Erkennung von Cyberangriffen erklärt: Der umfassende Leitfaden von Hub

Die Erkennung von Cyberangriffen ist das, was den Unterschied zwischen einem unbemerkten Eindringen und einem Schlagzeilen machenden Sicherheitsvorfall ausmacht. Präventionsmaßnahmen werden gegenüber einem entschlossenen Angreifer früher oder später immer versagen. Die eigentliche Frage ist also nicht, ob jemand eindringt – sondern wie schnell man ihn entdeckt, sobald er es geschafft hat. Dieser Leitfaden dient als Ausgangspunkt. Er definiert den Begriff „Erkennung“, erläutert deren Funktionsweise, vergleicht die wichtigsten Methoden, trennt die Erkennung von Prävention und Reaktion und setzt sich mit den beunruhigenden Geschwindigkeitsdaten auseinander: Angreifer übertragen den Zugriff mittlerweile innerhalb von Sekunden, während Verteidiger die Verweildauer noch in Tagen messen. Darauf aufbauend behandelt er den Wandel hin zu identitätsbasierten Angriffen, ordnet die Erkennung dem NIST- und MITRE ATT&CK -Frameworks und zeigt auf, wohin sich das Fachgebiet entwickelt. Jede spezielle Methode ist mit einer eigenen ausführlichen Anleitung verlinkt; betrachten Sie diesen Leitfaden also als Landkarte, bevor Sie sich für einen Weg entscheiden.

Was versteht man unter der Erkennung von Cyberangriffen?

Unter der Erkennung von Cyberangriffen versteht man die Identifizierung böswilliger Aktivitäten, Eindringversuche oder Anzeichen für eine Kompromittierung innerhalb einer Umgebung – über Netzwerk, endpoint, Identitäten und cloud hinweg cloud damit die Verteidiger reagieren können, bevor Schaden entsteht. Dabei wird davon ausgegangen, dass Angreifer präventive Kontrollmaßnahmen umgehen werden, und der Schwerpunkt liegt auf der Aufspürung des Angreifers, der sich bereits im System befindet.

Diese Sichtweise ist wichtig, denn Prävention allein ist keine Strategie. Firewalls, Patches und Multi-Faktor-Authentifizierung erhöhen zwar die Kosten eines Angriffs, doch ein ausreichend motivierter Angreifer wird letztendlich eine Lücke finden – ein nicht gepatchtes Edge-Gerät, durch Phishing erlangte Zugangsdaten, einen falsch konfigurierten cloud . Sobald er durchgedrungen ist, kann seine Anwesenheit nur noch durch Erkennung aufgedeckt werden. Das ist die „Assume Compromise“-Denkweise: Man geht davon aus, dass ein Sicherheitsverstoß unvermeidlich ist, und investiert lieber in die schnelle Aufspürung von Angreifern, anstatt so zu tun, als könne man jeden einzelnen von ihnen fernhalten. Ein Cyberangriff ist genau die böswillige Handlung, auf deren Aufdeckung die Erkennung ausgelegt ist.

Einige Schlüsselbegriffe tauchen in diesem Leitfaden immer wieder auf, daher ist es hilfreich, sie einmal zu definieren.

• Indikator für eine Kompromittierung (IOC): Forensischer Nachweis dafür, dass ein Eindringen stattgefunden hat – beispielsweise der Hashwert einer schädlichen Datei, eine als bösartig bekannte IP-Adresse, eine ungewöhnliche Anmeldung oder eine verdächtige Änderung in der Registrierungsdatenbank. Die vollständige Taxonomie und Beispiele finden Sie unter „Indikatoren für eine Kompromittierung“ (Kaseya).
• Verweildauer: Der Zeitraum, in dem ein Angreifer unentdeckt agiert – vom ersten Zugriff bis zu dem Moment, in dem er entdeckt wird. Je kürzer, desto besser.
• Durchschnittliche Erkennungszeit (MTTD): Die durchschnittliche Zeit, die ein Team benötigt, um über viele Vorfälle hinweg einen Einbruch zu erkennen.
• Echtes Positiv und falsches Positiv: Ein echtes Positiv ist ein tatsächlicher Angriff, den das System korrekt erkennt, während ein falsches Positiv eine harmlose Aktivität ist, die fälschlicherweise als bösartig eingestuft wird. Das Verhältnis zwischen beiden bestimmt die tägliche Arbeitsbelastung eines Erkennungsprogramms.

