Deutsche Unternehmen investieren so viel in Cloud-Sicherheit wie nie zuvor, aber ihre Security-Teams sind überfordert. Laut dem Global Cloud Detection and Response Report 2025 von Illumio erhalten sie täglich Tausende Warnungen, können diese aber kaum noch auswerten. Fehlender Kontext, Tool-Wildwuchs und Alarmmüdigkeit führen dazu, dass echte Bedrohungen unentdeckt bleiben, trotz hoher Budgets und moderner Tools.
Tausende Alarme täglich: In deutschen Clouds werden Sicherheitsteams von Warnungen überschwemmt und verlieren dabei den Blick für die echten Risiken.
Deutsche Unternehmen investieren massiv in Cloud-Sicherheit. Doch eine neue Studie zeigt: Nirgendwo sonst sehen sich Sicherheitsteams mit so vielen täglichen Sicherheitswarnungen konfrontiert wie in Deutschland. Das Ergebnis ist Überlastung und ein Sicherheitsniveau, bei dem hohe Budgets nicht mehr ausreichen. Hinzu kommen Datenfluten ohne verwertbare Erkenntnisse, lange Verweilzeiten von Angreifern in Netzwerken und ein eklatanter Mangel an Visibilität.
Die Vorstellung, Cyberangriffe allein durch Prävention abwehren zu können, gehört der Vergangenheit an. Mit der zunehmenden Verlagerung von Workloads in die Cloud wächst die Komplexität, während Visibilität gleichzeitig abnimmt. Der neue „Global Cloud Detection and Response Report 2025“ zeigt: Deutschland ist im internationalen Vergleich besonders von Alarmüberlastung und fehlendem Kontext betroffen. Die Studie, für die weltweit IT- und Sicherheitsentscheider befragt wurden – darunter 150 in Deutschland –, verdeutlicht einen zentralen Branchentrend: Das Problem ist nicht ein Mangel an Daten, sondern die fehlende Fähigkeit, diese zu interpretieren, miteinander zu verknüpfen und in handlungsrelevante Erkenntnisse zu übersetzen.
Rekordwerte bei täglichen Alarmen
Deutsche Unternehmen erhalten im Schnitt 2.416 Sicherheitswarnungen pro Tag – deutlich mehr als der globale Durchschnitt von 2.020. Mehr als zwei Drittel (73 Prozent) der IT- und Security-Teams geben an, dem nicht gewachsen zu sein. Die Folge: Reale Bedrohungen bleiben unerkannt, während Analysten unter permanentem Druck stehen. 93 Prozent berichten, dass übersehene oder nicht untersuchte Warnungen in den vergangenen zwölf Monaten zu tatsächlichen Sicherheitsvorfällen geführt haben. Alarmmüdigkeit („alert fatigue“) hat sich damit zu einem strukturellen Problem entwickelt, das zu Burnout führt und im schlimmsten Fall Betriebsausfälle nach sich zieht. Das Paradox: Unternehmen verfügen heute über mehr Daten und Telemetrie denn je, doch ohne kontextualisierte Analyse bleiben sie weitgehend unbrauchbar.
Sicherheit braucht Kontext
Deutsche Unternehmen berichten, dass ihnen für rund 38 Prozent des Netzwerkverkehrs der notwendige Kontext fehlt, um Alarme zuverlässig bewerten zu können. Ein Grund dafür ist, dass vielen Teams die durchgängige Sichtbarkeit in ihren hybriden Umgebungen fehlt – ein anderer ist, dass sie sich in einem Tool-Wildwuchs verlieren, der mehr Daten produziert als Orientierung. Die Folge: Sicherheitsteams in Deutschland verbringen durchschnittlich 13,5 Stunden pro Woche mit der Analyse von Fehlalarmen, und jeder dritte Befragte gibt an, dass dadurch echte Angriffe zu spät oder gar nicht erkannt werden – ein Anteil, der deutlich über dem weltweiten Durchschnitt von einem Fünftel liegt. Besonders groß dabei ist die Sorge in Bezug auf das Risiko der lateralen Bewegung. Ohne ausreichende Sichtbarkeit und Verständnis können Unternehmen weder erkennen, welche Systeme im Visier der Angreifer sind, noch wohin sie sich als Nächstes weiterbewegen.
