Vectra AI hat kürzlich seinen Bericht „State of Threat Detection and Response 2026“ veröffentlicht, der unter dem Motto „Resilienz im Zeitalter der KI“ steht. Die erste Frage, die ich mir stellte, als wir uns für dieses Thema für den Bericht entschieden, war: Welche konkreten Ergebnisse des diesjährigen Berichts liefern Erkenntnisse über die Resilienz im Jahr 2026?
Um diese Frage zu beantworten, müssen wir meiner Meinung nach zunächst klären, was wir unter „Resilienz“ – oder in diesem Fall unter Cyber-Resilienz – verstehen. Es ist ein Begriff, der häufig verwendet wird, und ich glaube, dass er im Allgemeinen in einem ähnlichen Kontext und mit ähnlicher Bedeutung verwendet wird; dennoch scheint „Resilienz“ immer etwas zu sein, das wir anstreben oder hoffen, eines Tages zu erreichen. Und im Bereich der Cybersicherheit glaube ich nicht, dass wir jemals damit fertig sein werden, Cyber-Resilienz zu erreichen. Wir können sicherlich Maßnahmen ergreifen, um unsere Netzwerke widerstandsfähiger zu machen, beispielsweise indem wir uns ein Bild von unseren Risiken machen oder Prozesse beschleunigen, damit wir schneller auf Bedrohungen reagieren können – doch dann taucht eine neue Bedrohung oder Schwachstelle auf, und wir sind erst wieder widerstandsfähig, wenn wir diese behoben haben.
Im Leben ist es genauso. Man kann alle notwendigen Vorkehrungen treffen, um gesund zu bleiben oder sein Haus zu schützen, und dann holt man sich ein neues Haustier. Plötzlich sind die Vorhänge zerfetzt, die Fußleisten fehlen, und man hätte nie gedacht, dass das eigene Zuhause einem so unschuldigen Wesen nicht standhalten würde.
Für mich ist Resilienz unsere Fähigkeit, uns zu erholen, wieder auf die Beine zu kommen oder einfach weiterzumachen und funktionsfähig zu bleiben, wenn Zwischenfälle auftreten. Bei unseren Netzwerken verhält es sich nicht anders. Und die heutigen Netzwerke sind nun einmal mit Risiken behaftet, die sich mit KI-Geschwindigkeit ausbreiten – laut einem Bericht von CrowdStrike sind Cyberangriffe dank KI sogar um 65 % schneller.
Wie sieht es mit der Erkennung und Bekämpfung von Bedrohungen im Zeitalter der KI aus?
Kostenloser Download: Stand der Bedrohungserkennung und -reaktion 2026: Cyber-Resilienz im Zeitalter der KI
Da wir uns im Zeitalter der KI befinden, sollten wir dann nicht einfach ChatGPT fragen?
Die Antwort würde etwa so lauten: „Der Stand der Bedrohungserkennung und -abwehr im Zeitalter der KI ist ein Wettlauf zwischen KI-gestützten Angreifern und KI-gestützten Verteidigern, bei dem der Erfolg davon abhängt, Verhaltenssignale von Angriffen über Identitäts-, cloud und Netzwerkbereiche hinweg zu erkennen, bevor sich die Angreifer lateral ausbreiten können.“
Wir sollten jedoch die Sicherheitsverantwortlichen, die dies tagtäglich erleben, nach den genauen Details fragen, was in ihren Netzwerken tatsächlich vor sich geht. Genau aus diesem Grund veröffentlichen wir auch weiterhin den Bericht „State of Threat Detection and Response“. In diesem Jahr haben 1.450 Fachleute zu verschiedenen Themen Stellung genommen, darunter die Häufigkeit, mit der wichtige Sicherheitsaufgaben vernachlässigt werden, die Wirksamkeit von Tools, der Einsatz von KI und dessen Auswirkungen sowie die Transparenz in Hybrid- undcloud und weitere Bereiche. Werfen wir einen Blick darauf, was Sicherheitsverantwortliche zu einigen der Bereiche sagen, die sich direkt auf ihre Widerstandsfähigkeit auswirken.
Risikoexposition: Wer und was befindet sich im Netzwerk?
Eine der Fragen, die wir den Verteidigern in jedem der drei Jahre gestellt haben, in denen Vectra AI diesen Bericht veröffentlicht hat, lautet: Wie würden Sie Ihre Transparenz in verschiedenen hybriden Umgebungen bewerten?
Es ist nicht nur so, dass Sicherheitsverantwortete keinen vollständigen Überblick über ihre Umgebungen haben; wenn man sich zudem die Anzahl der Tools ansieht, die sie zur Erkennung und Abwehr von Bedrohungen in diesen Umgebungen einsetzen, so jonglieren 39 % von ihnen mit über 20 Tools. Cyber-Resilienz erfordert Transparenz in Netzwerken, und wir sehen von Jahr zu Jahr kaum oder gar keine Verbesserungen, was darauf hindeutet, dass nicht alle Verteidiger wissen, wer und was sich in ihrem Netzwerk befindet. Tatsächlich glauben 37 %, dass ein Angreifer ihre Organisation möglicherweise bereits kompromittiert hat, ohne dass sie es bemerkt haben. Liegt das zum Teil daran, wie viele Tools verwendet werden, dass Rauschen ein Problem bleibt oder dass die Transparenz über zu viele Telemetrie-Ströme hinweg fragmentiert erscheint?
