Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >

Wie Vectra AI das KI-Unternehmen Vectra AI

May 5, 2026
5/5/2026
Aakash Gupta
Senior Group Product Manager
Wie Vectra AI das KI-Unternehmen Vectra AI

Als wir unsere Plattform der nächsten Generation für KI-Unternehmen vorstellten, konzentrierten wir uns auf einen einfachen Gedanken: Sicherheit muss genauso schnell funktionieren wie die Umgebung, die sie schützt.

Seitdem ist eines klarer geworden: Im Bereich der KI-Anwendungen beschleunigt KI nicht nur Angriffe, sondern deckt auch die Grenzen der Sicherheitsmaßnahmen auf. Die Warnmeldungen sind nach wie vor unübersichtlich. Die Untersuchungen erfolgen weiterhin manuell. Entscheidungen werden immer noch zu langsam getroffen. Die Einführung weiterer KI-Funktionen hat das Problem nicht gelöst, denn es mangelt nicht an KI. Es geht vielmehr darum, KI auf die richtigen Probleme anzuwenden.

KI im Sicherheitsbereich hat ein Problem: Sie ist auf Merkmale optimiert, nicht auf Ergebnisse

In der KI-Branche nutzen die meisten Sicherheitsplattformen KI, um einzelne Funktionen zu verbessern:

  • Bessere Erkennung von Anomalien
  • Weniger Benachrichtigungen
  • Schnellere Signalerzeugung

Sicherheitsteams messen Erfolg jedoch nicht an Funktionen, sondern an Ergebnissen. SecOps-Teams fragen sich:

  • Wie schnell können wir einen Angriff erkennen?
  • Wie schnell können wir begreifen, was gerade passiert?
  • Wie schnell können wir reagieren und die Situation unter Kontrolle bringen?

Bei Vectra AI verfolgen wir den Ansatz, Signale über grundsätzlich unterschiedliche Bereiche hinweg miteinander zu verknüpfen . Wir wenden KI nicht auf einzelne Funktionen an, sondern nutzen sie über den gesamten Lebenszyklus hinweg – von der Erkennung über die Korrelation bis hin zur Reaktion –, um die Belastung der SecOps zu verringern und die tatsächlichen Betriebskennzahlen zu verbessern.

Transparenz: Proaktive Sicherheit erfordert Observability in der richtigen Tiefe

Man kann Risiken nicht mindern, die man nicht vollständig versteht. Im KI-Umfeld geht es bei der Transparenz nicht darum, mehr Daten zu sammeln, sondern darum, die richtigen Daten mit ausreichender Genauigkeit zu erfassen, um das Verhalten von Angreifern frühzeitig aufzudecken. In diesen Umgebungen übersteigt die Anzahl der Identitäten – einschließlich KI-Agenten – die der Menschen, und die Aktivitäten hören nie auf. Angriffe beschränken sich nicht auf einen einzigen Bereich. Sie bewegen sich über Netzwerk-, Identitäts-, SaaS-, cloud und KI-Infrastrukturen hinweg.

Die meisten Tools erfassen nur Bruchteile dieser Aktivitäten. Vectra AI anderen Vectra AI . Wir stützen uns auf Telemetriedaten aus dem Netzwerk (Pakete und Datenströme) als Referenz. Diese ergänzen wir durch Identitäts- und cloud von Plattformen wie Entra ID, M365, AWS und Azure. Dadurch können wir:

  • Verhalten über verschiedene Bereiche hinweg rekonstruieren, nicht nur innerhalb einer einzelnen Oberfläche
  • Identitäten, Hosts und Dienste zu einem einheitlichen Gesamtbild verknüpfen
  • Behalten Sie den Überblick über den Ost-West-Verkehr und den kurzlebigen Datenverkehr

Mit zunehmender Verbreitung von KI gewinnt dies noch mehr an Bedeutung. KI-Agenten sind mittlerweile vollwertige Identitäten – sie agieren in derselben hybriden Umgebung und eröffnen neue Angriffswege. Mithilfe von Netzwerk- und Identitäts-Telemetrie Vectra AI Einblick in:

  • Datenübermittlung an KI-Dienstleister
  • Einsatz von agentenbasierten Anwendungen und Frameworks
  • Nicht genehmigte Tools (z. B. Open-Source-Agenten-Frameworks)
  • Aktivitäten auf Plattformen wie Copilot Studio, AWS Bedrock und Azure AI

Hier geht es nicht um die Aggregation von Protokollen. Es handelt sich um die Beobachtbarkeit von Verhaltensmustern im gesamten Hybrid-Umfeld, wodurch Teams Sicherheitslücken früher schließen, proaktiv nach Bedrohungen suchen und die allgemeine Sicherheitslage verbessern können.

