Berechtigungen werden bei Einstellung provisioniert, bei Rollenwechsel angepasst und — am wichtigsten — beim Austritt deprovisioniert, was die verwaisten Konten beseitigt, die Angreifer lieben.
Welche Ports nutzen SSH, HTTP, HTTPS, DNS, RDP und SMB, und warum sind sie wichtig?
SSH nutzt TCP 22, HTTP TCP 80, HTTPS TCP 443, DNS den 53 (UDP und TCP), RDP TCP 3389 und SMB TCP 445. Die Well-Known-Ports zu kennen, erlaubt es, Scan-Ausgaben zu lesen, Firewall-Regeln zu schreiben und Alarme schnell zu triagieren — ein Dienst auf seinem erwarteten Port statt auf einem unerwarteten ist ein sofortiges Signal.
Wie funktioniert die DNS-Auflösung — rekursiv vs. autoritativ?
Ein Stub-Resolver fragt einen rekursiven Resolver nach einem Namen. Ist er nicht im Cache, durchläuft der rekursive Resolver die Hierarchie: Er fragt einen Root-Server (der auf die TLD verweist), den TLD-Server (der auf die autoritativen Server der Domain verweist) und schließlich den autoritativen Server, der den eigentlichen Eintrag hält. Die Antwort wird unterwegs gemäß ihrer TTL gecacht. DNS nutzt Port 53 — UDP für die meisten Anfragen, TCP für große.
Was ist der Unterschied zwischen einem Forward-Proxy und einem Reverse-Proxy?
Ein Forward-Proxy steht vor den Clients und stellt ausgehende Anfragen in deren Namen — für Egress-Kontrolle, Filterung, Caching und Anonymität. Ein Reverse-Proxy steht vor den Servern und empfängt eingehende Anfragen in deren Namen — für Lastausgleich, TLS-Terminierung, Caching und als Sicherheitsfassade für eine WAF. Die Richtung, in die er zeigt, clientseitig oder serverseitig, ist die entscheidende Unterscheidung.
Wie funktioniert traceroute, und welche Rolle spielt das TTL-Feld?
Traceroute entdeckt die Router zwischen Ihnen und einem Ziel, indem es das TTL-Feld ausnutzt. Es sendet Pakete mit TTL=1, dann 2, dann 3 und so weiter. Jeder Router verringert die TTL; erreicht die TTL null, verwirft dieser Router das Paket und gibt eine ICMP-Time-Exceeded-Nachricht zurück, die seine Adresse offenbart. Durch das schrittweise Erhöhen der TTL bildet traceroute jeden Hop der Reihe nach ab, bis das Ziel erreicht ist.
Was ist NAT, und wie unterscheidet sich PAT davon?
NAT (Network Address Translation) schreibt die Quell- und/oder Ziel-IP um, während Pakete eine Grenze überqueren, und bildet typischerweise private interne Adressen auf öffentliche ab. PAT (Port Address Translation oder NAT Overload) erweitert dies, indem es auch Ports übersetzt, sodass viele interne Hosts sich eine einzige öffentliche IP teilen — jeder Fluss durch seinen Port unterschieden. PAT ist das, was Heim- und Büro-Router nutzen, um ein ganzes LAN hinter eine Adresse zu setzen.
Erklären Sie das OSI-Modell und was jede Schicht hinzufügt.
Das OSI-Modell teilt Netzwerke in sieben Schichten, von denen jede eine Verantwortung hinzufügt: Bitübertragung (Bits auf dem Kabel), Sicherung (Frames und MAC-Adressierung), Vermittlung (IP-Routing), Transport (TCP/UDP, Ports, Zuverlässigkeit), Sitzung (Verwaltung von Verbindungen), Darstellung (Kodierung, Verschlüsselung, Kompression) und Anwendung (Protokolle wie HTTP). Jede Schicht kapselt die darüberliegende, während die Daten den Stapel hinabwandern.
Was ist ein Subnetz, und was macht eine Subnetzmaske?
Ein Subnetz ist eine logische Unterteilung eines IP-Netzes. Die Subnetzmaske markiert, welche Bits einer IP-Adresse der Netz-Anteil und welche der Host-Anteil sind — zum Beispiel bedeutet /24 (255.255.255.0), dass die ersten 24 Bit das Netz und die letzten 8 die Hosts kennzeichnen. Subnetting steuert, wie Verkehr geroutet wird, und erlaubt es, ein Netz in kleinere Broadcast-Domänen zu segmentieren.
Erklären Sie den TCP-Drei-Wege-Handshake.
TCP öffnet eine Verbindung in drei Schritten. Der Client sendet ein SYN mit einer initialen Sequenznummer, der Server antwortet mit SYN-ACK (bestätigt die Nummer des Clients und sendet seine eigene), und der Client gibt ein ACK zurück. Nach diesem Austausch haben sich beide Seiten auf die Start-Sequenznummern geeinigt, und die Verbindung ist für eine zuverlässige, geordnete Byte-Zustellung aufgebaut.
