Obwohl das Monitoring ein kritischer Aspekt eines jeden Vorgangs in Rechenzentren ist, bleibt es oft das schwarze Schaf unter den IT-Strategien der Unternehmen. Monitoring wird als nebensächlich betrachtet und nicht als Kernkompetenz wahrgenommen. Das muss sich ändern!
Netzwerk-Monitoring und IT-Überwachung sind extrem wichtig – und dennoch werden sie oft vernachlässigt und/oder falsch gemacht
Wie wenig das Thema Netzwerk-Monitoring wertgeschätzt wird, zeigt sich an der Überwachungslösung vieler Unternehmen. Man hat oft den Eindruck, dass Monitoring-Bestandteile und Tools von einer Schar so genannter IT-Fachleute einfach lieblos und sinnfrei übereinander geklatscht wurden. So entwickeln sich im Laufe der Zeit Schichten, die sich zwar alle am selben Ort befinden (nämlich in der eigenen Überwachungslösung), aber weder eine kohärente Strategie abbilden, noch vernünftig integriert sind.
Doch ob man es glaubt oder nicht, auch hier gibt es noch Rettung. Mit einigen grundlegenden Techniken und Überwachungsdisziplinen kann man auch solch chaotische Zustände in eine Überwachungslösung verwandeln, die wertvolle Einblicke liefert. Als Ausgangslage gehen wir in diesem Artikel davon aus, dass zumindest eine Überwachungslösung in der Umgebung implementiert wurde.
Im Prinzip geht es bei der Überwachung als grundlegender IT-Disziplin darum, den IT-Experten zu helfen, der kurzfristigen, reaktiven Natur der Netzwerk-Verwaltung zu entkommen und proaktiver und strategischer zu werden. Viel zu oft werden Unternehmen jedoch durch falsche oder nicht auf ihr Umfeld und ihre Geschäftsanforderungen abgestimmte Überwachungssysteme ausgebremst. Dies führt zu unnötigen oder falschen Warnungen, die nur für Chaos und Trubel statt für Ordnung und Einblick sorgen. Die Folge ist, dass Mitarbeiter die Überwachung weniger schätzen und weniger beachten.
Damit ein Unternehmen die Effizienz seines Rechenzentrums steigern und den größten Nutzen aus den Überwachungslösungen ziehen kann, benennen wir hier die fünf wichtigsten allgemeinen Fehler beim Monitoring und was man dagegen tun kann:
1. Feste Schwellenwerte
Überwachungssysteme, die für eine Gruppe von Geräten jede Art von Alarm einzig ab einem bestimmten Wert auslösen, sind als Lösung nicht besonders geeignet. Allgemeine Schwellenwerte können zwar festgelegt werden, sind aber in den meisten Fällen unbrauchbar und oft sogar kontraproduktiv.
Selbst ein einzelner Server weist eine von Tag zu Tag unterschiedliche Auslastung auf. Ein Server, der normalerweise mit 50 Prozent CPU-Auslastung läuft, aber am Monatsende auf 95 Prozent ansteigt, liegt völlig im Rahmen. Doch feste Schwellenwerte lösen bei solchen Auslastungsspitzen Alarme aus. Deswegen erstellen viele Unternehmen mehrere Versionen derselben Warnung (CPU-Warnung für Windows IIS-DMZ; CPU-Warnung für Windows IIS-Core; CPU-Warnung für Windows Exchange CAS usw.). Aber auch in diesem Fall zeigen feste Schwellenwerte in der Regel mehr „false positives“ an als nötig.
Gegenmaßnahmen: Gut: Aktivieren Sie Schwellenwerte pro Gerät (und pro Dienst). Unabhängig davon, ob Sie dies innerhalb des Tools oder über Anpassungen vornehmen, sollten Sie letztendlich in der Lage sein, einen bestimmten Schwellenwert für jedes Gerät festzulegen. So zeigen Geräte mit einem bestimmten Schwellenwert zum richtigen Zeitpunkt Warnungen an und solche ohne Schwellenwert erst ab dem Standardwert.
