In der modernen Informationssicherheit und im technischen Datenschutz spielt die Abwehr bereits laufender Angriffe eine immer größere Rolle. Wenn die zur Erkennung von schädlichen Aktivitäten eingesetzten Monitoring-Werkzeuge Alarm schlagen, müssen die Security-Teams die Lage und die Risiken schnell einschätzen können, um gezielt einzugreifen. Dies gelingt umso besser, je besser sie den Kontext durchschauen. Data Gateways bieten eine Möglichkeit, die dafür benötigten Informationen in geeigneter Form bereitzustellen.
Data Gateways erleichtern in modernen, digitalisierten Unternehmen fast beliebige Formen von Daten-Analysen, was vor allem im Bereich der Sicherheit zu besseren Ergebnissen führt.
Zu den spannendsten, aber auch buchstäblich nervenaufreibendsten Aufgaben in der modernen Cyber-Sicherheit gehört die Arbeit im Security Operations Center (SOC). Die Analysten dort beobachten – von Werkzeugen wie den Security-Information-und-Event-Management-Systemen (SIEM) unterstützt – das Geschehen im Netz und suchen nach Anzeichen für möglicherweise bereits laufende Angriffe. Ihre wirksamste Waffe dabei ist ein gewisser Grad an Automatisierung – so hilft die von ihnen genutzte SIEM-Software etwa dabei, verräterische Einzelereignisse in der IT-Umgebung in Beziehung zu setzen (sie zu „korrelieren“) und auf diese Weise typische Vorgehensweisen aufzudecken, die ein Angreifer bei einer Attacke auf eine bestimmte Art von Informationen gewöhnlich an den Tag legt.
Stochern im Nebel
Das alles klingt plausibel und ist im Grunde bereits ein gut funktionierender Einsatzbereich einfacher künstlicher Intelligenz. Der Ansatz scheitert aber oft an einem auf den ersten Blick nebensächlichen Aspekt: Fehlender Kontext-Information. Die „Asset“-Listen vieler Unternehmen enthalten kaum mehr als die IP-Adressen von Servern und anderen Systemen und ein paar wenige technische Daten. Risikowerte für die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität sind ebenso wenig erfasst wie nähere Beschreibungen der Informationsbestände, Server und Anwendungen.
Ist dies der Fall, läuft die oben beschriebene Technik der automatisierten Angriffserkennung ins Leere. Der Grund: Um beispielsweise das Muster einer bekannten Angriffsstrategie auf eine Datenbank wiederzuerkennen, die häufig Kreditkartendaten verwaltet, muss das Detektionssystem beim Kunden wissen, dass solch eine Datenbank im eigenen Netz existiert, dass sie tatsächlich Kreditkartendaten enthält und welche weiteren Systeme mit ihr so verknüpft sind, dass ein Angreifer sie zum Beispiel als Sprungbrett nutzen könnte. Findet es diese Informationen nicht, können die hochentwickelten Korrelations-Engines nur im Nebel stochern, und eine gezielte Use-Case-Entwicklung („Was will oder muss ich erkennen?“) wird erschwert oder ist gar nicht möglich.
Dauerbaustelle „Asset-Inventory“
Kontext-Informationen sind also wertvoll – warum stehen sie dann so selten zur Verfügung?
Zunächst einmal müssen zum Füllen der entsprechenden Datenbanken viele Abteilungen in einem Unternehmen zusammenarbeiten und sich verpflichten, die Informationsbestände aktuell zu halten. Darüber hinaus fehlt es zuweilen auch an geeigneten Werkzeugen, um die Daten zu erfassen. Manche CMDBs sind gar nicht darauf ausgelegt, auch sicherheitsrelevante Informationen aufzunehmen, oder sie müssen dazu erst erweitert werden. Hinzu kommt, dass fast immer mehrere und ganz unterschiedliche Interessengruppen in einer Organisation ihren Nutzen aus einer Asset-Datenbank ziehen wollen, was zu einem Streit um die personellen IT-Ressourcen führen kann und die Entscheidungs- und Designprozesse in die Länge zieht. Der Aufbau entsprechender Repositories gerät deshalb oft zu langen, zuweilen auch immer wieder die „Lange Bank“ geschobenen Projekten.
Helfen könnten sich Security und Datenschutz aus dieser Misere mit einem anderen Modell: Der Implementierung eines Data Gateways, das sicherheitsrelevante Informationen – vor allem Log-Daten – mit Kontext-Informationen anreichert. Um dieses Prinzip erläutern zu können, sei zunächst ein genauerer Blick auf ein typisches Produkt dieser Art erlaubt.