Wissen Sicherheitsbeauftragte, welche Verhaltensweisen auf Risiken hindeuten?
Von den befragten Sicherheitsverantwortlichen geben 44 % zu, dass sie den Kampf um die Priorisierung echter Bedrohungen verlieren.
Wenn man sich die Daten ansieht, erkennt man allmählich einige Gründe dafür, und vielleicht hängt der wichtigste Grund mit der Erkennungsverzögerung zusammen?
Zusätzlich zu den 2,5 Stunden, die Sicherheitsbeauftragte täglich mit der Triage von Warnmeldungen verbringen, gaben 71 % an, dass sie mindestens zwei Tage pro Woche wichtige Sicherheitsaufgaben zurückstellen müssen und nur etwas mehr als ein Drittel der täglich eingehenden Warnmeldungen bearbeiten können. Es ist schwer vorstellbar, dass die Verzögerung in diesem Szenario dazu beiträgt, zu erkennen, welche risikobehafteten Verhaltensweisen in einem Netzwerk auftreten.
Wo lässt sich die Netzwerksicherheit verbessern?
Wir haben Sicherheitsverantwortliche gefragt, worauf es bei der Bewertung von Lösungen ankommt. 72 % nannten Risikominderung, die Einhaltung gesetzlicher Vorschriften und messbare operative Effektivität. Die Einhaltung gesetzlicher Vorschriften ist dabei naheliegend, da Cybersicherheitsteams oft eine zentrale Rolle dabei spielen, wie Kontrollmaßnahmen die regulatorischen Anforderungen erfüllen. Auch wenn der Bericht nicht allzu tief in diese Bereiche einsteigt, lassen sich doch einige relevante Erkenntnisse ableiten.
Wir stellen weiterhin fest, dass sich die Einstellung der Verteidigungsunternehmen gegenüber Sicherheitsanbietern kaum verbessert.
Lässt sich „messbare operative Effektivität“ mit der Einstellung gegenüber Anbietern in Verbindung bringen? Vielleicht nicht direkt, aber die Verteidiger zeigen, dass sie die Wirksamkeit ihrer Lösungen nachweisen wollen, während sie nicht unbedingt der Meinung sind, dass die Anbieter ihren Teil der Abmachung einhalten.
Allerdings stimmen 67 % zu, dass der Einsatz KI-gestützter Tools sich positiv auf die Fähigkeit auswirkt, Bedrohungen zu erkennen und zu bewältigen. Auch hier gilt: Dies ist nicht unbedingt gleichbedeutend mit einer „Risikominderung“, doch die Sicherheitsverantwortlichen geben damit an, wo ihrer Meinung nach positive Verbesserungen zu verzeichnen sind.
Hinkt die Cyber-Resilienz hinterher?
Sicherheitsverantwortliche berichten von einem gestiegenen Vertrauen. So glauben beispielsweise 37 %, dass ein Angreifer ihre Organisation möglicherweise bereits kompromittiert hat, ohne dass sie davon wissen – ein Prozentsatz, der gegenüber den 51 % des Vorjahres gesunken ist. Zudem berichten Sicherheitsverantwortete von insgesamt positiven Erfahrungen mit dem Einsatz von KI im SOC; tatsächlich erwarten 87 %, im nächsten Jahr mehr KI-Tools einzusetzen, um veraltete Tools zur Erkennung und Reaktion auf Bedrohungen zu ersetzen. Sicherheitsverantwortete möchten außerdem, dass KI Aufgaben wie die Triage von Warnmeldungen und Ermittlungsaufgaben übernimmt, was zu Verbesserungen bei den Herausforderungen im Zusammenhang mit der Erkennungsverzögerung führen könnte; doch KI allein wird Unternehmen nicht auf magische Weise widerstandsfähiger machen – das können nur die Sicherheitsverantworteten selbst.
Wenn man den Bericht betrachtet, lässt sich sagen: Ja, die Cyber-Resilienz „hinkt“ in bestimmten Bereichen hinterher, insbesondere angesichts bestehender Risiken und der Tatsache, dass die Priorisierung von Bedrohungen nach wie vor eine Herausforderung darstellt. Zu viele Warnmeldungen bleiben unbeachtet, es gibt zu viele Lücken in der Transparenz, zu viele Tools und Anbieter, die den Anforderungen nicht gewachsen sind – doch wir erzählen den Sicherheitsverantwortlichen nichts, was sie nicht bereits wissen: Sie sind es, die bereits daran arbeiten, die unaufhörlichen Sicherheitslücken, Risiken und Herausforderungen im Bereich der Sicherheitslage anzugehen.
Laden Sie den Bericht „Stand der Bedrohungserkennung und -reaktion 2026“noch heute herunter.