Prävention ist nur die halbe MieteBedrohungserkennung mit NRD, EDR und XDR
Von
Dr. David Gugelmann
Bei Cybersecurity setzen viele Unternehmen immer noch ihren Fokus auf präventive Maßnahmen. Sind diese einmal überwunden, so können sich Cyberkriminelle meist ungehindert – und unentdeckt – im IT-Netzwerk bewegen und Daten manipulieren oder stehlen. KI-gestützte Netzwerküberwachung kann diesen Aktivitäten schnell einen Riegel vorschieben – noch bevor der eigentliche Schaden entsteht.
Unternehmen müssen es schaffen, Bedrohungen, Attacken und Datenlecks sofort zu entdecken und Gegenmaßnahmen einzuleiten, bevor der Schaden entstehen kann.
In seinem aktuellen Lagebericht warnt das Bundesamt für Sicherheit und Informationstechnik (BSI) vor der steigenden Anzahl von Ransomware-Angriffen – aber in zahlreichen Branchen zeigen sich die Entscheidungsträger noch nicht ausreichend für die Problematik sensibilisiert. Zahlreiche Vorfälle in der jüngeren Vergangenheit haben gezeigt, dass sich solche Angriffe als existenzbedrohend erweisen können – nicht nur weil Daten böswillig verschlüsselt, sondern auch kopiert und mit deren Verkauf gedroht werden kann.
Hinsichtlich Cybersecurity setzen Unternehmen noch immer vor allem auf Prävention und abschirmende Maßnahmen: Firewalls, Anti-Viren-Systeme, Verschlüsselung oder Zugriffsmanagement sollen Firmendaten, Infrastruktur und die Accounts der Mitarbeitenden vor Attacken schützen. Gelingt es Angreifern jedoch, diese Maßnahmen einmal zu überwinden, steht den Angreifern buchstäblich nichts mehr im Wege. Sie können sich dann oft unbemerkt im Innern des Netzwerkes einnisten und enorme Schäden anrichten.
Fast täglich berichten Medien von erfolgreichen Angriffen und Datendiebstählen. Die Frage ist also nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann.
Mehr als 200 Tage lang unentdeckt
Laut einer Studie von IBM werden Cyberangreifer, die erfolgreich in ein Firmennetzwerk eingebrochen sind, im Durchschnitt erst nach 207 Tagen erkannt. Dies lässt sich damit erklären, dass viele Unternehmen nur eine sehr begrenzte Sicht auf die eigene IT-Landschaft haben. Oft werden zwar sehr viele Logdaten zu IT-Aktivitäten gesammelt. Diese Daten summieren sich aber oft zu Millionen bis Milliarden von Datensätzen pro Tag auf, was es schlicht unmöglich macht darin manuell die Spuren von Cyberangreifern zu finden. Das heißt, die Suche nach Cyberangreifern wird zu einer Suche nach der Nadel im Heuhaufen – und genau deshalb bleiben Angriffe oft so lange unentdeckt.
Ein Angreifer, der sich ganze Wochen oder gar Monate frei in einem Firmennetzwerk bewegt, kann verheerende Schäden anrichten: Betriebsunterbrechung, fehlerhafte Produkte, finanzielle Schäden und Reputationsverluste. Von solchen Cyberattacken betroffen sind Unternehmen aller Größenordnungen – selbst, wenn enorme Präventionsanstrengungen unternommen werden.
Schnelle Erkennung und Reaktion sind entscheidend
Der Schlüssel liegt darin, Bedrohungen, Attacken und Datenlecks sofort zu entdecken und Gegenmaßnahmen einzuleiten, bevor der Schaden entstehen kann. Dies lässt sich bewerkstelligen, indem das jeweilige Unternehmensnetzwerk kontinuierlich überwacht wird, um ungewöhnliche oder verdächtige Vorgänge sofort zu erkennen und dann Alarm zu schlagen. Denn Cyberkriminelle benötigen eine gewisse Zeit, um sich nach einem Einbruch im Netzwerk zurechtzufinden und die wirklich wertvollen Daten ausfindig zu machen – daher gilt, je schneller ein Unternehmen einen Cyberangriff erkennen kann, umso kleiner ist das Risiko, dass für das jeweilige Unternehmen ein Schaden entsteht.
KI für Cybersicherheit
Um Schlupflöcher proaktiv zu finden, sowie bereits infizierte Systeme rasch zu entdecken, sind wirksame Detektionsmechanismen nötig. Hierbei ist KI ein unverzichtbares Hilfsmittel, denn mit ihr wird es möglich, Angreifer zwischen Millionen bis Milliarden von Aktivitäten zu finden, das heißt, man kann tatsächlich die sprichwörtliche Nadel im Heuhaufen aufspüren. KI kann die bestehenden Logdaten analysieren und lernen, welche Vorgänge im Netzwerk normal sind, und so bei Abweichungen schnell Alarm schlagen. Die entsprechenden KI-Modelle werden je nach Einsatzgebiet entweder anhand von Beispieldaten im Voraus trainiert oder im jeweiligen Firmennetzwerk das reguläre Verhalten des Netzwerkes lernen. Der Name für diese Sicherheitstechnik lautet „Network Detection & Response“, kurz NDR.
