Das Netzwerk bleibt der einzige Ort, an dem sich Angreifer nicht verstecken können. Jede seitliche Bewegung, jeder Versuch der Datenexfiltration, jede Befehls- und Kontrollkommunikation muss das Netzwerk durchlaufen – was es zur ultimativen Quelle der Wahrheit für die Erkennung von Bedrohungen macht, die bereits die Perimeter-Abwehr umgangen haben. Da Unternehmen mit verschlüsseltem Datenverkehr, cloud und raffinierten Angreifern zu kämpfen haben, die sich „Living-off-the-Land“-Techniken zunutze machen, haben sich Netzwerkdetektions- und Reaktionswerkzeuge (NDR) zu unverzichtbaren Komponenten moderner Sicherheitsmaßnahmen entwickelt. Laut einer Analyse der NDR-Technologie durch IBM schließen diese Lösungen kritische Sichtbarkeitslücken, die mit endpoint protokollbasierten Werkzeugen einfach nicht geschlossen werden können.
Dieser Leitfaden untersucht, wie NDR-Tools funktionieren, wann sie Alternativen wie EDR und SIEM übertreffen und worauf Sicherheitsteams bei der Bewertung von Lösungen für ihre Umgebungen achten sollten.
Network Detection and Response (NDR) ist eine Cybersicherheitstechnologie, die nicht signaturbasierte Erkennungsmethoden – darunter künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen – nutzt, um verdächtige oder böswillige Aktivitäten in Unternehmensnetzwerken zu identifizieren. NDR-Tools analysieren kontinuierlich den Netzwerkverkehr, sowohl Rohpakete als auch Metadaten, um abnormales Verhalten zu erkennen, das auf potenzielle Bedrohungen hinweist, und bieten dann Reaktionsmöglichkeiten, um Vorfälle einzudämmen und zu untersuchen.
Gartner hat die Kategorie im Jahr 2020 offiziell von „Network Traffic Analysis“ (NTA) in „Network Detection and Response“ umbenannt, um der Erweiterung um automatisierte Reaktionsfunktionen über die passive Überwachung hinaus Rechnung zu tragen. Diese Unterscheidung ist wichtig: Moderne NDR-Tools warnen nicht nur vor Anomalien, sondern können auch Hosts isolieren, Verbindungen blockieren und durch SOAR-Integration automatisierte Playbooks auslösen.
NDR-Lösungen überwachen zwei kritische Datenströme. Der Nord-Süd-Datenverkehr verläuft zwischen internen Netzwerken und externen Zielen und erfasst erste Zugriffsversuche und Datenexfiltration. Der Ost-West-Datenverkehr verläuft lateral zwischen internen Systemen und deckt Angreifer auf, die bereits Fuß gefasst haben und ihren Zugriff ausweiten. Diese interne Transparenz unterscheidet NDR von herkömmlichen, auf den Perimeter fokussierten Sicherheitstools.
Die Argumente für NDR waren noch nie so überzeugend wie heute. Laut einer Analyse von ExtraHop sind mittlerweile etwa 85 % des Netzwerkverkehrs verschlüsselt, wodurch herkömmliche Deep Packet Inspection ohne kostspielige Entschlüsselungsinfrastruktur unwirksam wird. NDR-Tools begegnen dieser Herausforderung durch Metadatenanalyse, Traffic-Timing-Muster und TLS-Fingerprinting-Techniken, die Bedrohungsinformationen extrahieren, ohne die Verschlüsselung zu brechen.
Die Bedrohungslage unterstreicht diese Dringlichkeit. Untersuchungen von Elisity haben ergeben, dass über 70 % aller erfolgreichen Angriffe auf Techniken der lateralen Bewegung zurückgreifen – dabei bewegen sich Angreifer nach der ersten Kompromittierung zwischen internen Systemen hin und her. Die durchschnittliche Erkennungszeit für laterale Bewegungsaktivitäten liegt ohne angemessene Netzwerktransparenz bei 95 Tagen. In diesem Zeitraum können Angreifer die Infrastruktur kartieren, Berechtigungen erweitern, Daten bereitstellen und sich für maximale Wirkung positionieren.
Die Marktvalidierung folgte der technischen Notwendigkeit. Gartner veröffentlichte im Mai 2025 seinen ersten Magic Quadrant für NDR und erkannte NDR damit offiziell als eigenständige, ausgereifte Sicherheitskategorie an. Der NDR-Markt wird bis 2030 voraussichtlich ein Volumen von 5,82 Milliarden US-Dollar erreichen und mit einer durchschnittlichen jährlichen Wachstumsrate von 9,6 % wachsen.
Um NDR zu verstehen, müssen drei miteinander verbundene Funktionen untersucht werden: Datenerfassung, Erkennung und Analyse sowie automatisierte Reaktion. Jede Ebene baut auf der vorherigen auf, um den rohen Netzwerkverkehr in verwertbare Sicherheitsinformationen umzuwandeln.