Data Gateways als Informationsmanagement-Tools
Das Gateway des Herstellers Cribl sammelt Daten einzelner Quellen in einem Netzwerk ein, reicht sie an unterschiedliche Empfänger weiter und modelliert die Datensätze oder Informationseinheiten dabei regelbasiert je nach Kommunikationsbeziehung und Informationsbedarf.
Folgende Funktionen stehen im Einzelnen zur Verfügung:
Zentrales und Event-basiertes Routing: Das Data Gateway leitet Events zum Beispiel anhand inhaltlicher Merkmale an unterschiedliche Zielsysteme weiter. Dies würde es zum Beispiel erlauben, bestimmte Security-relevante Daten ans SOC zu leiten und andere an die technischen Spezialisten für das System – sinnvoll etwa bei Produktionsanlagen.
Reduktion des Datenvolumens: Das Data Gateway entfernt leere und optionale oder vom Zielsystem nicht benötigte Felder, entlastet damit das Netz und erhöht den Durchsatz bei der Verarbeitung.
Verschlüsselung: Das Data Gateway verschlüsselt auf Wunsch personenbezogene Daten in Logs, um Anforderungen etwa der DSGVO oder von Normen wie PCI DSS zu erfüllen. Erst im Verdachtsfall wird ein Zugriff auf die Entschlüsselung gewährt. Oft wird im europäischen Raum erst durch diesen Trick die automatisierte Analyse bestimmter Datentypen überhaupt möglich.
Anreicherung: Das Data Gateway liefert die oben beschriebenen Kontext-Informationen oder andere Zusatzdaten und trägt dazu bei, Fehler und Abweichungen in den Analysen zu vermeiden, die durch voneinander abweichende Informationsstände und Zugriffsmethoden entstehen. Um ein ganz einfaches Beispiel zu nennen: Logs eines als kritisch eingestuften Systems könnten um genau diese Information angereichert werden, bevor sie zum SIEM gelangen, so dass das SOC-Werkzeug Warnungen aus der entsprechenden Quelle automatisch eine höhere Priorität zuweisen kann.
Mit diesen Funktionen und vor allem der Anreicherungs-Option wird das Data Gateway zu einem vollwertigen Ersatz oder mindestens Workaround, der das Manko einer fehlenden Asset-Datenbank mit Security-relevanten Informationen ausgleichen kann. Aussagekräftige Zusatzinformationen, die den Teams im SOC helfen, lassen sich hier vergleichsweise leicht, in überschaubaren und priorisierten Projekten und unter der Regie der zuständigen Teams einfügen. Dies entlastet die Anwender ganz nebenbei auch von der schwierigen Aufgabe, eine Aufbesserung des Informationsflusses entweder direkt durch Rekonfiguration der Log-Produktion an den Datenquellen oder durch Manipulationen an den Monitoring-Systemen wie etwa den SIEM-Systemen vornehmen zu müssen.
Unabhängigkeit von Endsystem-Anbietern
So ist es beispielsweise durchaus nicht immer möglich, den Output an Log-Dateien einer Anwendung oder – noch schwieriger – einer Produktionsmaschine so zu modifizieren, dass er sich den Security-Bedürfnissen anpasst. Außerdem ist dies auch nicht immer erwünscht, denn die gleichen Logs werden ja auch von anderen Empfängern benötigt, etwa um die Zuverlässigkeit oder Auslastung messen zu können. Und nicht jeder SIEM-Hersteller oder Managed Service greift auf Zuruf gern und schnell in die Logik seiner Produkte ein – Funktionsergänzungen etwa erfordern oft präzise formulierte Feature-Requests und dann viel Geduld beim Warten auf die Umsetzung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mit einer spezialisierten „Datendrehscheibe“ in Form eine Data Gateways lassen sich also gleich mehrere typische Herausforderungen einer auf Security zielenden Datenanalyse meistern.
Stellschrauben für Data Lakes und Data Warehouses
Hinzu kommt, dass ein Data Gateway diverse Möglichkeiten bietet, zwischen den Prinzipien „Data Lake“ und „Data Warehouse“ zu vermitteln.
Hinter dem „Data Lake“-Konzept steckt ein Modell, bei dem nahezu alle Rohdaten eines Unternehmens in einem großen Repository gesammelt werden, so dass auf lange Sicht auch alle nur denkbaren Auswertungen daraus gezogen werden können – auch solche, die zum Zeitpunkt der Datensammlung noch gar nicht absehbar sind.
