Nur wer genau versteht, was im eigenen Netzwerk tatsächlich passiert, kann Cloud-Angriffe schnell erkennen und eindämmen. Organisationen setzen zunehmend auf AI Security Graphs, um Breach Containment in hybriden Multi-Cloud-Infrastrukturen zu stärken.
Alex Goller ist Cloud Solutions Architect EMEA bei Illumio und stellt fest, dass die Sichtbarkeit n Sachen Cybersicherheit nie größer war als jetzt – zugleich aber auch die Klarheit nie geringer!
(Bild: Illumio)
Die moderne Cybersicherheit steht vor einem Paradoxon: Noch nie war die Sichtbarkeit größer – und zugleich die Klarheit geringer. Sicherheitsteams sind mit einer Vielzahl ineffektiver Tools konfrontiert, die jeweils nur einen Teil des Gesamtbilds liefern. Netzwerkflüsse werden zwar aufgezeichnet, bleiben aber oft ohne Kontext. Logs zeigen nur, dass eine Verbindung existiert hat – nicht, ob sie erwartet, kritisch oder anormal war. Gleichzeitig erzeugen diese Systeme eine enorme Zahl an Fehlalarmen, die Security Teams überfordern.
Gerade in Cloud-Umgebungen, wo sich Workloads, Container und Verbindungen dynamisch verändern, wird diese Lücke zum Risiko. Angreifer nutzen unüberwachte Kommunikationsflüsse für laterale Bewegungen – und bleiben so lange unentdeckt.
Die dynamische Natur von Cloud-Umgebungen macht es zusätzlich schwierig, Bedrohungen mit traditionellen Methoden zu erkennen. Ressourcen entstehen und verschwinden binnen Sekunden, und klassische Monitoring-Tools können diese Dynamik oft nicht in Echtzeit abbilden. Dadurch können Angreifer "blind spots" ausnutzen und sich lateral durch Systeme in hybriden Cloud-Umgebungen bewegen, ohne aufzufallen.
Graph-basierte Observability: Die nächste Evolutionsstufe
Eine der größten Herausforderungen der modernen Netzwerksicherheit ist nicht nur technologischer, sondern konzeptioneller Natur. Viele Sicherheitstools und -strategien basieren weiterhin auf Listenlogik: Ereignisse protokollieren, Anomalien markieren und Assets isoliert kategorisieren. Doch Angreifer handeln nicht linear – sie bewegen sich dynamisch durch Systeme, indem sie Beziehungen zwischen Assets und Umgebungen ausnutzen. Verteidiger müssen ebenso denken.
Daher wird Graph-basierte Observability immer wichtiger. Anstatt den Datenverkehr als eine Reihe isolierter Einträge zu betrachten, bildet ein Graph-basierter Ansatz die Beziehungen zwischen Workloads, Nutzern und Systemen ab und deckt so verborgene mögliche Angriffswege auf. Sicherheitsteams können so nicht nur einzelne Ereignisse analysieren, sondern Interaktionen und Muster erkennen.
Security Graphs werden noch leistungsfähiger, wenn sie mit KI kombiniert werden, um Risiken zu visualisieren und zu priorisieren – denn so können Teams schneller und fundierter reagieren. AI Security Graphs bilden alle Ressourcen, Workloads und Verbindungen innerhalb einer Unternehmensumgebung ab und reichern sie mit KI-basiertem Kontext an. Verbindungen werden automatisch klassifiziert und priorisiert: Erwartbares Kommunikationsverhalten lässt sich klar von Anomalien unterscheiden.
Erwarteter und genehmigter Traffic zwischen Ressourcen wird zum Beispiel in Illumio Insights grün angezeigt.
(Bild: Illumio)
So sehen SOC-Analysten nicht nur „Traffic“, sondern verstehen, welche Verbindungen potenziell riskant sind. Damit wird Observability von einer passiven Überwachungsfunktion zu einem proaktiven Untersuchungswerkzeug. Visibilität bedeutet, Daten zu sammeln und anzuzeigen; Observability bedeutet, Verhalten, Absichten und Auswirkungen zu verstehen. Mehr Daten oder Telemetrie helfen nicht, wenn der Kontext fehlt. Wahre Observability verbindet die Punkte: Sie zeigt, was wichtig ist, warum es wichtig ist und welche Handlung erforderlich ist.
Darüber hinaus hilft KI, historische Kommunikationsmuster zu analysieren, um neue Abweichungen noch schneller zu erkennen. KI-Modelle lernen, was "normal" ist – und schlagen Alarm, sobald etwas Außergewöhnliches passiert.
