Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >
NEU

Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als Leader eingestuft. Bericht herunterladen. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Die Vectra AI Plattform

EDR ist nicht genug: Warum vorausschauende CISOs auf Network + Identity setzen

30. September 2025
Mark Wojtasiak
VP für Produktforschung und Strategie
EDR ist nicht genug: Warum vorausschauende CISOs auf Network + Identity setzen

Ich bin ein einfacher Denker, also lassen Sie mich einfach anfangen.

Als Sicherheitsverantwortliche haben wir alle die gleichen drei Wahrheiten:

  • Wir wollen, dass unsere Mitarbeiter und unsere Marke sicher sind.
  • Unser größter Schmerz ist die Unsicherheit.
  • Wir müssen Verstöße verhindern.

Das war's. Drei menschliche Wahrheiten, die den Lärm der Anbieterfolien, Analystenberichte und Produktpräsentationen durchdringen.

Aber hier liegt das Problem: Unsere modernen Netze sind über unsere alten Denkweisen hinausgewachsen.

Das moderne Netzwerk = eine riesige Angriffsfläche

Früher bestand das "Netz" aus einem Rechenzentrum und einigen Büros. Sie hatten eine Umgrenzung. Sie bauten einen Graben. Sie setzten EDR an den Endpunkten ein, um Angreifer fernzuhalten.

Diese Welt ist verschwunden.

Das moderne Unternehmen von heute ist hybrid, grenzenlos und weit verzweigt:

  • Rechenzentren und cloud .
  • SaaS-Plattformen und Tools für die Zusammenarbeit.
  • Fernarbeitnehmer und SASE.
  • IoT und OT, die nie mit Blick auf die Sicherheit entwickelt wurden.

Angreifer sehen in diesem Chaos keine Silos von Endpunkten, cloud oder Identität. Sie sehen eine riesige, vernetzte Angriffsfläche. Und sie haben ein einfaches Ziel: in Ihr Netzwerk einzudringen.

Pitchfork der Angreifer

Der Clou: Die Angreifer brauchen kein ausgeklügeltes Arsenal, um dies zu erreichen. Sie beherrschen die drei Zacken dessen, was ich die Angreifergabel nenne:

  • Deaktivieren Sie Ihre Kontrollen.
  • Vermeiden Sie Ihre Verteidigungsmaßnahmen.
  • Täuschen Sie Ihre Werkzeuge.

Das war's. Mit dieser Mistgabel können sie die endpoint umgehen, an EDR vorbeischlüpfen und unentdeckt in Ihrer hybriden Umgebung operieren.

Wenn Sie meinen, dass dies dramatisch klingt, sollten Sie sich die Daten ansehen:

  • Bei 50 % der größeren Sicherheitsverletzungen im Jahr 2025 haben Angreifer die endpoint umgangen.
  • 40 % der Sicherheitsverletzungen betrafen mehrere Bereiche - endpoint, Netzwerk, cloud und Identität zusammen.
  • Laut CrowdStrike beträgt die durchschnittliche Zeit von der Infiltration bis zur Seitwärtsbewegung 48 Minuten.

Ich frage also das Offensichtliche: Wenn Angreifer Ihren EDR in weniger als einer Stunde deaktivieren, umgehen oder täuschen können, sind Sie dann wirklich sicher?

Warum das Signal schlecht ist

Wenn Sie ein SOC-Analyst sind, kennen Sie die Antwort bereits. Wir haben in starke Stacks investiert:

  • Firewalls, IDS/IPS im Netz.
  • IAM, PAM, MFA zur Identität.
  • CASB, CSPM in der cloud.
  • EPP, EDR an Endpunkten.

Alles solide. Alles notwendig. Aber auch... alle isoliert. Jedes Tool erzeugt Warnmeldungen. Jedes fügt Rauschen hinzu. Analysten ertrinken in falsch positiven Meldungen. Und das "Signal", das wir brauchen, um echte Angriffe zu erkennen, wird unterdrückt. Das Ergebnis? Ungewissheit.

Man sagt uns, wir sollen in mehreren Angriffsflächen denken. Angreifer tun das nicht. Sie denken in einer einzigen. Und wenn ihr Ziel darin besteht, in Ihr Netzwerk einzudringen, und ihr Weg darin besteht, eine Identität zu erhalten, sollte unser Angriffssignal dann nicht auf Netzwerk und Identität basieren?

Sicherheit hat zwei Seiten

Erinnern Sie sich an die menschliche Wahrheit? Wir wollen Sicherheit. Aber Sicherheit hat zwei Seiten:

  1. Widerstandsfähigkeit vor der Kompromittierung: Angreifer am Eindringen hindern. (Das ist EDR.)
  1. Widerstandsfähigkeit nach der Kompromittierung: Stoppen von Angreifern, die bereits eingedrungen sind. (Das sind NDR und Identität.)