Besser: Verwenden Sie vorhandene Überwachungsdaten, um Baselines für „normal“ zu bestimmen, und lassen Sie Ihre Geräte erst dann Alarm schlagen, wenn es eine Abweichung von diesen Baselines gibt. Beachten Sie, dass Sie eventuell überlegen müssen, wie Sie mit Grenzfällen umgehen. Diese benötigen meist eine zweite Bedingung, um zu definieren, wann ein Schwellenwert erreicht wird.
2. Mangelnde Überwachung des Monitoring-System
Es ist sicherlich wichtig, ein Tool oder mehrere Tools zu haben, die geschäftskritische Systeme überwachen und Warnungen anzeigen. Es ist aber ebenso wichtig, dass ein System vorhanden ist, um Probleme innerhalb der Überwachungslösung selbst zu identifizieren.
Gegenmaßnahmen: Richten Sie eine separate Überwachungslösung ein, mit der Sie den Überblick über das primäre oder das in der Produktion eingesetzte Überwachungssystem behalten. Dabei kann es sich um eine Kopie des gleichen Tools oder der gleichen Tools handeln, die Sie in der Produktion verwenden. Auch eine separate Lösung ist möglich, wie z.B. Open Source, vom Hersteller bereitgestellt usw.
Eine weitere Möglichkeit, dieses Problem anzugehen, finden Sie in der Diskussion über Labor- und Testumgebungen unter Punkt 5.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Sofortwarnungen
Es gibt unzählige Gründe, warum Sofortwarnungen für Chaos in Ihrem Rechenzentrum sorgen. Gemeint ist, wenn das Überwachungssystem sofort Alarm auslöst, sobald ein bestimmter Zustand erkannt wurde. Zum einen sind Überwachungssysteme nicht unfehlbar und können „false positive“-Warnungen ausgeben, die nicht angegangen werden müssen. Zum anderen ist es nicht ungewöhnlich, dass Probleme einen Moment lang auftreten und dann verschwinden. Dennoch kann man bestimmte Probleme erst nach einer gewissen Zeit beheben. Solche Probleme kennen Sie ganz bestimmt.
Gegenmaßnahmen: Bauen Sie eine Zeitverzögerung in die Auslöselogik Ihres Überwachungssystems ein, bei der z.B. bei einer CPU-Warnung alle angegebenen Bedingungen etwa 10 Minuten lang vorhanden sein müssen, bevor eine Aktion erforderlich ist. Auslastungsspitzen, die länger als 10 Minuten dauern, erfordern einen direkten Eingriff, während alles andere eine vorübergehende Aktivitätssteigerung darstellt, die nicht unbedingt auf ein echtes Problem hindeutet.
4. Flapping oder „Sägezahnsignale“
Wenn eine Warnung wiederholt ausgelöst wird (ein Gerät, das immer wieder neu gestartet wird oder temporäre Seitendateien löscht/erstellt, sodass es in einem Moment den Schwellenwert überschreitet und im nächsten z.B. unter dem Schwellenwert liegt), wird dieser Vorgang als Flapping oder Sägezahnsignal bezeichnet.
Gegenmaßnahmen: Für diese Warnungen gibt es mehrere mögliche Problemlösungen, je nachdem, was von Ihrer Überwachungslösung unterstützt wird und welche am besten zu der jeweiligen Situation passt:
Gut: Unterdrücken von Ereignissen innerhalb eines bestimmten Zeitfensters. Das Ignorieren von doppelten Ereignissen innerhalb eines bestimmten Zeitraums ist oft alles, was Sie brauchen, um bedeutungslose Duplikate zu vermeiden.
Ebenfalls gut: Wie bereits erwähnt, können Sie eine Zeitverzögerung einbauen, um eine Selbstauflösung zu ermöglichen, falsch positive Ergebnisse zu vermeiden und andere potenzielle Probleme zu eliminieren, die nicht notwendigerweise einer Korrektur bedürfen.