Die Anwendung dieses Prinzips hat allerdings Grenzen, wenn Informationen ins Spiel kommen, für die Compliance-Vorschriften gelten. Personenbezogene Daten etwa, die in Log-Daten durchaus einmal enthalten sein könnten, müssen vor der Abspeicherung in vielen Fällen erst einmal verschlüsselt oder maskiert werden. Diese Aufgabe könnte das Data Gateway übernehmen und sicherstellen, dass gesetzliche Anforderungen an die Absicherung bestimmter Datentypen auf jeden Fall angewendet werden, gleich wie die Aufbewahrung und die weitere Verarbeitung später gestaltet sein mögen. Auswertungsteams können so tendenziell von der Sorge entlastet werden, aus Versehen mit neuen Analyseansätzen den Ausgangspunkt für Datenpannen zu liefern.
Das Umgekehrte gilt, wenn von vornherein absehbar ist, dass es bestimmter Daten-Output ohne zumindest minimale Anreicherungen gar nicht wert ist, abgelegt zu werden. Dies gilt zum Beispiel für viele Logs, die aus Produktionsumgebungen stammen und eigentlich nur für die Fehlerbehebung durch Produktspezialisten des Herstellers gedacht waren, in einer modernen Umgebung aber plötzlich statistischen Wert bekommen oder im Sicherheits-Kontext Aufschlüsse bei forensischen Untersuchungen bieten können.
Fazit
Data Gateways erleichtern in modernen, digitalisierten Unternehmen fast beliebige Formen von Daten-Analysen. Sie verringern die Komplexität der Kommunikationsbeziehungen zwischen Anwendungen und Maschinen deutlich, was vor allem im Bereich der Sicherheit zu besseren Ergebnissen führt.
Über den Autor: Christoph Dittmann ist Head of Data Solution Services bei LC Systems.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/d2/e9d2b519698bb7dc52d21d1735ff6b6e/0128637037v2.jpeg "Europa droht laut Google 2026 eine deutliche Zunahme staatlich gesteuerter Cyberangriffe, bei denen KI-gestützte Deepfakes, Vishing und eingeschleuste falsche IT-Fachkräfte gezielt Unternehmen ausspähen, erpressen und sabotieren. (Bild: Pablo Lagarto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/44/b444e312fe3afc078a5dccb184098b0f/0128881472v2.jpeg "Künstliche Intelligenz birgt für Unternehmen operative, rechtliche und Reputationsrisiken, während ihre Integration oft vor Herausforderungen in der Governance steht. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5b/94/5b940fd0f2a907c9b981ad715bd1a1a7/0128740476v2.jpeg "Die betroffenen D-Link-Router haben 2020 ihr End-of-Life erreicht. Deshalb wird es von D-Link keine Sicherheitsupdates geben, um CVE-2026-0625/EUVD-2026-0944 zu schließen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/e6/6ee646db17c9fde60a314f5a304829f4/0128889483v1.jpeg "Der Austausch einer Firewall markiert häufig den Übergang von historisch gewachsenen Netzwerken zu konsolidierten Sicherheitsarchitekturen mit stärkerer Segmentierung und klaren Zugriffskontrollen. (Bild: © Woodapple - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/dc/c6dc484c002d4c89d06f11173e753926/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a0/f2/a0f210f50889348c9b06243cf16c294f/0128830499v2.jpeg "Watchguard vereint mit einem neuen Zero Trust Bundle drei Sicherheitsbereiche in einer cloudbasierten Plattform. MSP erhalten damit ein skalierbares Servicemodell ohne VPN-Engpässe und komplexe Einzellösungen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/38/0e/380e0d4a17254692074ed5872ffc3908/0128878981v1.jpeg "Integrierte Endpoint-Plattformen sollen ITOps und SecOps eine gemeinsame Arbeitsbasis bieten und Reaktionszeiten verkürzen. (Bild: © Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a8/f8/a8f839b6d6fc54f14228abb8e4984e8c/0123871625v2.jpeg "Ein SIEM ermöglicht einen umfassenden Einblick auf die Cybersicherheitslage eines Unternehmens und ermöglicht eine schnelle Reaktion auf Bedrohungen. (Bild: kjekol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/32/dc32f2c0e47a10fb28fc07745b269a1f/0122770891v2.jpeg "Erfolgreiche Cybersicherheitsstrategien erfordern ein sorgfältiges Zusammenspiel von Echtzeitgeschwindigkeit und der Fähigkeit, historische Daten auch über lange Zeitachsen hinweg zu analysieren. (Bild: Lila Patel - stock.adobe.com)")