TCP vs. UDP — worin unterscheiden sie sich und wann wählt man welches?
TCP ist verbindungsorientiert: es macht einen Handshake, nummeriert Bytes, überträgt Verluste neu und steuert die Überlastung, was eine zuverlässige geordnete Zustellung auf Kosten von Latenz und Overhead bietet. UDP ist verbindungslos und nach dem Prinzip senden-und-vergessen — kein Handshake, keine Neuübertragung, keine Ordnung. Nutzen Sie TCP, wenn Korrektheit zählt (Web, E-Mail, Dateiübertragung), und UDP, wenn Geschwindigkeit mehr zählt als Perfektion (DNS, VoIP, Gaming, Video).
Wie vergleicht sich das TCP/IP-Modell mit dem OSI-Modell?
Das TCP/IP-Modell hat vier Schichten — Netzzugang, Internet, Transport und Anwendung — und beschreibt, wie das reale Internet funktioniert. OSI hat sieben. Sie bilden eng aufeinander ab: Die Anwendungsschicht von TCP/IP nimmt die Anwendungs-, Darstellungs- und Sitzungsschicht von OSI auf; seine Netzzugangsschicht vereint die Bitübertragungs- und Sicherungsschicht von OSI. OSI ist die bessere Referenz zum Lehren und zur Fehlersuche; TCP/IP ist die tatsächlich umgesetzte Protokollsuite.
Was ist ein VLAN, und welchen Sicherheitswert hat es?
Ein VLAN (Virtual LAN) partitioniert einen physischen Switch logisch in getrennte Layer-2-Broadcast-Domänen, sodass Geräte in unterschiedlichen VLANs sich selbst auf derselben Hardware nicht direkt erreichen können. Es wird auf Trunk-Verbindungen mit einem 802.1Q-Tag gekennzeichnet. Der Sicherheitswert ist die Segmentierung: das Isolieren von Benutzer-, Server-, Gast- und IoT-Verkehr begrenzt die Broadcast-Reichweite und die laterale Bewegung, wobei VLAN-übergreifender Verkehr durch einen Router oder eine Firewall geleitet wird, wo Richtlinien angewendet werden.
Was ist der Unterschied zwischen einem VPN und einem Proxy?
Ein VPN erstellt einen verschlüsselten Tunnel auf Netz-/Betriebssystemebene, sodass der gesamte Verkehr eines Geräts hindurchgeleitet und Ende-zu-Ende geschützt wird — genutzt für sicheren Fernzugriff. Ein Proxy arbeitet auf Anwendungsebene, leitet den Verkehr bestimmter Anwendungen oder Protokolle weiter und verschlüsselt ihn nicht zwingend. Die großen Unterschiede sind der Geltungsbereich (ganzes Gerät vs. pro Anwendung) und dass ein VPN per Design verschlüsselt, während viele Proxys das nicht tun.
Was ist eine DMZ in der Netzwerkarchitektur, und warum würde man eine einsetzen?
Eine DMZ (demilitarisierte Zone) ist ein Netzsegment, das zwischen dem nicht vertrauenswürdigen Internet und dem vertrauenswürdigen internen Netz sitzt und öffentlich erreichbare Dienste wie Web-, Mail- und DNS-Server beherbergt. Firewall-Regeln lassen das Internet die DMZ erreichen, beschränken aber den Zugriff der DMZ auf das interne Netz streng. Das Ziel ist Eindämmung: wird ein öffentlicher Server kompromittiert, steckt der Angreifer in der Pufferzone fest, statt im LAN zu landen.
Erklären Sie den Unterschied zwischen passiver und aktiver Aufklärung, mit Beispielen für jede.
Passive Aufklärung sammelt Informationen, ohne direkt mit den Systemen des Ziels zu interagieren — OSINT, DNS-Einträge, Certificate Transparency. Aktive Aufklärung berührt das Ziel, etwa Portscans oder Banner-Grabbing, was lauter ist, aber mehr Details liefert.
Führen Sie mich durch die Phasen eines Penetrationstests vom Kickoff bis zur Übergabe.
Ein Pentest durchläuft Pre-Engagement (Scope und Einsatzregeln), Aufklärung, Scanning und Enumeration, Ausnutzung, Post-Exploitation und Reporting. Jede Phase speist die nächste, und im Reporting wird der Wert tatsächlich an den Kunden geliefert.
Ein Kunde fragt, warum er für einen Pentest zahlen soll, wenn er bereits Schwachstellenscans durchführt. Wie antworten Sie?
Ein Schwachstellenscan ist eine automatisierte, in die Breite gehende Bestandsaufnahme potenzieller Schwächen, oft mit Fehlalarmen. Ein Penetrationstest ist menschengeführt: Er validiert Funde, verkettet sie und demonstriert durch tatsächliche Ausnutzung echte geschäftliche Auswirkungen.
