ITDR im KuppingerCole Leadership Compass 2025

Identity Threat Detection and Response im KuppingerCole Leadership Compass 2025 ITDR-Plattformen im Vergleich – Identitäten und Risiken in Echtzeit

26.11.2025 Von Alejandro Leal 4 min Lesedauer

Anbieter zum Thema

KuppingerCole Analysts AG

sysob IT-Distribution GmbH & Co. KG

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Fsas Technologies GmbH

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

Identity Threat Detection and Response, ITDR, schließt die Lücke zwischen Identity and Access Management, IAM, und Security Operations Center, SOC. Doch viele Sicherheitsarchitekturen bleiben noch weit hinter diesem Anspruch zurück.

Dashboards einer Identity-Security-Plattform zeigen identitätsbezogene Alarme und Risikowerte. Identity Threat Detection and Response bündelt hier Signale zu menschlichen und nicht-menschlichen Identitäten.(Bild: © Gorodenkoff - stock.adobe.com) — Dashboards einer Identity-Security-Plattform zeigen identitätsbezogene Alarme und Risikowerte. Identity Threat Detection and Response bündelt hier Signale zu menschlichen und nicht-menschlichen Identitäten.
(Bild: © Gorodenkoff - stock.adobe.com)

Über 80 Prozent aller Sicherheitsvorfälle beinhalten heute eine Form von Identitätsmissbrauch: Sei es durch kompromittierte Zugangsdaten, laterale Bewegung oder Privilegien-Eskalation. Gleichzeitig stellen schlecht verwaltete Non-Human-Identities (NHIs) wie Servicekonten oder API-Keys weiterhin ein stilles, systemisches Risiko dar. Trotz der weiten Verbreitung von IAM-Lösungen fehlt den meisten Unternehmen immer noch die Möglichkeit, Identitätsmissbrauch in Echtzeit zu erkennen. Genau hier setzt Identity Threat Detection and Response (ITDR) an.

Einbruch der Betrugserkennung: Weltweit steigen SMS-Phishing- und Vishing-Angriffe massiv. Besonders dort, wo Governance und digitale Schutzmaßnahmen fehlen. (Bild: © whitestorm - stock.adobe.com)

Identität als Angriffs- und Kontrollfläche

Die Forschung zeigt: Immer mehr Organisationen sehen ITDR nicht einfach als Produktkategorie, sondern als eigene Disziplin, geprägt durch die Konvergenz von Identity Administration und Security Operations.

Diese Entwicklung spiegelt das wachsende Bewusstsein wider, dass Identität sowohl Kontroll- als auch Angriffsfläche ist und deshalb eine enge Zusammenarbeit zwischen IAM-Teams und SOC-Analysten erfordert. ITDR bildet die verbindende Schicht, die diese Zusammenarbeit operationalisiert. Und zwar indem sie Sichtbarkeit, Erkennung und Reaktion über traditionell getrennte Bereiche hinweg ausrichtet. Da identitätszentrierte Angriffe in Komplexität und Häufigkeit zunehmen, wird dieser funktionsübergreifende Ansatz zu einem entscheidenden Faktor für die Resilienz der Unternehmenssicherheit.

Die Funktionen von Identity Threat Detection and Response im Überblick

Obwohl ITDR-Lösungen in vielen Formen existieren, umfassen zentrale Funktionen typischerweise:

Discovery und Visibility: Discovery identifiziert und klassifiziert alle Identitäten, Zugangsdaten und Berechtigungen über sämtliche Systeme hinweg. Visibility ermöglicht Echtzeiteinblick darin, wie diese Identitäten agieren, welche Zugriffe sie haben und wie diese genutzt werden;

Monitoring: Kontinuierliche Überwachung identitätsbezogener Aktivitäten und Telemetriedaten über alle Umgebungen hinweg, um Anomalien oder verdächtiges Verhalten zu erkennen, die auf eine Kompromittierung hindeuten könnten;

Prevention und Posture Management: Verbesserung der Identity Hygiene, Einhaltung von Richtlinien und proaktive Identifikation von Fehlkonfigurationen oder Schwachstellen, bevor Angreifer sie ausnutzen können – teils durch den Einsatz von Decoys oder Honeytokens als Frühwarnsystem;

Detection: Erkennung ungewöhnlicher oder risikoreicher Identitätsaktivitäten, unautorisierter Zugriffsversuche und Exploits, um legitime Nutzung von böswilligem Verhalten zu unterscheiden;

Correlation: Verknüpfung identitätsbezogener Signale mit Kontextdaten und externen Sicherheitssystemen, um mehrstufige Angriffe und Muster zu erkennen, die in isolierten Alerts verborgen blieben;