Die Erkennung ist wichtig, denn die Alternative wäre, im Blindflug zu agieren. Ein Angreifer, der nie entdeckt wird, kann nach Belieben seine Berechtigungen ausweiten, sich in Richtung sensibler Systeme vorarbeiten und Daten für den Diebstahl vorbereiten – ganz nach seinem eigenen Zeitplan. Je länger er unentdeckt bleibt – und wie der Abschnitt zur Erkennungsgeschwindigkeit weiter unten zeigt, dauert ein Einbruch im Median immer noch Tage –, desto mehr Schaden kann er anrichten und desto teurer wird die Beseitigung der Folgen. Die Erkennung ist die Kontrollmaßnahme, die eine unbefristete Kompromittierung in einen eingedämmten, zeitlich begrenzten Vorfall verwandelt.

Die Erkenntnis ist einfach: Die Erkennung deckt Angreifer auf, die die Prävention bereits umgangen haben – und genau deshalb steht sie im Zentrum moderner Cyber-Resilienz und nicht am Rand. Im weiteren Verlauf dieses Leitfadens wird erläutert, wie diese Erkennung tatsächlich erfolgt, wie schnell sie heutzutage abläuft und wie man sie in anerkannten Rahmenwerken verankern kann.

So funktioniert die Erkennung von Cyberangriffen

Die Erkennung erfolgt durch das Erfassen von Telemetriedaten, das Erstellen einer Basislinie für normales Verhalten und das Aufzeigen von Mustern und Anomalien, die auf einen Angriff hindeuten. Die genauen Abläufe variieren je nach Anbieter und Plattform, doch die zugrunde liegende Pipeline ist bemerkenswert einheitlich. Hier ist der gesamte Ablauf von Anfang bis Ende.

1. Telemetriedaten aus dem Netzwerk, von endpoint, Identitäten und cloud erfassen.
2. Normalisieren Sie die Daten in ein einheitliches Format.
3. Legen Sie für jede Einheit fest, wie der Normalzustand aussieht.
4. Analysieren Sie bekannte Muster und Verhaltensabweichungen.
5. Stellen Sie Zusammenhänge zwischen verwandten Signalen aus verschiedenen Quellen her.
6. Lösen Sie eine priorisierte Warnmeldung aus, die die Zeit eines Mitarbeiters wert ist.
7. Vor der Eskalation an den Einsatzdienst eine Triage durchführen und die Angaben überprüfen.

Jede Phase fließt in die nächste ein. Telemetrie ohne Basislinienvergleich ist bloßes Rauschen, und eine Analyse ohne Korrelation liefert isolierte Ausschläge, die für sich genommen kaum Aussagekraft haben. Die Kunst eines guten Systems zur Erkennung von Cyberangriffen besteht darin, die wenigen Signale hervorzuheben, die von Bedeutung sind, und gleichzeitig die Tausenden von Signalen zu unterdrücken, die es nicht sind.

Die Erkennung erstreckt sich über vier Bereiche, hinter denen jeweils ein spezielles Fachgebiet steht. Auf Endgeräten überwacht endpoint and Response“ (EDR) Prozess-, Datei- und Registrierungsaktivitäten. Im Netzwerk analysiert „Network Detection and Response“ (NDR) die Metadaten des Datenverkehrs auf Command-and-Control-Aktivitäten und laterale Bewegungen. Bei Konten kennzeichnet die „Identity Threat Detection and Response“ (ITDR) den Missbrauch von Anmeldedaten, und in der cloud überwacht cloud and Response“ das Verhalten der Steuerungsebene und der Workloads. Das Kernkonzept besteht darin, dass echte Angriffe diese Ebenen überschreiten, weshalb sie gemeinsam überwacht werden müssen. Die Grundlage für all dies bildet eine solide Netzwerksicherheitshygiene.