Ein Angreifer kompromittiert eine Anwendung in Azure und nutzt diese als Sprungbrett, um unautorisierte Verbindungen zu Workloads in AWS herzustellen. Mit Hilfe eines AI Security Graph können Sicherheitsteams diese unerwartete Cross-Cloud-Kommunikation in Echtzeit erkennen, als hochriskant klassifizieren und in kürzester Zeit reagieren. Die Mean Time to Detect (MTTD) lässt sich so drastisch senken.
So läuft das im Detail ab: Der AI Security Graph spielt seine Stärken aus und zeigt nicht nur in Echtzeit die verdächtige Verbindung, sondern liefert auch eine Fülle an Kontext, der Verteidigern hilft, schnell Entscheidungen zu treffen und Maßnahmen zu ergreifen. Die Graph-basierte Repräsentation aller Ressourcen, Identitäten, Konfigurationen und potenziellen Schwachstellen zeigt nicht nur die verdächtige Verbindung, sondern auch alle möglichen Angriffswege.
So können Sicherheitsteams analysieren, welche Wege ein Angreifer nach dem ersten Zugriff nutzen könnte, um sich lateral im Netzwerk zu bewegen und welcher dieser Wege der „Weg des geringsten Widerstands“ ist, sodass Verteidiger sofort Maßnahmen zur Risikominimierung ergreifen können.
KI-gestützte Observability für besseres Breach Containment
Besonders wertvoll wird KI-gestützte Observability, wenn sie mit proaktiven Sicherheitstools wie Segmentierung kombiniert wird. Gemeinsam ermöglichen sie es Sicherheitsteams, riskante Verbindungen oder Workloads schnell zu isolieren – oft mit nur einem Mausklick – und reduzieren so die Mean Time to Respond (MTTR) im Vergleich zu manuellen Prozessen erheblich. In manchen Fällen können potenzielle Angriffe neutralisiert werden, bevor sie stattfinden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Traditionelle Sicherheitsstrategien setzen stark auf Prävention. Doch in der heutigen Post-Breach-Welt hat Cybersicherheit zwei Aufgaben: Angriffe nach Möglichkeit verhindern – und diejenigen, die den Perimeter durchdringen, schnell erkennen und eindämmen.
So wie Angreifer immer ausgeklügelter agieren, müssen sich auch Verteidiger und die von ihnen eingesetzten Werkzeuge weiterentwickeln. In Kombination mit Segmentierung ermöglicht KI-gestützte Observability nicht nur schnellere Reaktionen, sondern auch vorausschauende Risikominimierung:
Angriffspfade werden sichtbar gemacht und können vorsorglich durch Segmentierung geschlossen werden.
Verhaltensmuster neuer Workloads lassen sich frühzeitig analysieren.
Sicherheitsteams können übergreifende Policies optimieren und die Compliance- sowie Audit-Fähigkeiten verbessern, denn proaktive Segmentierung auf Basis von KI-gestützte Observability reduziert nicht nur die Angriffsfläche.
Durch die Einbindung in bestehende SIEM- und SOAR-Plattformen lassen sich zudem schnell Playbooks erstellen, die auf Graph-basierten Erkenntnissen beruhen. Automatisierte Reaktions- und Wiederherstellungsprozesse machen Sicherheitsarchitekturen robuster.
Fazit: In einer Post-Breach-Welt beginnt Sicherheit mit Kontext
Die zunehmende Komplexität von Cloud- und Hybridumgebungen erfordert neue Ansätze. Nur wer versteht, welche Systeme wie miteinander kommunizieren – und warum – kann Bedrohungen rechtzeitig erkennen und eindämmen. AI Security Graphs macht dies möglich und legen damit den Grundstein für echte Cyberresilienz in hybriden Multi-Cloud-Infrastrukturen.
Dieser Ansatz ebnet den Weg für eine neue Generation der Bedrohungserkennung, Reaktion und effektiven Eindämmung von Angriffen.
Über den Autor
Alex Goller ist Cloud Solutions Architect EMEA bei Illumio und hilft Unternehmen in dieser Position dabei, resilienter gegenüber Cyberattacken zu werden und ihre vorhandenen Multi-Cloud Infrastrukturen durch Visibilität und Zero-Trust-Segmentierung weiter abzusichern. Er verfügt über langjährige Erfahrung im IT-Sicherheitsumfeld und hat als Softwareingenieur Netzwerk- und Sicherheitssoftware entwickelt. Er kennt die IT-Sicherheitsherausforderungen von Unternehmen aller Branchen und Größen und sieht Automatisierung, Infrastructure as Code und Cloud-native Anwendungen als die nächste Evolution im Bereich IT-Sicherheit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/9b/63/9b634605f166e8eee61d9a8393935c3f/0127286666v1.jpeg "Tausende Alarme täglich: In deutschen Clouds werden Sicherheitsteams von Warnungen überschwemmt und verlieren dabei den Blick für die echten Risiken. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")