Erkennung: Einsatz der richtigen Methode für den jeweiligen Bedrohungsfall

Eine proaktive Verteidigung im KI-Unternehmen beginnt mit Verhaltensweisen, nicht mit Warnmeldungen.  

Ein einziger KI-Ansatz kann nicht jede Sicherheitsherausforderung lösen. Das „No-Free-Lunch“-Theorem besagt , dass kein einzelnes Modell bei allen Problemen die beste Leistung erbringt. Das Verhalten von Angreifern bildet da keine Ausnahme.

  • Der „Command-and-Control“-Verkehr verhält sich wie Zeitreihendaten
  • Der Missbrauch von Identitätsprivilegien verhält sich wie mehrdimensionale Referenzwerte
  • Die laterale Datenübertragung incloud wie Beziehungsgraphen

Die Verwendung desselben Modells für all diese Fälle vereinfacht die Sicherheit nicht. Es sorgt für Unübersichtlichkeit.

Vectra AI einen sicherheitsorientierten Ansatz bei der KI: Man geht von den Angriffsmethoden (und nicht von den Daten) aus, ermittelt die für sie charakteristischen Verhaltensmuster und wendet dann die richtigen Modelle für eine hochpräzise Erkennung an.

So sieht das in der Praxis aus:

  • Command and Control: Wir verwenden rekurrente neuronale Netze (LSTMs), um den Verlauf der Kommunikation im Zeitverlauf zu modellieren und Kontrollkanäle auch dann zu erkennen, wenn diese verschlüsselt oder verschleiert sind.
  • Missbrauch von Zugriffsrechten: Wir modellieren das tatsächliche Verhalten über Konten, Hosts und Dienste hinweg, um den Missbrauch von Zugriffsrechten zu erkennen – und nicht nur Abweichungen von statischen Referenzwerten.
  • Seitliche Bewegung: Wir nutzen beziehungsbasierte Modellierung, um zu verfolgen, wie sich Angreifer zwischen verschiedenen Systemen bewegen.

Angreifer können ihre Werkzeuge wechseln. Sie können ihre Infrastruktur wechseln. Aber ihr Verhalten können sie nicht so einfach ändern.

Die meisten KI-gestützten Tools sind heutzutage darauf ausgelegt, Anomalien zu erkennen. Wir entwickeln KI, um die Vorgehensweisen von Angreifern zu erkennen. Das Ergebnis ist eine präzisere Erkennung mit weniger Störsignalen:

  • Über 90 % MITRE ATT&CK  
  • Die meisten Referenzen eines Anbieters in MITRE Defend  
  • Weniger Fehlalarme und mehr verwertbare Signale

Korrelation: Die Bedeutung, Zusammenhänge zu erkennen

Im KI-Umfeld treten Angriffe nicht als Einzelereignisse auf. Sie entfalten sich als miteinander verknüpfte Verhaltensmuster über verschiedene Bereiche hinweg, die von den meisten Tools als isolierte Warnmeldungen angezeigt werden. Angreifer führen koordinierte Aktionen durch, die nur im Gesamtzusammenhang Sinn ergeben.

Die Vectra AI wurde entwickelt, um Zusammenhänge herzustellen. Mithilfe KI-gestützter Datenverknüpfung verbinden wir Verhaltensmuster aus Netzwerkaktivitäten, Identitäts-Telemetrie, cloud und SaaS-Interaktionen zu einem einheitlichen Gesamtbild. Dies wird durch eine proprietäre Übersetzungsschicht ermöglicht, die grundlegend unterschiedliche Formen der Telemetrie – Pakete, Protokolle und Konfigurationsdaten – in einem gemeinsamen Verhaltensmodell zusammenführt.  