Wie sieht ein Angriff also für ein Erkennungssystem konkret aus? Die Anzeichen sind verhaltensbezogen. Ungewöhnlicher ausgehender Datenverkehr zu einem unbekannten Ziel kann darauf hindeuten, dass Daten das System verlassen. Eine anomale Anmeldung – falscher Standort, ungewöhnliche Uhrzeit, unmögliche Reise – kann bedeuten, dass gestohlene Anmeldedaten verwendet werden. Ein neu erstelltes Administratorkonto, eine unerwartete verschlüsselte Übertragung oder ein Webshell-Artefakt im cloud sind allesamt Indikatoren für eine Kompromittierung, die eine Untersuchung rechtfertigen. In einem dokumentierten Fall wurde eine schädliche Datei mit Webshell-Merkmalen bei einem routinemäßigen automatisierten Scan entdeckt und blockiert, bevor sie ausgeführt werden konnte (Security Boulevard). Diese Anzeichen lassen sich oft auf einen ersten Zugang zurückführen, der durch Social Engineering oder eine gezielte phishing erlangt wurde. Deshalb muss die Erkennung darauf achten, was ein Angreifer tut, nachdem er eingedrungen ist, und nicht nur darauf, wie er dort hingekommen ist.

Ein „Erkennungssystem“ ist also weniger ein einzelnes Produkt als vielmehr eine Kombination aus verschiedenen Komponenten – Telemetriequellen, Analysetools und Warnmechanismen, die plattformübergreifend zusammenwirken. Die Auswahl und Zusammenstellung dieser Komponenten ist eine eigene Disziplin, die unter dem Begriff „Software zur Erkennung von Bedrohungen“ zusammengefasst wird. Dieser Hub befasst sich ausschließlich damit, wie die Erkennung funktioniert, und nicht damit, welches Produkt man kaufen sollte.

Vergleich verschiedener Nachweisverfahren

Keine einzelne Methode deckt alle Bedrohungen ab. Jede Erkennungstechnik ist auf eine bestimmte Art von Bedrohung spezialisiert und übersieht andere – deshalb werden in ausgereiften Programmen mehrere Methoden kombiniert. In der folgenden Tabelle werden die sieben Methoden verglichen, auf die Sie am häufigsten stoßen werden, sowie deren jeweilige Erkennungsmöglichkeiten und Schwachstellen.

Tabelle 1. Vergleich von sieben zentralen Methoden zur Erkennung von Cyberangriffen hinsichtlich ihrer Erfassungsmöglichkeiten, ihrer Stärken, ihrer Schwachstellen und anhand eines konkreten Beispiels.

Einige dieser Methoden verdienen eine kurze Einführung in einem Satz, wobei die tiefergehenden Informationen auf den jeweiligen Seiten zu finden sind. Der grundlegende Unterschied besteht zwischen signaturbasierten und anomaliebasierten Methoden: Signaturen erkennen das Bekannte, während Anomalie-Methoden das Unbekannte kennzeichnen, indem sie eine Basislinie erlernen und Abweichungen davon bewerten – sie ergänzen sich, stehen nicht im Wettbewerb zueinander. Die auf den Netzwerkverkehr ausgerichtete Form dieses Ansatzes wird unter dem Begriff „Netzwerkanomalienerkennung“ behandelt. Die Verhaltenserkennung analysiert, wie sich Benutzer und Systeme im Zeitverlauf verhalten, und ist das Herzstück der verhaltensbasierten Bedrohungserkennung; ihre identitätsorientierte Variante, die Benutzer- und Entitätsverhaltensanalyse (UEBA), legt eine Basislinie für normale Aktivitäten fest und kennzeichnet Abweichungen, die auf ein kompromittiertes Konto hindeuten.

