
Sternförmige Festungen galten einst als der letzte Stand der Technik im Bereich der Verteidigungsarchitektur.
Ihre schräg angeordneten Bastionen, ihre niedrige Bauweise und ihre sich überschneidenden Schussfelder dienten nicht nur der Zierde. Sie waren eine gezielte Reaktion auf die veränderten Fähigkeiten der Angreifer. Frühmittelalterliche Burgen setzten auf Höhe und Masse, doch die Artillerie mit Schießpulver machte hohe Mauern verwundbar. Die Sternfestung passte sich an, indem sie die Geometrie der Verteidigung veränderte. Sie beseitigte tote Winkel. Sie ermöglichte es den Verteidigern, den Fuß benachbarter Mauern zu decken. Sie machte den Verteidigungsring aktiv.
Eine Zeit lang war die Sternfestung nicht nur schön. Sie war auch richtig.
Jede Verteidigungsarchitektur ist jedoch nur für einen bestimmten Angreifer geeignet.
Mit der Weiterentwicklung der Artillerie erwiesen sich die Annahmen, auf denen feste Befestigungsanlagen beruhten, zunehmend als falsch. Gewehrkanonen erhöhten die Reichweite, die Treffgenauigkeit und die Zerstörungskraft. Im Jahr 1862 durchbrach die Artillerie der Union bei Fort Pulaski aus einer Entfernung, die die Verteidiger für sicher gehalten hatten, die gemauerten Mauern; der US-Nationalparkdienst beschreibt dieses Ereignis als den Moment, in dem gemauerte Festungen überholt waren.
Die Erkenntnis war nicht, dass die Verteidigung keine Rolle mehr spielte. Die Erkenntnis war, dass die Mauer nicht mehr die einzige Lösung sein konnte.
Gegen Ende des 19. Jahrhunderts legte man bei der Gestaltung von Befestigungsanlagen zunehmend Wert auf Tarnung, Verteilung, Erdwerke und sich gegenseitig unterstützende Stellungen statt auf optisch dominierende Mauerwerke. Historic England beschreibt dies als einen entscheidenden Wandel von prächtigen Befestigungsanlagen hin zu weniger imposanten Festungen, bei denen die Tarnung zu einer vorrangigen Gestaltungspriorität wurde.
So sollten wir heute über Design im Bereich der Cybersicherheit nachdenken.
Wir erleben gerade nicht die Erfindung der Sternfestung. Wir treten in die Zeit danach ein.
Der Netzwerkperimeter ist nicht mehr das, was er einmal war
Die Cybersicherheit hat sich bereits über das einfache Perimeter-Denken hinausentwickelt. Zero Trust ein Ausdruck dieses Wandels. Das NIST definiert Zero Trust eine Abkehr von statischen, netzwerkbasierten Perimetern hin zu Abwehrmaßnahmen, die sich auf Benutzer, Vermögenswerte, Ressourcen und Arbeitsabläufe konzentrieren, ohne dass implizites Vertrauen allein deshalb gewährt wird, weil sich etwas „im Inneren“ befindet.
Aber die KI verändert die Dringlichkeit.
Angreifer, die KI einsetzen, müssen keine Zauberkräfte besitzen, um ein großes Problem für die Verteidigung darzustellen. Sie müssen lediglich die Zeit komprimieren. Sie können die Aufklärung beschleunigen, überzeugendere Social-Engineering-Angriffe durchführen, Angriffspfade variieren und gestohlene Informationen schneller verarbeiten. Das britische National Cyber Security Centre geht davon aus, dass Angreifer bereits KI einsetzen, um die Aufklärung, die Schwachstellenforschung, die Entwicklung von Exploits, Social Engineering, malware und die Analyse exfiltrierter Daten zu verbessern.
Das verändert die Anforderungen an die Konstruktion des Verteidigers.
Die alte Frage lautete: Wie halten wir Angreifer fern?
Die neue Frage lautet: Wie entwerfen wir ein Betriebsmodell für den Fall, dass Angreifer eindringen, sich schnell ausbreiten und Entscheidungen erzwingen, schneller als Menschen manuell den Kontext erfassen können?
Das ist nicht nur ein Problem der Werkzeugausstattung. Es ist ein UX-Problem.
Das SOC wurde auf Signale ausgerichtet, nicht auf Bewegung
Viele Sicherheitszentralen sind nach wie vor nach Produktkategorien gegliedert: endpoint , Identitätswarnmeldungen, cloud . Jede davon kann nützlich sein. Doch Angreifer bewegen sich nicht entsprechend diesen Produktkategorien durch ein Unternehmen. Sie bewegen sich anhand von Beziehungen.