Das Ergebnis sind weniger Warnmeldungen mit höherer Zuverlässigkeit, die tatsächliche Angreiferaktivitäten widerspiegeln. Dies ermöglicht:

  • Transparenz auf Kampagnenebene: Aufdeckung vollständiger Angreiferkampagnen, nicht nur vereinzelter Erkennungen
  • Verhaltensbasierte Priorisierung: Bewertung von Aktivitäten anhand des Fortschritts und des Risikos, nicht anhand des statischen Schweregrads
  • Identitätsorientierte Zuordnung: Verfolgen Sie Angriffe anhand von Identitäten und Hosts, nicht anhand von vorübergehenden Indikatoren wie IP-Adressen

Das ist der Unterschied zwischen dem bloßen Wahrnehmen einzelner Ereignisse und dem Verstehen von Angriffen. Das Erkennen von Verhaltensmustern ist nur die halbe Miete. Die eigentliche Herausforderung besteht darin, auf diese Erkenntnisse zu reagieren – und zwar schnell genug, um sie zu stoppen. 

Antwort: Eine beschleunigte Reaktion bedeutet, die Latenzzeit der Analysten zu beseitigen

Die Erkennungsgeschwindigkeit ist nicht mehr der Engpass. Es ist die Entscheidungsgeschwindigkeit.

SecOps-Teams werden heute mit Datenfluten überschüttet, verfügen aber nach wie vor nicht über den nötigen Kontext, um schnell genug zu reagieren. Sie sind nach wie vor:

  • Alarme manuell priorisieren
  • Signale über verschiedene Tools hinweg abgleichen
  • Abfragen erstellen, um zu verstehen, was vor sich geht

In der KI-Branche, in der Angreifer mit maschineller Geschwindigkeit agieren, können Angriffe innerhalb von Minuten voranschreiten. Wenn die Reaktion weiterhin von manuellen Arbeitsabläufen abhängt, ist sie bereits zu langsam. Bei Vectra AI konzentrieren wir uns darauf, Entscheidungsverzögerungen zu beseitigen. Nicht nur Erkennungsverzögerungen.

So sieht das in der Praxis aus:

  • KI-gestützte Priorisierung: Verhaltensweisen werden automatisch miteinander in Zusammenhang gebracht und anhand des Angriffsverlaufs bewertet, sodass sich die Teams auf das Wesentliche konzentrieren können
  • Vordefinierte Untersuchungsabläufe: Mit nur einem Klick lassen sich Untersuchungen durchführen, die den gesamten Kontext über Netzwerk, Identitäten und cloudhinweg aufzeigen – ganz ohne manuelles Zusammenführen.
  • KI-gestützte Analyse: Analysten können Telemetriedaten mithilfe natürlicher Sprache abfragen und erhalten umgehend kontextbezogene Antworten sowie Empfehlungen für die nächsten Schritte.

Das Ergebnis ist eine grundlegende Veränderung in der Arbeitsweise von SecOps-Teams:

  • Über 45 Minuten Zeitersparnis pro Untersuchung
  • Deutliche Verringerung der Anzahl der Warnmeldungen und des damit verbundenen Aufwands. In Umgebungen mit mehr als 1000 Identitäten mussten Kunden weniger als 10 Fälle näher untersuchen.

Das bedeutet nicht nur eine schnellere Reaktion. Es geht darum, die Reibungsverluste zwischen Erkennung und Reaktion zu beseitigen, damit Teams Angriffe eindämmen können, solange diese noch im Gange sind. Angreifer agieren bereits mit maschineller Geschwindigkeit. Sicherheitsteams brauchen keine weiteren Warnmeldungen. Sie müssen in der Lage sein, schneller zu entscheiden und zu handeln.

Ein grundlegend anderer Ansatz für Cyber-Resilienz

Bei der Absicherung von KI-Unternehmen geht es nicht darum, einfach nur weitere Tools oder KI-Funktionen hinzuzufügen. Vielmehr ist ein Umdenken in der Art und Weise erforderlich, wie Sicherheit umgesetzt wird:

  • Von „Daten zuerst“ zu „Verhalten zuerst“
  • Von Warnmeldungen bis zu Ergebnissen  
  • Von der Erkennungsgeschwindigkeit zur Entscheidungsgeschwindigkeit  

Die meisten Ansätze beschränken sich darauf, Warnmeldungen zu generieren. Doch Warnmeldungen allein wehren Angriffe nicht ab. Erst wenn man sie versteht und entsprechend handelt, können Angriffe abgewehrt werden.

Genau das bedeutet es, KI zum Schutz des KI-Unternehmens einzusetzen. Und was noch wichtiger ist: Genau das ist nötig, um die Teams zu entlasten, die das Unternehmen verteidigen.  

Häufig gestellte Fragen