Die Erkennung von Cyberangriffen mithilfe von maschinellem Lernen steht an der Spitze der Anomalie- und Verhaltenserkennung. ML-Modelle lernen die Struktur des normalen Datenverkehrs aus unbeschrifteten Daten und kennzeichnen Ausreißer, wobei sie Algorithmen wie Isolation Forest und One-Class-Support-Vektor-Maschinen einsetzen, um Unregelmäßigkeiten zu isolieren (ManageEngine). Die Forschung zur Netzwerk-Einbruchserkennung mittels maschinellem Lernen hat sich weit über herkömmliche Benchmark-Datensätze hinaus entwickelt und konzentriert sich nun auf Modelle, die eher aus Beziehungen und Metadaten lernen als aus beschrifteten Nutzdaten (Springer). Die ausführliche Behandlung dieses Themas findet sich unter „KI-basierte Bedrohungserkennung“ – hier wird es kurz angesprochen, für tiefergehende Informationen verweisen wir dorthin.

Zwei damit verbundene Konzepte runden das Bild ab. Ein Intrusion-Detection-System ist eher eine Produktkategorie als eine Methode und kann auf Signaturen, Anomalien oder beidem basieren – siehe „Intrusion-Detection-Systeme“ für diese Unterscheidung. Und der externe Kontext, der jede der oben genannten Methoden schärft – von Indikatoren für bekannte Bedrohungen bis hin zu den Vorgehensweisen der Angreifer –, stammt aus Threat-Intelligence-Tools. Die praktische Erkenntnis daraus ist, dass die Kombination dieser Methoden die Lücken schließt, die jede einzelne von ihnen offen lässt.

Erkennung vs. Prävention vs. Reaktion

Prävention, Erkennung und Reaktion sind drei unterschiedliche Aufgaben, und man braucht alle drei. Die Prävention stoppt bekannte Angriffe, bevor sie ihr Ziel erreichen. Die Erkennung deckt diejenigen auf, die durchkommen. Die Reaktion begrenzt und behebt die Probleme, die bei der Erkennung zutage treten. Diese drei Aufgaben miteinander zu verwechseln, ist einer der häufigsten Fehler, den Lernende bei der Bewertung von Tools begehen.

Am deutlichsten lässt sich der Unterschied erkennen, wenn man beide Modelle der „Cyber Kill Chain“ zuordnet – jenem stufenweisen Modell, das den Ablauf eines Angriffs von der Aufklärung bis hin zu den Aktionen gegen die Ziele veranschaulicht.

• Maßnahmen zur Prävention am Anfang der Kette. Firewalls, Patches, E-Mail-Filterung und Multi-Faktor-Authentifizierung zielen darauf ab, Erkundungsversuche, die Übertragung von Schadcode und die Ausnutzung von Schwachstellen zu unterbinden, bevor ein Angreifer Fuß fassen kann.
• Die Erkennung findet in der Mitte statt und steht im Mittelpunkt dieses Leitfadens. Sobald ein Angreifer die Perimeterabwehr überwunden hat – indem er Tools installiert, sich lateral bewegt und eine Command-and-Control-Verbindung aufbaut –, deckt die Erkennung diese Aktivitäten anhand von Telemetriedaten und Verhaltensmustern auf.
• Die Reaktion erfolgt am Ende. Sobald die Erkennung einen Einbruch bestätigt hat, werden im Rahmen der Reaktion die Hosts isoliert, die Zugangsdaten gesperrt und der Zugriff des Angreifers aufgehoben.

‍

Daraus ergibt sich unmittelbar der Punkt „von einem Kompromittierungsszenario ausgehen“. Ein „Prävention-zuerst“-Ansatz macht einen blind, sobald sich ein Angreifer im System befindet, da präventive Kontrollmaßnahmen nicht erkennen können, was sie nicht verhindert haben. Erkennung und Reaktion sind daher keine optionalen Zusatzmaßnahmen, die der Prävention überlagert werden – sie sind unverzichtbare gleichrangige Komponenten. Der hier verwendete Suchbegriff „Erkennung und Prävention von Cyberangriffen“ impliziert oft eine Wahl zwischen beiden, doch die ehrliche Antwort lautet, dass es sich um aufeinanderfolgende Ebenen handelt, nicht um Alternativen.

