Zum Inhalt springen
Souverän · Nachschlagewerk

Glossar zur souveränen Anwendungssicherheit

Glossar zur souveränen Anwendungssicherheit: ZTNA, Zugriff ohne offene Ports, Ost-West-Segmentierung, Wirkungsanalyse, WAF, WAAP, API-Sicherheit, L7-DDoS, Bot-Abwehr, digitale Souveränität und Nachweise — sachlich erklärt.

Dieses Glossar erklärt die zentralen Begriffe rund um Anwendungssicherheit, Zero Trust und digitale Souveränität — sachlich, definitionsorientiert und ohne Marketing. Die Einträge sind so geschrieben, dass ein CTO oder Prüfer sie wiederverwenden kann: zuerst die neutrale Definition, dann die Einordnung. Wo ein Begriff die Arbeitsweise von Obhut illustriert, benennen wir das transparent — inklusive des ehrlichen Reifegrads, etwa bei der noch nicht produktiv aktiven Segmentierungs-Erzwingung.

Zero Trust Network Access (ZTNA)

Zero Trust Network Access (ZTNA) ist ein Zugriffsmodell, bei dem nicht ein ganzes Netz freigeschaltet wird, sondern jede einzelne Anfrage auf eine bestimmte Anwendung pro Aufruf gegen Identität, Gruppen und Regeln geprüft wird. Anders als ein VPN, das ein Gerät breit mit einem Netz verbindet, gibt es bei ZTNA keinen impliziten Netzzugang, den ein kompromittiertes Gerät ausnutzen könnte. Die Autorisierung geschieht vor der Weiterleitung, typischerweise an einer Edge, die Identität und Kontext auswertet. Bei Obhut prüft die Edge Identität über OIDC, Gruppen, Client-Zertifikat und JWT, bevor eine Anfrage die Anwendung erreicht. Zugriff ohne offene Ports

Zugriff ohne offene Ports

Zugriff ohne offene Ports bedeutet, dass eine geschützte Anwendung keinen einzigen eingehenden Port ins öffentliche Internet öffnet. Statt einen Port für Fernzugriff freizugeben, baut ein lokaler Agent eine ausgehende, gegenseitig authentifizierte Verbindung zu einer Edge auf; erst die Edge prüft die einzelne Anfrage und leitet nur Autorisiertes durch den bestehenden Tunnel weiter. Der Vorteil ist eine deutlich kleinere Angriffsfläche: Was aus dem Internet nicht erreichbar ist, kann nicht direkt angegriffen werden. Bei Obhut ist dieser Zugriffs-Datenpfad aus Agent, Edge, Tunnel, TLS, Zugriffspolitik und Audit-Pfad der veröffentlichte Kern und heute in Betrieb. Zugriff ohne offene Ports

Ost-West-Segmentierung

Ost-West-Segmentierung ist die Kontrolle des internen Datenverkehrs zwischen Diensten, Hosts und Zonen — also der Verbindungen, die innerhalb des Netzes laufen, im Gegensatz zum Nord-Süd-Verkehr, der den Perimeter kreuzt. Ziel ist, die laterale Bewegung eines Angreifers nach einer Kompromittierung zu begrenzen, indem interne Verbindungen nur noch entlang erlaubter Pfade möglich sind. Der Perimeter allein leistet das nicht, weil er den Verkehr innerhalb des Netzes nicht sieht. Obhut adressiert diese Schicht heute mit Flow-Sichtbarkeit, Wirkungsanalyse und read-only empfohlenen Allow-Regeln; die Produktions-Erzwingung auf der Host-Firewall folgt erst nach Host-Validierung und ist noch nicht aktiv. Ost-West-Segmentierung