Sie kompromittieren ein Konto. Sie verschaffen sich Zugriff auf einen Rechner. Sie finden heraus, auf welche Ressourcen dieser Rechner zugreifen kann.
Dieser Weg ist das moderne Schlachtfeld.
Der Verteidiger nimmt den Angriff jedoch oft nur in Einzelteilen wahr. Eine verdächtige Anmeldung. Eine endpoint . Eine ungewöhnliche Verbindung. Die größte Herausforderung besteht nicht darin, jedes einzelne Signal zu erkennen, sondern zu verstehen, wie die Signale miteinander zusammenhängen.
An dieser Stelle erweist sich die Analogie zur „Post-Star-Fort“-Strategie für UX-Verantwortliche als nützlich. Sobald die Mauer überwunden werden kann, verlagert sich die gestalterische Herausforderung von der Festigkeit der Befestigungsanlagen hin zur Geländekennung. Die Verteidiger müssen Bewegungen nachvollziehen, die Befehlsstruktur aufrechterhalten, Reaktionen koordinieren und die Zeitspanne zwischen Beobachtung und Aktion verkürzen.
Ein übersichtliches Dashboard reicht nicht aus, wenn es ein falsches mentales Modell widerspiegelt.
Von der „Festung UX“ zur „Post-Wall-UX“
Der zentrale Wandel im Bereich User Experience besteht darin, dass der Schwerpunkt vom ereignisorientierten Design auf das bewegungsorientierte Design verlagert wird.

Diese Tabelle ist das Herzstück der Argumentation.
In der Ära der KI kann sich die Verteidigung nicht darauf verlassen, dass Menschen vereinzelte Ereignisse manuell in die Bewegungen von Angreifern umdeuten. Die Produktumgebung muss diese Synthese verstärkt übernehmen. Sie muss den Verteidigern helfen, Abläufe, Zusammenhänge, Zuverlässigkeit, Folgen und Reaktionen zu erkennen.
An dieser Stelle geht es bei der UX nicht mehr nur um die Optimierung der Benutzeroberfläche, sondern um die Gestaltung des Betriebsmodells.
Der NDR als Sichtbarkeitsmuster nach dem Mauerfall
NDR ist nicht die neue Mauer. Es ist ein Sichtbarkeitsmuster der Zeit nach der Mauer.
Es geht davon aus, dass sich der Angreifer möglicherweise bereits im System befindet, und konzentriert sich auf das Verhalten im gesamten Umfeld eines modernen Unternehmens. Dieses Umfeld beschränkt sich nicht mehr nur auf das Unternehmensnetzwerk. Es umfasst Rechenzentren, entfernte Standorte, cloud , SaaS-Anwendungen, Identitäten sowie nicht verwaltete oder teilweise verwaltete Ressourcen. Vectra AI beschreibt die moderne Angriffsfläche als ein Spektrum, das Netzwerk, Identitäten und cloud umfasst, wobei NDR dabei hilft, Signale über diese Domänen hinweg miteinander zu verknüpfen, anstatt das Netzwerk als einen einzigen festen Perimeter zu betrachten.
Damit lässt sich NDR mit den Überwachungs- und Koordinationssystemen vergleichen, die an Bedeutung gewannen, nachdem feste Befestigungsanlagen ihre Vorherrschaft verloren hatten. Wenn der Perimeter nicht mehr entscheidend ist, müssen Verteidiger die Bewegungen im gesamten Umfeld verstehen: wie Nutzer, Geräte, Workloads und Dienste miteinander interagieren; was sich gegenüber dem normalen Verhalten geändert hat; und wo ein Angreifer möglicherweise legitime Pfade für unzulässige Zwecke nutzt.
Für UX-Verantwortliche kommt es darauf an, dass NDR ein umfassenderes Gestaltungsprinzip verkörpert: Bewegung darstellen, nicht nur Ereignisse.
Dies ist besonders wichtig in Hybrid- und cloud , in denen Angriffspfade vom endpoint Identität, von der Identität zur cloud oder von einer Workload zur anderen verlaufen können. Vectra AI sein NDR-Konzept auf die Verhaltenserkennung im Netzwerkverkehr und in Metadaten, einschließlich Anzeichen für laterale Bewegung, Command-and-Control-Aktivitäten, Aufklärung und Exfiltration – also genau jene Verhaltensweisen, die von Bedeutung sind, nachdem ein Angreifer die Präventionsmaßnahmen umgangen hat.