Die Reaktion ist die Phase, die dort beginnt, wo die Erkennung endet, und stellt im Bereich der Incident Response eine eigene Disziplin dar. Der gesamte Prozess, der von der Entdeckung eines Angreifers bis zu dessen Untersuchung und Ausschluss reicht, umfasst die Erkennung von Bedrohungen, die Untersuchung und die Reaktion (TDIR). Das Fazit: Prävention stoppt bekannte Angriffe, die Erkennung deckt diejenigen auf, die durchrutschen, und die Reaktion hält sie in Schach – und ein Programm, dem auch nur eine dieser drei Komponenten fehlt, weist eine Lücke auf, die ein Angreifer ausnutzen wird.

Wie lange bleiben Angriffe unentdeckt?

Diese Frage verleiht der Erkennung ihre Dringlichkeit, und die Daten sind eindrucksvoll. Laut dem „M-Trends 2026“-Bericht von Mandiant betrug die weltweite mittlere Verweildauer von Angreifern im Jahr 2025 14 Tage, gegenüber 11 Tagen im Vorjahr. Bei Cyberspionage und Fällen mit nordkoreanischen IT-Fachkräften dauerte die Verweildauer mit einem Median von rund 122 Tagen deutlich länger, da bei diesen Operationen die Tarnung im Vordergrund steht. Am anderen Ende des Spektrums ergab dieselbe Untersuchung, dass sich das Zeitfenster vom ersten Zugriff bis zur Übergabe auf 22 Sekunden verkürzt hat – also die Zeit, die vergeht, bis ein Angreifer, der sich Zugang verschafft hat, die Kontrolle an den nächsten Operator übergibt (SecurityWeek).

Diese Zahlen stehen im Widerspruch zu einem sich langsamer entwickelnden Referenzwert. Data Breach „Cost of a Data Breach des Ponemon Institute ergab, dass der gesamte Lebenszyklus einer Datenschutzverletzung im Durchschnitt 241 Tage betrug – eine durchschnittliche Zeit bis zur Erkennung von 181 Tagen plus eine durchschnittliche Zeit bis zur Eindämmung von 60 Tagen –, was den niedrigsten Wert seit neun Jahren darstellt, bei weltweiten Durchschnittskosten pro Datenschutzverletzung von 4,44 Millionen US-Dollar. Die Kluft zwischen einer 22-Sekunden-Übergabe und einem sechsmonatigen Erkennungszeitraum ist die zentrale Herausforderung der modernen Erkennung: Angreifer agieren mit maschineller Geschwindigkeit, während viele Unternehmen Sicherheitsverletzungen immer noch mit menschlicher Geschwindigkeit aufdecken.

Tabelle 2. Vergleichswerte zur Erkennungsgeschwindigkeit von Cyberangriffen aus der Primärforschung der Jahre 2025–2026, mit Angabe des Berichts und des Datenjahres für jede Abbildung.

Zwei Definitionen bilden die Grundlage dieses Abschnitts. Die „Mean Time to Detect“ (MTTD) ist die durchschnittliche Zeit bis zur Erkennung eines Eindringversuchs, und die „Mean Time to Respond“ (MTTR) ist die durchschnittliche Zeit, die benötigt wird, um diesen nach seiner Entdeckung einzudämmen. Die Senkung beider Werte ist das Kernziel eines Erkennungsprogramms, und ihre Erfassung ist Bestandteil jeder seriösen Reihe von Cybersicherheitskennzahlen.

Die Daten enthalten tatsächlich gute Nachrichten. Laut der Studie „M-Trends 2026“ hat etwas mehr als die Hälfte – 52 % – der Unternehmen im Jahr 2025 böswillige Aktivitäten intern aufgedeckt, ein Anstieg gegenüber 43 % im Jahr 2024 (Help Net Security), während die Abhängigkeit von externen oder durch Dritte bereitgestellten Benachrichtigungen von 43 % auf 34 % sank (Industrial Cyber). Das Gesamtbild ist differenziert: Die Erkennungsfähigkeit verbessert sich eindeutig, doch die mittlere Verweildauer stieg dennoch an, da eine lange Reihe von verdeckten Spionage- und Insider-Operationen den Mittelwert der Verteilung nach oben zieht.