NDR-Tools erfassen Netzwerkdaten über mehrere Bereitstellungsoptionen, die jeweils unterschiedliche Vorteile bieten.
SPAN-Port-Spiegelung kopiert den Netzwerkverkehr von Switch-Ports zum NDR-Sensor. Dieser Ansatz eignet sich gut für Erstinstallationen und Umgebungen mit moderatem Datenverkehr, kann jedoch bei hoher Auslastung zu Paketverlusten führen.
Netzwerk-TAPs (Test Access Points) sind dedizierte Hardwaregeräte, die Datenverkehr passiv kopieren, ohne die Netzwerkleistung zu beeinträchtigen. TAPs garantieren eine vollständige Paketerfassung auch bei Datenverkehrsspitzen und sind daher für Produktionsumgebungen besonders geeignet.
Paketbroker aggregieren den Datenverkehr von mehreren TAPs und SPAN-Ports und filtern und verteilen ihn über NDR-Sensoren. Große Unternehmen setzen in der Regel Paketbroker ein, um die Verteilung des Datenverkehrs über Sensor-Arrays zu verwalten.
Cloud ermöglichen NDR-Transparenz in cloud durch native Integrationen. AWS VPC Flow Logs, Azure Network Watcher und GCP-Audit-Protokolle bieten Netzwerktelemetrie, ohne dass eine herkömmliche TAP-Infrastruktur erforderlich ist. Die Cloud NDR-Bereitstellung ist unverzichtbar geworden, da Unternehmen ihre Workloads zunehmend aus lokalen Rechenzentren auslagern.
Sobald die Daten zu den NDR-Sensoren fließen, arbeiten mehrere Analysetechniken parallel, um Bedrohungen zu identifizieren.
Tabelle: NDR-Erkennungstechniken und ihre Anwendungen
Moderne NDR-Plattformen kombinieren diese Techniken, anstatt sich auf einen einzigen Ansatz zu verlassen. Die Verhaltensanalyse ermittelt, was für jedes Netzwerksegment, jeden Gerätetyp und jede Benutzergruppe als „normal“ gilt. Maschinelle Lernmodelle klassifizieren Abweichungen dann als harmlose Anomalien oder echte Bedrohungen. Laut der NDR-Übersicht von Cisco reduziert dieser mehrschichtige Ansatz die Falsch-Positiv-Raten, die bei der ausschließlich auf Signaturen basierenden Erkennung ein Problem darstellen, erheblich.
Da der Großteil des Unternehmensdatenverkehrs mittlerweile verschlüsselt ist, haben NDR-Tools ausgefeilte Techniken entwickelt, um Bedrohungsinformationen aus verschlüsselten Sitzungen zu extrahieren, ohne dass eine Entschlüsselung erforderlich ist.
JA3/JA3S-Fingerprinting erstellt eindeutige Identifikatoren aus TLS-Client- und Server-Hello-Nachrichten. Diese Fingerabdrücke identifizieren bestimmte Anwendungen, malware und Angriffstools unabhängig von Ziel oder Zertifikatsdetails. Bekannte bösartige JA3-Fingerabdrücke ermöglichen die Erkennung von Command-and-Control-Kommunikationen, selbst wenn der Datenverkehr verschlüsselt ist.
DNS-Korrelationskarten ordnen verschlüsselte Verbindungen ihren aufgelösten Domänen zu und decken Verbindungen zu verdächtigen oder bekanntermaßen bösartigen Infrastrukturen auf. In Kombination mit Threat-Intelligence-Feeds identifiziert die DNS-Analyse C2-Beaconing, Algorithmen zur Domänengenerierung und Kanäle zur Datenexfiltration.
Die Analyse der Verkehrstaktung untersucht Verbindungsmuster, darunter Beacon-Intervalle, Sitzungsdauern und Paketkadenz. Automatisierte Befehls- und Kontroll-Frameworks erzeugen charakteristische Taktungssignaturen, die auch bei Verschlüsselung bestehen bleiben.
Die Zertifikatsanalyse überprüft die Metadaten von TLS-Zertifikaten, darunter Aussteller, Gültigkeitsdauer und Subjektattribute. Selbstsignierte Zertifikate, kürzlich ausgestellte Zertifikate und Zertifikate mit verdächtigen Attributen deuten häufig auf eine bösartige Infrastruktur hin.
Die Erkennung ohne Reaktion führt zu einer Ermüdung der Alarmierung. Moderne NDR-Tools bieten automatisierte und halbautomatisierte Reaktionsoptionen, die eine schnelle Eindämmung ermöglichen.