Diese Blind Spots verlängern die Verweilzeiten von Angreifern im Netzwerk und ermöglichen ihnen, sich auszubreiten und ihre Methoden zu verfeinern. Sobald ein System kompromittiert ist, nutzen Angreifer laterale Bewegung, um ihre Privilegien auszuweiten und weitere Systeme zu übernehmen – oft über Monate hinweg unentdeckt. In Deutschland berichteten 86 Prozent der befragten Unternehmen von mindestens einem solchen Vorfall im vergangenen Jahr. Viele tun sich schwer, laterale Bewegung zu erkennen, weil sie Daten aus Cloud- und On-Premises-Umgebungen nicht verlässlich korrelieren oder Anomalien falsch interpretieren. Nur 43 Prozent der deutschen Führungskräfte gaben an, dass ihre Tools laterale Bewegung aufdecken konnten – im Vergleich zu 54 Prozent weltweit. Das zeigt: Deutsche Unternehmen versinken in Warnungen und erkennen nicht das Wesentliche. Außerdem: Viele Organisationen wissen nicht, wie „Normalität“ in ihrer Umgebung aussieht – und können deshalb nicht zuverlässig bestimmen, was „abweichend“ oder „schädlich“ ist.
KI: Werkzeug für Verteidiger und Angreifer
Um der Flut an Alarmen zu begegnen, setzen deutsche Unternehmen zunehmend auf KI und Automatisierung. Im Durchschnitt benötigen deutsche Sicherheitsteams 12,6 Stunden, um einen Vorfall zu erkennen. KI kann helfen, Fehlalarme schneller auszuschließen, Muster im Netzwerkverkehr zu identifizieren und Kontextlücken zu schließen. Sie zeigt nicht nur Verbindungen auf, sondern erklärt auch, warum sie bestehen, hebt die wichtigsten Alarme hervor und empfiehlt Maßnahmen – und entlastet so Analysten. Doch KI ist ebenso ein Werkzeug für Angreifer. Umso wichtiger ist es, dass Verteidiger KI strategisch einsetzen: zur schnelleren Korrelation von Daten, für präzisere Analysen und für automatisierte Reaktionen. Entscheidend dabei: Nur wenn die Datenbasis umfassend und kontextreich ist, liefert KI auch die richtigen Ergebnisse.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Resilienz durch Visibilität und Containment
Der traditionelle Perimeter existiert nicht mehr. In hybriden Umgebungen ist Visibilität ohne Kontext wertlos. Um ihre Verteidigung gegen unvermeidliche Angriffe zu stärken, müssen deutsche Unternehmen daher den Schritt vom reaktiven Alarm-Handling hin zu proaktivem Containment gehen: Bedrohungen müssen nicht nur erkannt, sondern verstanden und gestoppt werden, bevor sie sich ausbreiten. Dafür braucht es klare Prioritäten: umfassende Observability durch KI-gestützte Cloud Detection and Response, kombiniert mit Strategien zur Eindämmung wie Zero Trust und Maßnahmen wie Mikrosegmentierung. Mit verschärften EU-Vorgaben und dem wachsenden Fokus von Angreifern auf Kritische Infrastrukturen wird die Fähigkeit deutscher Unternehmen, laterale Bewegung zu erkennen und einzudämmen, zum entscheidenden Faktor ihrer Resilienz. Werkzeuge und Budgets sind bereits vorhanden – jetzt müssen sie nur noch richtig verknüpft werden.
Über den Autor: Raghu Nandakumara ist Vice President, Industry Strategy bei Illumio.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ca/98/ca981bd9ff1a8c9641595774d79829ea/0125795002v2.jpeg "Alex Goller ist Cloud Solutions Architect EMEA bei Illumio und stellt fest, dass die Sichtbarkeit n Sachen Cybersicherheit nie größer war als jetzt – zugleich aber auch die Klarheit nie geringer! (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b2/76/b276c942e31f3c7515d7011afa2204a3/0125138288v1.jpeg "Die Zahl der Sicherheitsvorfälle im Cloud-Betrieb steigt, die Reaktion darauf kommt oft zu spät und KI-Bedrohungen treffen auf fragmentierte Abwehrsysteme - all dies Ergebnisse des aktuellen Sicherheitsreports von Check Point. (Bild: © Westlight - stock.adobe.com)")