Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. EDR

EDR ist nicht genug: Warum vorausschauende CISOs auf Network + Identity setzen

April 9, 2026
4/9/2026
Mark Wojtasiak
Senior Vice President für Produktforschung und -strategie
EDR ist nicht genug: Warum vorausschauende CISOs auf Network + Identity setzen

Ich bin ein einfacher Denker, also lassen Sie mich einfach anfangen.

Als Sicherheitsverantwortliche haben wir alle die gleichen drei Wahrheiten:

  • Wir möchtenunsere Mitarbeiter und unsere Marke schützen.
  • Das Schlimmstefür unsistdie Ungewissheit.
  • Wir müssenDatenlecks verhindern.

Das war's. Drei menschliche Wahrheiten, die den Lärm der Anbieterfolien, Analystenberichte und Produktpräsentationen durchdringen.

Aber hier liegt das Problem: Unsere modernen Netzwerke sind unseren alten Denkweisen entwachsen, während Angriffe mit KI-Geschwindigkeit erfolgen.

Das moderne Netzwerk = eine riesige Angriffsfläche

Früher bestand das "Netz" aus einem Rechenzentrum und einigen Büros. Sie hatten eine Umgrenzung. Sie bauten einen Graben. Sie setzten EDR an den Endpunkten ein, um Angreifer fernzuhalten.

Diese Welt ist verschwunden.

Das moderne KI-Unternehmen von heute ist hybrid, grenzenlos und weitverzweigt:

  • Rechenzentren und cloud .
  • SaaS-Plattformen und Tools für die Zusammenarbeit.
  • Identitäten – Menschen, Maschinen, KI-Agenten.
  • Fernarbeitnehmer und SASE.
  • IoT und OT, die nie mit Blick auf die Sicherheit entwickelt wurden.

Angreifer betrachten dieses Chaos nicht als isolierte Bereiche aus Endgeräten, cloud oder Identitäten. Sie seheneine einzige riesige, vernetzte Angriffsfläche. Und sie haben ein einziges Ziel:in Ihr Netzwerk einzudringen. Und das können sie nun mit KI-Geschwindigkeit tun.

Pitchfork der Angreifer

Und hier kommt der Clou: Angreifer brauchen kein ausgeklügeltes Arsenal, um ihr Ziel zu erreichen. Sie beherrschen drei Aspekte dessen, was ich als„Dreispitz der Angreifer“ bezeichne:

  • Deaktivieren SieIhreSteuerelemente.
  • VermeidedeineAbwehrmechanismen.
  • ‍Täusche deineWerkzeuge.

Das war's. Mit dieser Mistgabel können sie die endpoint umgehen, an EDR vorbeischlüpfen und unentdeckt in Ihrer hybriden Umgebung operieren.

Wenn Sie meinen, dass dies dramatisch klingt, sollten Sie sich die Daten ansehen:

  • ‍Bei 50 %der schwerwiegenden Sicherheitsverletzungen im Jahr 2025 umgingen die Angreifer endpoint .
  • ‍40 % derSicherheitsverletzungen betrafen mehrere Bereiche – endpoint, Netzwerk, cloud und Identitätsmanagement zusammen.
  • Laut CrowdStrike beträgt die durchschnittliche Zeitspanne von der Infiltration bis zur lateralen Bewegung48 Minuten.
  • Und mittlerweile automatisieren Angreifer große Teile des Angriffsablaufs.

Ich frage also das Offensichtliche: Wenn Angreifer Ihren EDR in weniger als einer Stunde deaktivieren, umgehen oder täuschen können, sind Sie dann wirklich sicher?

Warum das Signal schlecht ist

Wenn Sie ein SOC-Analyst sind, kennen Sie die Antwort bereits. Wir haben in starke Stacks investiert:

  • Firewalls, IDS/IPS im Netz.
  • IAM, PAM, MFA zur Identität.
  • CASB, CSPM in der cloud.
  • EPP, EDR an Endpunkten.

Alles solide. Alles notwendig. Aber auch …alles isoliert. Jedes Tool generiert Warnmeldungen. Jedes sorgt für zusätzliches Rauschen. Die Analysten ertrinken in Fehlalarmen. Und das „Signal“, das wir brauchen, um echte Angriffe zu erkennen, geht unter. Das Ergebnis? Unsicherheit.

Uns wird gesagt, wir sollen von mehreren Angriffsflächen ausgehen. Angreifer tun das nicht. Sie gehen von einer einzigen aus. Und wenn ihr Ziel darin besteht, in Ihr Netzwerk einzudringen, und ihr Weg dorthin über den Erwerb einer Identität führt, sollte unser Angriffsszenario dann nicht auf„Netzwerk + Identität“ basieren?

Sicherheit hat zwei Seiten

Erinnern Sie sich an diese grundlegende menschliche Wahrheit? Wir sehnen uns nach Sicherheit. Doch Sicherheit hat zwei Seiten:

  1. ‍Resilienz vor einem Sicherheitsvorfall: Angreifer daran hindern, in das System einzudringen. (Das ist EDR.)
  2. ‍Resilienz nach einem Sicherheitsvorfall: Angreifer stoppen, die bereits eingedrungen sind. (Das sind NDR und Identitätsmanagement.)