EDR ist unerlässlich. Keine Frage. Aber er ist nicht unfehlbar. Die Mistgabel beweist das. NDR und Identitätserkennungen decken ab, was EDR übersehen hat:

  • Seitliche Bewegung im Ost-West-Verkehr.
  • Missbrauch von Zugangsdaten bei cloud .
  • Vorläufer von Ransomware in IoT- und nicht verwalteten Geräten.
  • Ungewöhnliche Verhaltensweisen, die keine Signatur auslösen, aber "Angreifer" schreien.

Das ist keine Theorie. CISOs im Gesundheitswesen haben es getan, um die Sicherheit der Patienten zu schützen. Einzelhändler haben es getan, um POS und IoT zu sichern. Hersteller haben es getan, um ihre Lieferketten zu schützen. Das Ergebnis? Sichtbarkeit, die sie vorher nicht hatten. Rauschunterdrückung, die sie sich nicht vorstellen konnten. Und Geschwindigkeit, die sie dringend benötigten.

Post-Kompromiss-Signal bei Geschwindigkeit ist alles

Denn hier ist die andere hässliche Wahrheit: Verteidiger sind langsam. Untersuchungen zeigen, dass Verteidiger im Durchschnitt 292 Tage brauchen, um einen Angriff zu erkennen und einzudämmen. Angreifer hingegen brauchen weniger als eine Stunde, um sich seitlich zu bewegen. Und warum? Weil Geschwindigkeit schwer ist.

  • Forschung.
  • Monitor.
  • Korrelieren.
  • Triage.
  • Alert.
  • Eskalieren.
  • Untersuchen Sie.
  • Antworten Sie.

Regelbasierte Systeme können nicht mithalten. Analysten können nicht skalieren. Die Arbeitslast ist erdrückend. Nur KI macht Geschwindigkeit möglich - durch die Automatisierung von Korrelation, Triage und Priorisierung. Indem sie Rauschen in Erzählungen verwandelt. Analysten erhalten Angriffssignale in der Geschwindigkeit, in der Angreifer agieren.

Der vorausschauende CISO

Hier sind wir also. Moderne Netze, moderne Angriffe, moderne Probleme.

Vorausschauende CISOs kaufen nicht einfach mehr Tools, um sie an die Wand zu werfen. Sie verlagern das Fundament ihrer Resilienzstrategie:

  • Von isolierten Signalen zu vereinheitlichten Netz- und Identitätssignalen.
  • Von der statischen Prävention bis zur Annahme von Kompromissen.
  • Von Regeln und Lärm zu verhaltensorientierter KI, die für Klarheit und Geschwindigkeit sorgt.

Denn bei der Verhinderung von Sicherheitsverletzungen geht es nicht mehr um perfekte Prävention. Es geht um eine robuste Erkennung und Reaktion, wenn die Angreifer erst einmal drin sind.

Mein einfaches Denken

Ich sagte, dass ich ein einfacher Denker bin, also lasst uns einfach enden. Wir sind Menschen. Wir wollen Sicherheit. Ungewissheit schmerzt uns. Wir müssen Brüche verhindern. Unsere Fähigkeit, widerstandsfähig zu sein, hängt von 3 Dingen ab: Deckung + Klarheit + Kontrolle.

  • Abdeckung: Netzwerk + Identität + Cloud + Endpoint zusammen.
  • Klarheit: Das Angriffssignal ist im Netz und in der Identität verwurzelt, nicht in isolierten Tools.
  • Kontrolle: KI-gesteuerte Geschwindigkeit, die dem Angreifer einen Vorteil verschafft.

So neutralisieren vorausschauende CISOs die "Pitchfork" der Angreifer.

Letzter Gedanke: Warum Netzwerk- und Identitätssicherheit die Zukunft sind

Das moderne Netz ist grenzenlos. Die Mistgabel der Angreifer ist einfach, aber tödlich. EDR allein ist nicht genug. Fragen Sie sich also: Ist Ihr Angriffssignal dort verwurzelt, wo die Angreifer tatsächlich operieren - im Netzwerk und mit einer Identität? Denn das ist der Ort, an dem Sicherheit, Gewissheit und Widerstandsfähigkeit leben.

Quellen:

  • Gartner SRM London Präsentation: EDR ist nicht genug - Aufbau einer modernen Angriffsresistenz mit Network + Identity
  • Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto - Daten zu Sicherheitsverletzungen und endpoint
  • CrowdStrike 2025 Global Threat Report - durchschnittlich 48 Minuten von der Infiltration bis zur seitlichen Bewegung
  • Vectra AI, State of Threat Detection and Response - The Defenders' Dilemma (2024, 2023) - SOC-Analysten-Schmerzpunkte, Unsicherheit und Herausforderungen bei der Signalklarheit

Häufig gestellte Fragen