Ein methodischer Vorbehalt ist unerlässlich. Die Werte für die Verweildauer variieren je nach Stichprobe stark. Der vollständige Datensatz von Mandiant zur Incident-Response, der auch jene Spionagefälle mit langer Verweildauer umfasst, ergibt einen Medianwert von 14 Tagen, während eine ransomware Stichprobe aus dem Bereich Managed Detection einen deutlich kürzeren Wert von nur wenigen Tagen ausweist. Dabei handelt es sich um einen Unterschied im Umfang, nicht um einen Widerspruch – weshalb jeder Wert zur Verweildauer in diesem Leitfaden mit dem jeweiligen Berichts- und Datenjahr angegeben wird. Die Kernaussage gilt unabhängig von der Stichprobe: Angreifer können den Zugriff bereits nach 22 Sekunden weitergeben, doch die Identifizierung eines Angriffs dauert im Median immer noch etwa sechs Monate – und genau diese Lücke zu schließen, ist der Zweck der Erkennung. Der gesamte Lebenszyklus von der ersten Erkennung bis zur Eindämmung umfasst die Erkennung von Bedrohungen, die Untersuchung und die Reaktion.

Der Wandel hin zur identitätsbasierten Erkennung

Die größte Veränderung bei der Erkennung in den letzten Jahren besteht darin, dass Angreifer sich zunehmend anmelden, anstatt sich gewaltsam Zugang zu verschaffen. Laut einer Branchenstudie zur Incident-Response betrafen 56 % der untersuchten IR- und Managed-Detection-Fälle Angreifer, die gültige oder kompromittierte Anmeldedaten über externe Remote-Dienste nutzten (neutrale Medienberichterstattung). Wenn sich ein Angreifer mit einem legitimen Benutzernamen und Passwort authentifiziert, gibt es keine malware abgeglichen malware , und keinen Exploit, der als verdächtig markiert werden müsste.

Dies macht die signaturbasierte Erkennung von Grund auf unwirksam. Eine gültige Anmeldung mit gestohlenen Zugangsdaten sieht Byte für Byte genauso aus wie die Arbeit eines echten Benutzers – daher lässt sich dies nur erkennen, wenn man bemerkt, dass das Verhalten auffällig ist. Hat sich dieses Konto gerade um 3 Uhr morgens aus einem neuen Land angemeldet? Greift es plötzlich auf Systeme zu, mit denen es bisher noch nie in Berührung gekommen ist? Diese Fragen lassen sich nur mit Verhaltens- und Identitätsanalysen beantworten, die ein Normalverhalten als Basis festlegen und Abweichungen kennzeichnen. Genau hier liegt der Anwendungsbereich der verhaltensbasierten Bedrohungserkennung sowie der Identitätsbedrohungserkennung und -reaktion, und genau deshalb ist der Diebstahl von Anmeldedaten zur Methode für den Erstzugang geworden, die die Erkennungsstrategie am stärksten verändert.

Die Framework-Welt hat diese Realität inzwischen erkannt. Die neueste MITRE ATT&CK enthält eine „Stealth“-Taktik, die genau dieses Muster erfasst – Angreifer, die sich hinter legitimem Verhalten verstecken, anstatt offensichtliche malware einzusetzen. Die Schlussfolgerung ist eindeutig: Bei den meisten modernen Angriffen werden gültige Anmeldedaten verwendet, sodass die Erkennung des Verhaltens von Angreifern mittlerweile wichtiger ist als der Abgleich malware , und jedes Erkennungsprogramm, das ausschließlich auf Signaturen basiert, beobachtet die falsche Ebene.

Zuordnung der Erkennung zu NIST CSF 2.0 und MITRE ATT&CK

Die Verankerung der Erkennung in anerkannten Frameworks bietet Sicherheits- und GRC-Teams eine gemeinsame Sprache für die Abdeckung. Zwei Frameworks sind dabei besonders wichtig, und noch wichtiger ist es, ihren aktuellen Stand korrekt zu erfassen.

