Anleitungen aus der Praxis
Getestete Schritt-für-Schritt-Anleitungen aus realen Kundenumgebungen — sicher, dokumentiert, nachvollziehbar.
KeyHelp installieren und absichern: das kostenlose Hosting-Panel für eigene Server
KeyHelp ist ein kostenloses, lizenzfreies Hosting-Panel für Ubuntu und Debian. Diese Anleitung zeigt Schritt für Schritt Installation, erste Domain mit WordPress, Let's-Encrypt-SSL und die wichtigste Server-Härtung für den Produktivbetrieb.
Immutable Backups gegen Ransomware: 3-2-1-1-0 praktisch mit restic und Hetzner Storage Box
Moderne Ransomware löscht Backups, bevor sie Produktivdaten verschlüsselt. Die 3-2-1-1-0-Regel schützt mit einer unveränderlichen (immutable) Offsite-Kopie – praktisch umgesetzt mit restic, rclone und einer Hetzner Storage Box im append-only-Modus.
Proxmox Backup Server 4.2: S3-Offsite-Backups & Immutability richtig umsetzen
PBS 4.2 macht S3-Datastores offiziell stabil – aber Object Lock zerschießt die Garbage Collection. Wie du trotzdem unveränderliche Offsite-Backups einrichtest, welche Anbieter sich lohnen und welche Fallstricke dich teuer zu stehen kommen.
Vaultwarden produktiv betreiben: Argon2-Admin-Token, Fail2Ban und sicheres Backup
Vaultwarden läuft in fünf Minuten – produktionsreif ist es damit noch nicht. Diese Anleitung zeigt den vollständigen Härtungspfad: Argon2id-Admin-Token, Fail2Ban gegen Brute-Force, HTTPS via Nginx und ein wasserdichtes Backup, das auch den rsa_key einschließt.
Single Sign-On für den Self-Hosted-Stack: Authentik vs. Authelia mit Traefik Forward-Auth absichern
Traefik läuft, aber interne Apps haben kein Login? Diese Anleitung zeigt, wie du mit Authelia oder Authentik ein SSO-System aufbaust, die richtige Lösung für dein KMU wählst und per ForwardAuth-Middleware jede App absicherst – inklusive MFA und Fallstricken.
Docker Compose absichern: Secrets, Healthchecks, Non-Root und Read-Only für den Produktivbetrieb
Aus dem Bastel-Stack wird ein produktionsreifes Setup: Secrets per Datei statt Umgebungsvariable, echte Healthchecks mit pg_isready und curl, Non-Root-User, Read-Only-Filesystem mit tmpfs-Ausnahmen sowie cap_drop ALL und no-new-privileges gegen Privilege-Escalation.
Docker-Container automatisch aktualisieren nach dem Watchtower-Aus: Diun, WUD und Renovate im Vergleich
Watchtower wurde im Dezember 2025 archiviert. Welches Tool übernimmt das Update-Management deiner Docker-Container? Diun, WUD und Renovate im direkten Vergleich – mit Migrationsanleitung und Warnung vor den häufigsten Fallstricken.
Docker-Images auf Schwachstellen scannen mit Trivy: CVE-Check, SBOM und automatische Scans im KMU-Workflow
Trivy scannt Docker-Images auf CVEs, erzeugt SBOM für NIS2/DSGVO und lässt sich per Cron für laufende Container automatisieren – kostenlos und breiter als Grype oder Docker Scout. Diese Anleitung zeigt den kompletten KMU-Workflow.
Domain umziehen ohne Ausfall: Website und E-Mail sicher migrieren (DNS, MX, SPF/DKIM/DMARC)
Beim Domain-Umzug fällt E-Mail oft stundenlang aus – wegen falscher MX-TTL, vergessenen DKIM-Selektoren oder zwei SPF-Einträgen. Die richtige Reihenfolge: TTL senken, Zone inventarisieren, parallel aufbauen, testen, dann sauber umschalten.
Zero-Trust-Netzwerksegmentierung im KMU: VLANs, Firewall-Regeln und Mikrosegmentierung mit OPNsense und UniFi
Ein flaches Netz ist das größte Sicherheitsrisiko im KMU. Diese Anleitung zeigt, wie du mit VLANs, OPNsense-Firewall-Regeln und Zero-Trust dein Netz segmentierst – schrittweise, ohne Ausfall, mit konkreten Configs.