Erkläre Defense in Depth und nenne ein konkretes Beispiel für die Anwendung.
Defense in Depth bedeutet, mehrere unabhängige Sicherheitskontrollen zu staffeln, sodass bei Versagen einer Kontrolle die anderen das Asset weiterhin schützen. Keine Kontrolle gilt als perfekt, daher stapelt man präventive, detektierende und reagierende Maßnahmen über die Schichten Netzwerk, Host, Anwendung und Daten.
Worin unterscheidet sich Hashing von Verschlüsselung, und wann würdest du das eine dem anderen vorziehen?
Verschlüsselung ist umkehrbar – mit dem Schlüssel erhältst du den Klartext zurück; sie schützt die Vertraulichkeit. Hashing ist eine Einwegfunktion, die einen Digest fester Größe erzeugt, den man nicht umkehren kann; es verifiziert Integrität und Identität. Passwörter sollten mit einem langsamen, gesalzenen Algorithmus wie bcrypt oder Argon2 gehasht, niemals verschlüsselt werden.
Was ist der Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung, und wann würdest du welche verwenden?
Symmetrische Verschlüsselung nutzt einen gemeinsamen Schlüssel zum Ver- und Entschlüsseln – schnell, aber der Schlüssel muss sicher geteilt werden. Asymmetrische Verschlüsselung nutzt ein Schlüsselpaar aus öffentlich/privat, was die Schlüsselverteilung löst, aber langsam ist. Reale Systeme nutzen asymmetrische Kryptografie, um einen symmetrischen Sitzungsschlüssel auszutauschen, und dann die schnelle symmetrische Chiffre für die Massendaten.
Können Sie erklären, wie sich EDR, XDR und SIEM unterscheiden und wo jedes einzelne passt?
EDR ist endpointfokussiert: Es zeichnet Prozess-, Datei- und Netzwerkaktivität auf Hosts auf und reagiert darauf. XDR erweitert diese Korrelation über mehrere Domänen — Endpoint, Netzwerk, Identität, E-Mail, Cloud — als eine herstellerintegrierte Stack. SIEM ist die breite Log-Aggregationsschicht, die Daten aus allem aufnimmt, auch aus sicherheitsfremden Quellen, für Detektion, Suche und Compliance.
Ein Nutzer meldet eine verdächtige E-Mail. Führen Sie mich durch Ihr sicheres Triage-Vorgehen.
Prüfen Sie die E-Mail sicher ohne zu klicken: Header und Absender-Authentifizierung (SPF/DKIM/DMARC) checken, URLs und Anhänge in einer Sandbox oder mit Reputations-Tools inspizieren, dann den Umfang bestimmen — wer sie sonst erhielt, ob jemand klickte oder Zugangsdaten eingab. Je nach Befund remediieren: E-Mail purgen, Indikatoren blockieren und kompromittierte Zugangsdaten zurücksetzen.
Wir betreiben sowohl ein SIEM als auch ein SOAR. Was macht jedes davon, und wie arbeiten sie zusammen?
Ein SIEM nimmt Logs aus dem gesamten Bestand auf und korreliert sie, um Alerts zu erzeugen — es ist Ihre Detektions- und Suchschicht. Ein SOAR sitzt nachgelagert und automatisiert die Reaktion: Es führt Playbooks aus, reichert Alerts über Integrationen an und übernimmt das Case-Management, damit Analysten weniger Zeit für repetitive Schritte aufwenden.
Ein SIEM-Alert wird wegen eines verdächtigen Logins ausgelöst. Führen Sie mich durch Ihr Triage-Vorgehen.
Bestätigen Sie vor dem Handeln, dass der Alert echt ist: Lesen Sie, was ausgelöst wurde und warum, dann reichern Sie an — wer ist der Benutzer, sind Quell-IP/Geo/Gerät erwartbar, ist es Impossible Travel, gab es zuvor Fehlschläge? Klassifizieren Sie als echten oder falschen Treffer, eskalieren oder dämmen Sie ein, wenn echt (Sitzung deaktivieren, MFA-Reset erzwingen), und dokumentieren Sie alles, damit der nächste Analyst Ihrer Argumentation folgen kann.
HTTP ist zustandslos — wie funktionieren dann Sitzungen?
HTTP ist zustandslos — jede Anfrage ist unabhängig und hat keine Erinnerung an vorherige. Sitzungen fügen darauf Zustand hinzu: Nach der Anmeldung gibt der Server eine Kennung aus, die der Browser in einem Cookie speichert und bei jeder Anfrage erneut sendet. Serverseitige Sitzungen halten den Zustand auf dem Server, indiziert über eine undurchsichtige Sitzungs-ID; zustandslose Tokens wie JWTs legen signierten Zustand in das Token selbst, sodass der Server ohne Speicher prüfen kann.
Erhalte 100 Cybersecurity-Interviewfragen + Antworten
Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.
Kein Spam. Jederzeit abbestellbar.