Das im Februar 2024 veröffentlichte NIST Cybersecurity Framework (CSF) 2.0 ist die aktuelle Version – es gibt kein CSF 3.0. Die Funktion „Detect“ (DE) entspricht direkt der Erkennung von Cyberangriffen und umfasst zwei Kategorien: DE.CM (Continuous Monitoring), also die Überwachung von Systemen und Ressourcen zur Erkennung von unerwünschten Ereignissen, und DE.AE (Adverse Event Analysis), also die Analyse dieser Ereignisse, um zu verstehen, was vor sich geht. Zusammen beschreiben sie den gesamten Prozess von der Erfassung der Telemetriedaten bis hin zu deren Auswertung.

MITRE ATT&CK ist der andere Anker, und sein Erkennungsmodell wurde kürzlich in einer Weise geändert, die in vielen älteren Anleitungen nicht berücksichtigt wird. Ab Version 18 (Oktober 2025), hat MITRE seine veralteten „Detections“ und die nicht mehr unterstützten „Data Sources“ durch ein verhaltensorientiertes, zweistufiges Modell aus „Detection Strategies“ und „Analytics“ ersetzt – eine Verlagerung hin zur Beschreibung, wie das Verhalten von Angreifern erkannt werden kann, anstatt darauf zu konzentrieren, welche Rohprotokolle ausgewertet werden müssen. Die aktuelle Version v19 (April 2026) dann die alte Taktik „Verteidigungsausweichen“ in zwei Teile aufteilen: „Tarnung“ (0005) und Verteidigungsbeeinträchtigung (0112), womit die Enterprise-Matrix nun 15 Taktiken umfasst.

Tabelle 3. Zuordnung der Erkennung von Cyberangriffen zur „Detect“-Funktion des NIST CSF 2.0 und zu den für die Erkennung relevanten Taktiken MITRE ATT&CK .

Die für die Erkennung relevanten Taktiken sind nach wie vor die praktischen Arbeitspferde. Seitliche Bewegung (0008) äußert sich im Missbrauch von Remote-Diensten unter Verwendung gültiger Anmeldedaten. Exfiltration (0010) erscheinen als ungewöhnliche verschlüsselte ausgehende Übertragungen. Zugriff auf Anmeldedaten (0006) umfasst Brute-Force- und Credential-Stuffing-Angriffe. Das neue 0005 Die Stealth-Taktik lässt sich nahtlos auf das identitätsbasierte Muster „Login statt Einbruch“ übertragen. Die Erkenntnis: Die Erkennung entspricht der „Detect“-Funktion des NIST CSF 2.0 sowie dem „Behavior-First“-Modell MITRE ATT&CK, und die Verankerung eines Programms in diesen Sicherheitsrahmenwerke macht abstrakte Berichterstattung zu etwas Messbarem.

Moderne Ansätze und die Zukunft der Detektion

Die Erkennung entwickelt sich in Richtung KI-gesteuerter Verhaltensanalysen und automatisierter Triage. Das beherrschende Thema des Jahres 2026 sind KI-gestützte und zunehmend „agentenbasierte“ Sicherheitsabläufe – autonome Triage, automatisierte Untersuchungen und durch Schutzmaßnahmen begrenzte Eindämmung, die Teams von einem „Human-in-the-Loop“-Ansatz zu einem „Human-on-the-Loop“-Ansatz führen, wobei sich die Automatisierungssteuerung als Gegen-Thema herauskristallisiert. Der Nutzen ist greifbar: Unternehmen, die KI und Automatisierung umfassend einsetzen, sparten im Durchschnitt 1,9 Millionen US-Dollar und rund 80 Tage im Lebenszyklus einer Sicherheitsverletzung ein (Ponemon Institute). Die Erkennung von Cyberangriffen in Echtzeit – also die Bewertung von Aktivitäten während sie stattfinden und nicht erst im Nachhinein – ist das Ziel, auf das die KI-basierte Bedrohungserkennung und die Verhaltensanalyse hinarbeiten.