EDR ist unerlässlich. Keine Frage. Aber er ist nicht unfehlbar. Die Mistgabel beweist das. NDR und Identitätserkennungen decken ab, was EDR übersehen hat:

  • Seitliche Bewegung im Ost-West-Verkehr.
  • Missbrauch von Zugangsdaten bei cloud .
  • Vorläufer von Ransomware in IoT- und nicht verwalteten Geräten.
  • Ungewöhnliche Verhaltensweisen, die keine Signatur auslösen, aber "Angreifer" schreien.

Das ist keine Theorie. CISOs im Gesundheitswesen haben es getan, um die Sicherheit der Patienten zu schützen. Einzelhändler haben es getan, um POS und IoT zu sichern. Hersteller haben es getan, um ihre Lieferketten zu schützen. Das Ergebnis? Sichtbarkeit, die sie vorher nicht hatten. Rauschunterdrückung, die sie sich nicht vorstellen konnten. Und Geschwindigkeit, die sie dringend benötigten.

Post-Kompromiss-Signal bei Geschwindigkeit ist alles

Denn hier ist die andere unangenehme Wahrheit: Verteidiger sind langsam. Untersuchungen zeigen, dass Verteidiger im Durchschnitt292 Tagebenötigen,umeinen Angriff zu erkennen und einzudämmen. Angreifer hingegen brauchen weniger als eine Stunde, um sich lateral zu bewegen. Warum? Weil Geschwindigkeit schwer zu erreichen ist.

  • Forschung.
  • Monitor.
  • Korrelieren.
  • Triage.
  • Alert.
  • Eskalieren.
  • Untersuchen Sie.
  • Antworten Sie.

Regelbasierte Systeme können nicht mithalten. Analysten können nicht skalieren. Die Arbeitsbelastung ist erdrückend. Nur KI ermöglicht diese Geschwindigkeit – durch die Automatisierung von Korrelation, Triage und Priorisierung. Indem sie aus Datenrauschen aussagekräftige Informationen macht. Indem sieAnalysten Angriffssignale in derselben Geschwindigkeit liefert,mit der Angreifer agieren.

Der vorausschauende CISO

Hier sind wir also. Moderne Netze, moderne Angriffe, moderne Probleme.

Vorausschauende CISOs kaufen nicht einfach mehr Tools, um sie an die Wand zu werfen. Sie verlagern das Fundament ihrer Resilienzstrategie:

  • Von isolierten Signalen zueinheitlichen Netzwerk- und Identitätssignalen.
  • Von der statischen Präventionhin zur Annahme eines Kompromisses.
  • Von Regeln und Rauschen hin zueiner verhaltensorientierten KI, dieKlarheit und Schnelligkeit bietet.

Denn bei der Verhinderung von Sicherheitsverletzungen geht es nicht mehr um perfekte Prävention. Es geht um eine robuste Erkennung und Reaktion, wenn die Angreifer erst einmal drin sind.

Mein einfaches Denken

Ich habe gesagt, dass ich ein einfacher Denker bin, also lassen Sie uns das Ganze einfach auf den Punkt bringen. Wir sind Menschen. Wir wollen Sicherheit. Unsicherheit bereitet uns Unbehagen. Wir müssen Sicherheitsverletzungen verhindern. Unsere Widerstandsfähigkeit hängt von drei Faktoren ab: Beobachtbarkeit + Signale + Kontrolle.

  • ‍Observability: Netzwerk + Identität + Cloud Endpoint .
  • Signal: Ein Angriffssignal, das auf dem Netzwerk und der Identität basiert, nicht auf isolierten Tools.
  • ‍Steuerung: KI-gesteuerte Geschwindigkeit, die den Spieß umdreht und den Angreifern den Vorteil nimmt.

So neutralisieren vorausschauende CISOs die "Pitchfork" der Angreifer.

Letzter Gedanke: Warum Netzwerk- und Identitätssicherheit die Zukunft sind

Das moderne Netz ist grenzenlos. Die Mistgabel der Angreifer ist einfach, aber tödlich. EDR allein ist nicht genug. Fragen Sie sich also: Ist Ihr Angriffssignal dort verwurzelt, wo die Angreifer tatsächlich operieren - im Netzwerk und mit einer Identität? Denn das ist der Ort, an dem Sicherheit, Gewissheit und Widerstandsfähigkeit leben.

Quellen:

  • ‍‍Gartner SRM-Präsentation in London: EDR reicht nicht aus – Aufbau moderner Widerstandsfähigkeit gegen Angriffe durch Netzwerk- und Identitätsmanagement
  • Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto – Daten zu Sicherheitsverletzungen und Versagen endpoint
  • CrowdStrike Global Threat Report 2025 – durchschnittlich 48 Minuten von der Infiltration bis zur lateralen Bewegung
  • Vectra AI, Stand der Bedrohungserkennung und -reaktion – Das Dilemma der Verteidiger (2024, 2023) — Probleme, Unsicherheiten und Herausforderungen hinsichtlich der Signalklarheit für SOC-Analysten

Häufig gestellte Fragen