Mikrosegmentierung

Mikrosegmentierung ist eine feingranulare Form der Netzwerksegmentierung, bei der einzelne Dienste oder Workloads gegeneinander abgegrenzt werden, statt nur grobe Netzzonen zu trennen. Interne Verbindungen sind dann nur noch zwischen ausdrücklich erlaubten Dienstpaaren möglich, was die laterale Ausbreitung im Kompromittierungsfall nachweisbar begrenzt. Sie ist ein wiederkehrendes Thema in NIS2, DORA sowie einschlägigen ISO- und BSI-Kontrollen. Obhut macht diese Kontrolle über sichtbare, prüfbare Datenflüsse und dokumentierte Regelwirkung adressierbar; sie ist ein Baustein einer Zero-Trust-Architektur, keine Zertifizierung und keine Compliance-Garantie. Ost-West-Segmentierung

Wirkungsanalyse

Wirkungsanalyse bezeichnet die Bewertung einer geplanten Segmentierungs- oder Zugriffsregel gegen den real beobachteten Datenverkehr, bevor die Regel erzwungen wird. Sie zeigt, welche bestehenden Verbindungen eine Regel zulassen oder blockieren würde, sodass sich die Wirkung prüfen lässt, ohne Produktionsverkehr zu riskieren. Damit wird ein häufiger Grund für gescheiterte Segmentierungsprojekte adressiert: das blinde Scharfschalten von Regeln. Bei Obhut bewertet die Wirkungsanalyse jede geplante Regel gegen die von Linux-Agenten gemeldeten Flows und leitet daraus read-only empfohlene Allow-Regeln ab. Ost-West-Segmentierung

WAF (Web Application Firewall)

Eine Web Application Firewall (WAF) prüft und filtert HTTP-Verkehr zu einer Anwendung auf der Anwendungsschicht (Layer 7), um Angriffe wie SQL-Injection, Cross-Site-Scripting und Protokollmissbrauch abzuwehren. Im Unterschied zu einer klassischen Netzwerk-Firewall, die auf Ports und IP-Adressen arbeitet, versteht eine WAF den Inhalt der Anfrage — Pfade, Header, Parameter und Body. Regeln können erlauben, blockieren, protokollieren oder herausfordern. Bei Obhut sind WAF-Regeln Teil der Prüfung an der Edge, gemeinsam mit API-Verträgen, mTLS, JWT-Validierung und Bot-Risiko. Plattformumfang ansehen

WAAP (Web Application and API Protection)

WAAP (Web Application and API Protection) ist eine Kategorie, die klassische WAF-Funktionen mit spezifischem API-Schutz, Bot-Abwehr und Schutz gegen Layer-7-Missbrauch zu einer zusammenhängenden Schicht bündelt. Der Begriff trägt der Realität Rechnung, dass moderne Anwendungen nicht nur über HTML-Oberflächen, sondern maßgeblich über APIs angegriffen werden. Eine WAAP prüft daher nicht nur einzelne Anfragen gegen Signaturen, sondern auch API-Verträge, Schemata und Verhaltensmuster. Obhut deckt genau diese Anwendungssicherheits-Schicht ab — Zugriff, WAF, API-Schutz und Bot-Abwehr im selben Datenpfad —, verzichtet aber bewusst auf den globalen Auslieferungsteil großer Hyperscaler. Cloudflare-Alternative

API-Sicherheit

API-Sicherheit umfasst die Maßnahmen, die maschinelle Schnittstellen gegen Missbrauch schützen — von Authentifizierung und Autorisierung über die Durchsetzung von API-Verträgen bis zur Validierung von Struktur und Inhalt jeder Anfrage. Weil APIs Geschäftslogik direkt zugänglich machen, reichen klassische Signaturprüfungen oft nicht aus; entscheidend ist, dass nur vertragskonforme, autorisierte Aufrufe die Anwendung erreichen. Typische Kontrollen sind JWT/JWKS-Validierung, mTLS-Client-Zertifikate, Body-Schema-Prüfung und Anfragengrenzen. Bei Obhut prüft die Edge diese Verträge im Anfragepfad, bevor eine Anfrage weitergeleitet wird. Plattformumfang ansehen