Ein Vorfall aus dem Jahr 2026 verdeutlicht, warum eine schnelle Erkennung wichtig ist und warum sie nicht das Ende der Geschichte darstellt. Der unbefugte Zugriff auf die von Instructure betriebene Lernplattform Canvas begann am 25. April 2026; Instructure entdeckte den Eindringling intern am 29. April – etwa vier Tage später –, entzog ihm den Zugriff, behob den Vorfall am 30. April und informierte am 1. Mai darüber (The Register). Der Angreifer, ShinyHunters, gab an, rund 3,65 TB an Daten von etwa 275 Millionen Nutzern und rund 9.000 Einrichtungen erbeutet zu haben – Zahlen, die auf die Angaben des Angreifers beruhen und nicht bestätigt sind. Lehrreich ist die Fortsetzung: Am 7. Mai folgten ein zweiter Einbruch und eine Website-Verunstaltung. Die schnelle interne Erkennung begrenzte die anfängliche Verweildauer und den Schadensumfang, was den zunehmenden Trend zur internen Erkennung verdeutlicht, zeigt aber auch, dass die Erkennung mit einer nachhaltigen Reaktion einhergehen muss, da sich der Angreifer sonst festsetzen und erneut eindringen kann. Der breitere Markt konsolidiert sich derzeit um Extended Detection and Response (XDR), das Signale über verschiedene Sicherheitsflächen hinweg korreliert, Managed Detection and Response (MDR) für Teams ohne vollwertiges SOC sowie Detection Engineering als Disziplin, die Erkennungsmechanismen entwickelt und optimiert – all dies im Kampf gegen das anhaltende Problem der Alarmmüdigkeit. Deshalb ist die Signalqualität und nicht die Anzahl der Alarme die entscheidende Kennzahl.

Wie Vectra AI die Erkennung von Cyberangriffen Vectra AI

Vectra AI der Erkennung von Cyberangriffen nach Attack Signal IntelligenceVectra AI , bei dem der Schwerpunkt auf der Erkennung des Verhaltens von Angreifern über Netzwerk-, Identitäts- und cloud hinweg liegt, anstatt Signaturen abzugleichen. Die Leitphilosophie lautet „Assume Compromise“ – clevere Angreifer werden sich Zugang verschaffen, daher besteht die Aufgabe beim Aufbau von Widerstandsfähigkeit darin, sie anhand ihrer Handlungen zu identifizieren, sobald sie sich im System befinden. Das Ziel ist es, Signale vom Rauschen zu trennen: das echte, priorisierte Signal eines laufenden Angriffs sichtbar zu machen, anstatt die Flut von Warnmeldungen weiter anzuhäufen, die ein kleines Team ohnehin schon nicht bewältigen kann.

Schlussfolgerung

Die Erkennung von Cyberangriffen nimmt einen zentralen Platz in der Sicherheit ein, da Prävention nicht alles verhindern kann und das, was durchkommt, schnell aufgedeckt werden muss. Dabei werden Telemetriedaten gesammelt, Normalzustände als Basiswerte festgelegt und Muster sowie Anomalien aufgedeckt, die auf einen Eindringling hindeuten – und dies funktioniert am besten, wenn Signatur-, Anomalie-, Verhaltens- sowie KI-/ML-Methoden in mehreren Schichten eingesetzt werden, sodass jede die blinden Flecken der anderen abdeckt. Die Geschwindigkeitsdaten machen deutlich, worum es geht: Angreifer verschaffen sich innerhalb von Sekunden Zugriff, während die Identifizierung einer Sicherheitsverletzung im Median immer noch etwa sechs Monate dauert, und die meisten Eindringversuche erfolgen mittlerweile über gültige Anmeldedaten statt über malware. Die Ausrichtung eines Programms auf die „Detect“-Funktion des NIST CSF 2.0 und das „Behavior-First“-Modell MITRE ATT&CK macht diese Herausforderung messbar. Von hier aus sind die durchgehend verlinkten Fachseiten – von endpoint und endpoint bis hin zu identitäts-, verhaltens- und KI-gesteuerten Ansätzen – der logische nächste Schritt. Um zu sehen, wie verhaltensbasierte Erkennung zu einem priorisierten, untersuchbaren Signal wird, erkunden Sie den Ansatz Vectra AI zur KI-basierten Bedrohungserkennung.