Der Einsatz von KI in der Cybersecurity endet aber nicht bei der Überwachung des Netzwerks. Die Technik kann die Security-Teams auch bei der oftmals sehr zeitintensiven Untersuchung und Bekämpfung von Vorfällen unterstützen. Sie tut dies zum einen, indem ausgelöste Alarme automatisch bewertet und priorisiert werden, womit sich Fehlalarme minimieren lassen und die Security-Teams sich auf die relevanten Vorfälle konzentrieren können. Zum anderen greift NDR den Teams bei der Untersuchung und Bekämpfung von Bedrohungen unter die Arme. Indem komplexe Firmennetzwerke intuitiv visualisiert und Alarme direkt mit Kontextinformationen geliefert werden, können die Security-Teams viel zielgerichteter agieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der nächste Schritt: Einheitliche Sicht über alle Security-Anwendungen
In einem Unternehmen fallen aber nicht nur Logdaten aus dem Netzwerk an, die mit der oben beschriebenen NDR-Technologie untersucht werden können, oft gibt es auch Komponenten wie Endpoint Detection & Response (EDR) oder klassische Intrusion Detection Systems (IDS), die ebenfalls fortlaufend Daten für ihren Anwendungsbereich generieren. Dazu kommen Logdaten von Präventionsmechanismen, wie Antivirus-Software oder Firewalls, sowie von Host- und Anwendungsprogrammen.
Vielen Firmen fällt es aber schwer, eine ganzheitliche Bedrohungserkennung zu schaffen. Security Incident- und Event Management- (SIEM-)Lösungen sind zwar stark im Sammeln dieser Daten, die datenquellenübergreifende Auswertung ist mit dieser Technologie aber schwierig, da die Abfragesprachen oft sehr kompliziert sind, die Systeme für Korrelationen schlecht skalieren und es an automatisierten Szenarien zur Bedrohungserkennung fehlt. Als Konsequenz müssen sich Security-Teams bedrohungsrelevante Ereignisse in tausenden von SIEM-Ereignissen zusammensuchen und manuell ein Gesamtbild für die Analyse erstellen. Dies hat einen hohen Preis: Laut einer Studie der Enterprise Strategy Group werden mehr als die Hälfte der kritischen Security Alerts gar nicht als solche wahrgenommen.
Der nächste Schritt, aufbauend auf NDR, ist die Extended Detection and Response (XDR). XDR abstrahiert, korreliert und konsolidiert Informationen aus den verschiedenen Datenquellen und erstellt so ein aufschlussreiches Gesamtbild der Bedrohungslage einer IT-Infrastruktur. Mit Machine Learning zur generellen Erkennung von Anomalien und spezialisierten Algorithmen zur Detektion typischer Angriffsmuster wird die Infrastruktur ganzheitlich überwacht. XDR ermöglicht so eine automatisierte, schnellere Erkennung von Gefahren, da Angriffe oft über mehrere Kanäle geschehen und somit in einem Gesamtbild deutlicher auftauchen. Weiter können durch die kombinierte Überprüfung verschiedener Informationsquellen Fehlalarme schneller ausgemerzt und die relevanten Bedrohungen priorisiert werden. Auch bei der Untersuchung und Verteidigung kann XDR ihre Stärken ausspielen, da sie den Security-Teams mehr Kontext zur Bedrohung liefert, deren Ausmaß über Quellen oder Systeme hinweg zusammenfasst sowie Vorschläge zur Eliminierung macht. So stärkt XDR die Cyberabwehr genau dort, wo sie bislang ihre größten Schwachstellen hatte.
Über den Autor: Dr. David Gugelmann ist Gründer und CEO von Exeon.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/f0/49f0dcf29f3c7961c16d8f24bf5cd8dd/0128852664v2.jpeg "Nutzen Cyberkriminelle die kritische Sicherheitslücke in HPE OneView erfolgreich aus, sind sie in der Lage, Zugriff auf Systemressourcen zu erlangen und schädliche Änderungen vorzunehmen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/3f/dd/3fddd4805628b3317e11b06b82a318a6/0124884620v2.jpeg "Wer seine IT-Infrastruktur 24x7 aus eigener Kraft überwachen möchte, muss viel Geld in den Aufbau von Fachpersonal stecken. Ein MDR-Service kann eine kosteneffiziente Alternative sein. (Bild: © Pixel Matrix - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/76/57765d2e60467a65436b556909e74874/0126745715v2.jpeg "Managed XDR kombiniert KI-gestützte Analyse mit SOC-Expertise und sorgt so für schnellere Erkennung und Reaktion auf Cyberangriffe. (Bild: © Tobias - stock.adobe.com)")