L7-DDoS / Layer-7-Angriffe

Layer-7-Angriffe zielen auf die Anwendungsschicht statt auf Netzwerk- oder Transportprotokolle: Statt eine Leitung mit Rohdaten zu fluten, erzeugen sie scheinbar gültige, aber ressourcenintensive HTTP-Anfragen, um Anwendung oder Backend zu überlasten. Sie sind schwerer zu erkennen als volumetrische Angriffe, weil einzelne Anfragen legitim aussehen. Abwehr auf dieser Ebene setzt auf Anfragengrenzen, Verhaltensanalyse, Bot-Prüfung und selektives Herausfordern. Wichtig zur Einordnung: Obhut adressiert L7-Missbrauch im Anwendungspfad, nicht die volumetrische DDoS-Abwehr großer Scrubbing-Netze — diese Grenze ist Absicht. Plattformumfang ansehen

Bot-Abwehr

Bot-Abwehr bezeichnet die Erkennung und Steuerung automatisierten Verkehrs, um Missbrauch wie Credential Stuffing, Scraping, Inventar-Hoarding oder API-Abuse zu begrenzen, ohne legitime Automatisierung pauschal zu blockieren. Moderne Ansätze verlassen sich nicht allein auf statische Signaturen, sondern kombinieren serverseitige Prüfungen, adaptive Herausforderungen und eine gemeinsame Risikoauswertung. Ziel ist eine abgestufte Reaktion — erlauben, herausfordern oder ablehnen — statt einer harten Alles-oder-nichts-Entscheidung. Bei Obhut liefern Gate, adaptive Arbeitsprobe und serverseitige Prüfung Signale in eine gemeinsame Risikoauswertung für geschützte Ressourcen. Cloudflare-Alternative

Digitale Souveränität

Digitale Souveränität beschreibt die Fähigkeit einer Organisation, Kontrolle über ihre Daten, ihre Verarbeitung und die eingesetzte Kerntechnologie zu behalten — rechtlich, technisch und betrieblich. Sie bedeutet mehr als nur einen Serverstandort in Europa: Auch die Jurisdiktion des Betreibers, der Zugriff Dritter, die Herkunft der Technologie und die Nachvollziehbarkeit der Datenflüsse gehören dazu. Für viele Organisationen in DACH ist das relevant, weil US-Anbieter zugleich US-Recht wie dem CLOUD Act unterliegen. Obhut setzt darauf mit Betrieb in Deutschland, offengelegten Betriebspartnern und eigener Kerntechnologie im Anwendungspfad statt des Weiterverkaufs einer managed US-Plattform. Digitale Souveränität

Anwendungssicherheits-Nachweise (Evidence)

Anwendungssicherheits-Nachweise, oft als Evidence bezeichnet, sind prüfbare Belege dafür, dass definierte Sicherheitskontrollen tatsächlich greifen — nicht bloße Zusicherungen. Dazu gehören protokollierte Zugriffs- und Blockierungsentscheidungen, deren Integrität sich verifizieren lässt, Evidenzpakete für Audits, ein SIEM-Export und eine Kontrollsicht. Der Wert liegt darin, dass ein Prüfer die Faktenbasis nachvollziehen kann, statt einer Aussage vertrauen zu müssen. Bei Obhut entstehen diese Nachweise aus demselben Datenpfad, der die Entscheidungen trifft: Ereignisse werden gemessen und signiert verkettet, sodass nachträgliche Änderung, Löschung oder Umsortierung erkennbar wird. Vertrauen und Datenflüsse

Von der Definition zur Umsetzung im Anwendungspfad.

Starten Sie kostenlos und sichern Sie Ihre erste Anwendung mit Obhut — Zugriff ohne offene Ports, WAF, API-Schutz, Bot-Abwehr und Nachweise aus Deutschland. Oder begleiten Sie die Plattformvalidierung als Design-Partner.