Features
Weniger False Positives, mehr Vertrauen im Betrieb
Wie Cybora legitime Infrastruktur vorsichtig behandelt und warum weniger Kollateralschaden für Firewall-Feeds entscheidend ist.
Zuletzt aktualisiert: 26. Juni 2026
Auf dieser Seite
False Positives sind der Hauptgrund, warum viele Admins externe Blocklisten nicht direkt produktiv einsetzen. Ein falsch blockierter Dienst erzeugt Tickets, unterbricht Geschäftsprozesse und zerstört Vertrauen in den gesamten Feed.
Cybora verspricht deshalb nicht, dass False Positives unmöglich sind. Stattdessen wird das Risiko aktiv reduziert: durch Quellenprüfung, Kollateralschaden-Bewertung, Aging, vorsichtigen Umgang mit Shared Infrastructure und einen dokumentierten Review-Prozess.
Warum Kollateralschaden zählt
Eine IP-Adresse kann heute schädliche Aktivität zeigen und morgen wieder legitim genutzt werden. Eine Domain kann kompromittiert sein, aber auch legitime Subdienste hosten. Eine Cloud- oder CDN-Adresse kann gleichzeitig tausende unbeteiligte Kunden bedienen.
Für produktive Firewall-Policies ist deshalb nicht nur die Frage relevant, ob ein Signal bösartig wirkt. Relevant ist auch, wen eine Blockierung treffen könnte.
Vorsicht bei Shared Infrastructure
Bei folgenden Zielen ist zusätzliche Vorsicht nötig:
- große Cloud- und Hosting-Provider
- CDNs, Reverse Proxies und SaaS-Plattformen
- gemeinsam genutzte Mail-, VPN- oder Identity-Infrastruktur
- Provider-Netze mit dynamischer Adressvergabe
- Domains mit legitimer Hauptnutzung und kompromittierten Teilpfaden
Cybora behandelt solche Fälle konservativer. Je höher das Kollateralschaden-Risiko, desto stärker muss die Evidenz sein.
Review statt Blindflug
Wenn eine Blockierung legitimen Traffic betrifft, muss sie nachvollziehbar geprüft werden können. Dafür sind Logs, Zeitpunkte, betroffene Policy, Zielsystem und betroffene Anwendung wichtig. Der operative Ablauf ist im Artikel False-Positive-Review beschrieben.
Dieser Review-Pfad ist kein Nebenthema. Er ist Teil des Vertrauensmodells eines produktiven Firewall-Feeds.