Ein SOC-Konzept, das das Netzwerkverhalten mit Identitäts-, endpoint und cloud verknüpft, bietet den Sicherheitsverantwortlichen bessere Chancen, die Geschehnisse bereits vor dem endgültigen Schaden zu durchschauen. Ohne diese Integration läuft NDR Gefahr, zu einer weiteren Warteschlange zu werden. Mit ihr wird NDR Teil eines gemeinsamen Lagebildes: eine Möglichkeit, Analysten dabei zu helfen, den Weg des Angreifers durch moderne Umgebungen nachzuvollziehen – und nicht nur ein weiteres Signal aus einem weiteren Tool.
Die Aufgabe von UX besteht darin, den Verteidigungsprozess neu zu gestalten
Die nächste Generation der Benutzererfahrung im Bereich Cybersicherheit muss sich die Frage stellen, welche Arbeitsabläufe angesichts der aktuellen Bedrohungslage noch angemessen sind.
Muss ein Analyst zehn Warnmeldungen lesen, um einen Angriffspfad zu verstehen?
Sollte ein System auf eine Überprüfung durch einen Menschen warten, bevor es eine risikoarme Eindämmungsmaßnahme ergreift?
Sollten Ausbreitungsradius, Konfidenzgrad und Reversibilität vor der Reaktion sichtbar sein?
Das sind ebenso sehr Fragen der Produktstrategie wie Fragen des Designs.
KI wird Sicherheitsprodukte dazu zwingen, ein neues Gleichgewicht zwischen menschlichem Urteilsvermögen und maschinellem Handeln zu finden. Bei zu geringer Automatisierung gehen die Teams in der Datenflut unter. Bei zu viel undurchsichtiger Automatisierung verlieren die Teams das Vertrauen. Die Herausforderung für die Benutzererfahrung liegt in der geteilten Kontrolle: Systeme, die zusammenfassen, Empfehlungen aussprechen, eingreifen und erklären können; Menschen, die steuern, Entscheidungen außer Kraft setzen und ihr Urteilsvermögen einsetzen können.
Das erfordert eine Gestaltung, die auch unter Druck Vertrauen schafft. Vertrauen muss sichtbar sein. Nachweise müssen überprüfbar sein. Handlungen müssen nachvollziehbar sein. Soweit möglich, müssen Maßnahmen rückgängig gemacht werden können.
Die Zukunft des SOC ist eine Kommando-Umgebung
Das SOC nach dem Abbau der Mauer wird weniger wie eine Ansammlung von Dashboards wirken, sondern eher wie eine Kommandozentrale.
Nicht, weil es filmreife Karten oder dramatische Visualisierungen braucht. Sondern weil es den Teams helfen soll, das Gelände zu verstehen.
Was ist miteinander verbunden?
Was hat sich geändert?
Was ist im Wandel?
Das sind bessere Fragen als „Wie viele Benachrichtigungen befinden sich in der Warteschlange?“
Die beste Benutzererfahrung im Bereich Cybersicherheit im Zeitalter der KI wird den kognitiven Aufwand reduzieren. Sie wird fragmentierte Signale in Angriffspfade umwandeln. Sie wird Prävention, Erkennung, Reaktion und Wiederherstellung zu einer einzigen Erfahrung verbinden. Sie wird die Automatisierung so zuverlässig machen, dass man sie nutzen kann, und gleichzeitig so gut regulieren, dass man ihr vertrauen kann.
Die Firewall spielt nach wie vor eine Rolle. Perimeter, Endpunkte, Identitäten, Netzwerke und cloud sind nach wie vor von Bedeutung.
Aber keine davon ist eine Festung.
Das eigentliche Produkt ist das Erlebnis, das sie miteinander verbindet.
Wenn die Mauer überwunden werden kann, müssen die Verteidiger das Gelände kennen. Wenn sich die Angreifer mit KI-Geschwindigkeit bewegen, darf dieses Verständnis nicht von einer Rekonstruktion in menschlicher Geschwindigkeit abhängen.
Das ist die neue UX-Vorgabe für die Cybersicherheit: die Gestaltung des Verteidigungserlebnisses nach dem Fall der Mauern.
Lesen Sie mehr von Padraig Mannion, hier.

.jpeg)