Investigation: Unterstützung von Analysten und Administratoren bei der Validierung von Vorfällen, Nachverfolgung von Angriffspfaden und Bewertung der Auswirkungen durch Aggregation und Kontextualisierung identitätszentrierter Daten;

Response: Abwehr identitätsbasierter Angriffe mittels automatisierter oder geführter Playbooks, etwa durch Sperrung von Anmeldeinformationen, Erzwingen von Re-Authentifizierung oder Anpassung von Richtlinien über SIEM- oder SOAR-Integrationen;

Recovery: Wiederherstellung des Vertrauens in kompromittierte Identitätsinfrastrukturen, zum Beispiel durch Validierung der Directory-Integrität, Rücksetzen schädlicher Änderungen und Wiederaufbau betroffener Umgebungen wie Active-Directory-Forests.

Dem Analystenhaus KuppingerCole zufolge, reichen statische Signaturen nicht mehr aus, um Angriffe über E-Mail zu erkennen. Der Schlüssel soll KI-basierte Verhaltensanalyse sein. (Bild: gemeinfrei)

Die Anbieterlandschaft im ITDR Leadership Compass 2025

Die Anführer im „ITDR Leadership Compass“ zeichnen sich durch ihre Fähigkeit aus, Behavior Analytics, Risikobewertung und Incident Response über menschliche und nicht-menschliche Identitäten hinweg zu vereinen.

Zu den Anführern im ITDR Leadership Compass 2025 gehören

CrowdStrike,

Microsoft,

Cyberark,

Saviynt,

Okta,

BeyondTrust

und Delinea.

Diese Plattformen kombinieren starke Sichtbarkeit mit Erkennung, Reaktion und Echtzeit-Behebung und bieten zugleich ausgereifte Integrationen mit IAM-, ITSM-, SIEM- und SOAR-Systemen. Täuschungstechniken wie Identity-Decoys und Honeytokens ermöglichen eine wertvolle Früherkennung. Doch ihre Relevanz hängt vom jeweiligen Bedrohungsmodell der Organisation ab.

Rubrik erweitert sein Portfolio an Funktionen zur Identitätswiederherstellung über Active Directory und Entra ID hinaus. (Bild: © Lightning - stock.adobe.com)

Unterscheidungsmerkmale führender ITDR-Plattformen

Was die Anführer wirklich unterscheidet, ist nicht nur die reine Bedrohungserkennung, sondern die Fähigkeit, schwache Signale zu korrelieren, Untersuchungen zu automatisieren und Reaktionsmaßnahmen über die gesamte Identity-Landschaft hinweg auszulösen. Anbieter, die nur bestimmte Identitätstypen überwachen oder sich ausschließlich auf Microsoft-zentrische Umgebungen stützen, liefern oft keine vollständige ITDR-Abdeckung. Insgesamt zeigen Anbieter in diesem Bereich zwar ein gutes Product-Market-Fit, doch die unterschiedlichen Architekturen und Ansätze bedeuten, dass der Erfolg davon abhängt, wie gut die Fähigkeiten zu den internen Anforderungen und zur SOC-Reife passen.

KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)

In den nächsten 12 bis 18 Monaten wird sich ITDR in Richtung integrierter Identity-Security-Plattformen mit vereinheitlichten Risikomodellen entwickeln – mit erweitertem Fokus auf Servicekonten, Maschinenidentitäten und föderierte Zugriffe. Zudem beginnen Anbieter, diese Funktionen als Managed Service bereitzustellen, was den Bedarf an kontinuierlicher Überwachung auch außerhalb des SOC widerspiegelt.

Unternehmen sollten aufhören zu fragen: „Kann das Tool Angriff X erkennen?“ Stattdessen sollten sie Lösungen priorisieren, die volle Sichtbarkeit bieten, Verhaltensanomalien erkennen, kontextbezogen untersuchen und wirksame Reaktionen auslösen.

Die Zukunft der Identity Security liegt nicht in statischer Erkennung, sondern in kontinuierlicher Anpassung.

Die Daten, die jüngst dem Online-Dienst „Have I Been Pwned“ hinzugefügt wurden, stammen aus einer groß angelegten Sammlung von Infostealer-Logs von Synthient. (Bild: Midjourney / Paula Breukel / KI-generiert)

Der vollständige „KuppingerCole Analysts Leadership Compass“ enthält detaillierte Bewertungen der Anbieter und die zugrunde liegende Methodik.

Über den Autor: Alejandro Leal ist Senior Analyst bei KuppingerCole.

(ID:50639655)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.