Besser: Nutzen einer „Reset“-Logik. Warten sie auf ein Reset-Ereignis, bevor eine neue Warnung desselben Typs ausgelöst wird. Vermeiden Sie es, die Reset-Logik durch das Gegenteil des Auslösers zu ersetzen.
Am besten: Bidirektionale Kommunikation mit einem Ticket- oder Warnungsverwaltungssystem. Hier kommuniziert das Überwachungssystem mit dem Ticket- und/oder Warnungsüberwachungssystem, damit dieselbe Warnung für dasselbe Gerät erst ausgegeben wird, wenn das ursprüngliche Problem durch einen Menschen behoben und das Ticket geschlossen wurde.
5. Keine Labor-, Test- oder QS-Umgebungen für ihr Überwachungssystem
Wenn Ihr Überwachungssystem geschäftskritische Systeme überwacht und Warnungen ausgibt, dann ist es selbst geschäftskritisch. Trotz der Tatsache, dass viele Unternehmen bei der Evaluierung von Überwachungslösungen eine Proof-of-Concept-Umgebung einrichten, haben sie nach der Auswahl und Einführung des Produktionssystems kein kontinuierlich gewartetes Labor-, Test- oder QS-System, um die Aufrechterhaltung des Systems sicherzustellen.
Gegenmaßnahmen: Das Offensichtliche. Implementieren Sie Test-, Entwicklungs- und/oder QS-Installationen, um sicherzustellen, dass Ihr Überwachungssystem die für eine geschäftskritische Anwendung erforderliche Kontrolle hat.
Test: Eine (oft temporäre) Umgebung, in der Patches und Upgrades getestet werden können, bevor sie in der Produktion eingesetzt werden.
Entwicklung: Eine Umgebung, die die Produktion in Bezug auf Software widerspiegelt, in der jedoch Überwachungen für neue Geräte, Anwendungen, Berichte oder Warnungen eingerichtet und getestet werden können, bevor diese Lösungen in der Produktionsumgebung eingeführt werden. Und wie bereits erwähnt, ist dies der perfekte Ort, um auch Ihre Produktionsumgebung zu überwachen.
QS: Eine Umgebung, die die vorherige Version der Produktion widerspiegelt. Beim Auftreten von Problemen in der Produktion können diese nochmals überprüft werden, um zu bestätigen, ob das Problem in der letzten Revision eingeführt wurde.
Es ist sicher nicht absolut notwendig, alle drei Aspekte abzudecken, aber es lohnt sich, mindestens einen in Betracht zu ziehen. Nur, gar keinen der Aspekte zu bedenken, ist nicht gerade empfehlenswert.
Fazit
Die Geschwindigkeit des technischen Wandels im Rechenzentrum nimmt heutzutage rasend schnell zu. Dabei haben auch herkömmliche Systeme in Rechenzentren in kürzester Zeit eine beachtliche Entwicklung durchlaufen.
Leon Adato.
(Bild: SolarWinds)
Da die Komplexität mit der Erwartung wächst, dass die IT-Abteilung eines Unternehmens immer „agiler“ wird und weiterhin rund um die Uhr ein qualitativ hochwertiges Endbenutzererlebnis bieten kann (d.h. keine Störungen, Ausfälle, Probleme mit der Anwendungsleistung usw.), müssen IT-Experten der Überwachung die Priorität einräumen, die sie als grundlegende IT-Disziplin auch verdient.
Durch das Verständnis und die Bewältigung der erwähnten allgemeinen Überwachungsfehler können Sie sicherstellen, dass Ihr Unternehmen von optimierten und abgestimmten Überwachungssystemen profitiert und gleichzeitig eine proaktivere Strategie jetzt und in Zukunft ermöglichen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/3e/ac/3eac470305decdd125fd2cdd72f30312/0127598624v1.jpeg "In OT-Umgebungen darf ein Frühwarnsystem nicht fehlen. (Bild: © Premium Illustration – stock.adobe.com / KI-generiert)")