Die Alarmgenerierung mit Priorisierung ordnet Erkennungen nach Schweregrad und Zuverlässigkeit und hilft Analysten dabei, sich auf echte Bedrohungen zu konzentrieren. Durch automatisierte Blockierung können Verbindungen zu bösartigen Zielen unterbrochen oder infizierte Hosts unter Quarantäne gestellt werden. Die Integration mit SOAR-Plattformen löst umfassende Reaktions-Playbooks aus, die Maßnahmen über verschiedene Sicherheitstools hinweg koordinieren. Die forensische Paketerfassung bewahrt Netzwerkbeweise für Untersuchungen nach Vorfällen und threat hunting.
NDR-Tools zeichnen sich in bestimmten Bedrohungsszenarien aus, in denen die Netzwerktransparenz Vorteile bietet, die andere Sicherheitstools nicht bieten können.
Seitliche Bewegungen – Angreifer, die sich nach der ersten Kompromittierung zwischen internen Systemen bewegen – stellen den stärksten Anwendungsfall für NDR dar. Laut einer Analyse von Palo Alto Networks werden durch die Überwachung des Ost-West-Datenverkehrs Angreifer erfasst, die mit kompromittierten Anmeldedaten auf weitere Systeme zugreifen. Dies kann von Perimeter-Tools und sogar EDR übersehen werden, wenn legitime Anmeldedaten verwendet werden.
NDR erkennt laterale Bewegungen anhand von Verhaltensabweichungen: Ein Arbeitsplatzrechner greift plötzlich auf Dateiserver zu, auf die er noch nie zugegriffen hat, es gibt Authentifizierungsversuche außerhalb der normalen Muster oder RDP-Verbindungen zu ungewöhnlichen Zeiten. Diese Signale gehen oft ransomware um Tage oder Wochen voraus.
Das MITRE ATT&CK ordnet laterale Bewegungen der Taktik TA0008 zu, die Techniken wie T1021 (Remote Services) umfasst, auf die NDR-Tools speziell abzielen.
Ransomware nahmen im Jahr 2025 um 47 % zu, wobei die Angreifer die Verschlüsselung erst nach einer längeren Erkundungs- und Datenbereitstellungsphase durchführten. Laut der ransomware von ExtraHop liefert NDR wichtige Frühwarnungen, indem es Indikatoren vor der Verschlüsselung erkennt: C2-Kommunikation zur Etablierung der Kontrolle durch den Angreifer, laterale Bewegungen zur Ausweitung des Zugriffs und Datenbereitstellung zur Vorbereitung der Exfiltration.
Wenn die Verschlüsselung beginnt, ist der Angriff bereits erfolgreich. NDR ermöglicht die Erkennung und Reaktion während der Vorbereitungsphase, wenn eine Eindämmung noch möglich ist.
Befehls- und Kontrollkommunikation ermöglicht es Angreifern, dauerhaften Zugriff zu erhalten und Anweisungen zu empfangen. NDR-Tools identifizieren C2 anhand von Beaconing-Mustern – regelmäßige Intervalle zwischen Check-ins, die auch dann konsistent bleiben, wenn sie als legitimer Datenverkehr getarnt sind.
DNS-basierte C2- und Tunneling-Versuche zeigen sich in Form ungewöhnlicher Abfrage-Muster: hohe Abfragevolumina zu einzelnen Domains, verschlüsselte Daten in DNS-Anfragen oder Abfragen zu neu registrierten Domains. NDR ordnet diese Verhaltensweisen MITRE ATT&CK TA0011 (Command and Control) zu.
Insider-Bedrohungen und Datenexfiltration erzeugen Netzwerkartefakte, die durch Verhaltensanalysen identifiziert werden können. Ungewöhnliche Datenbewegungsmuster – große Übertragungen an externe Ziele, Uploads in cloud außerhalb der normalen Arbeitszeiten oder verschlüsselter ausgehender Datenverkehr – lösen NDR-Erkennungen aus, selbst wenn der Insider über legitime Zugangsdaten verfügt.
Die Verizon-Studie „2025 Data Breach Untersuchungsbericht von Verizon ergab, dass 88 % der Verstöße mit gestohlenen oder kompromittierten Anmeldedaten in Verbindung standen. Wenn Angreifer gültige Anmeldedaten verwenden, bietet das Netzwerkverhalten oft die einzige Möglichkeit zur Erkennung.
Sicherheitsteams fragen häufig, in welcher Beziehung NDR zu anderen Erkennungstechnologien steht. Die Antwort: Diese Tools decken unterschiedliche Sichtbarkeitsbereiche ab und funktionieren am besten zusammen.
Tabelle: Vergleich zwischen NDR und EDR, XDR, IDS und SIEM
Endpoint and Response (EDR) überwacht Prozesse, Dateien und Registrierungsaktivitäten auf einzelnen Endpunkten. EDR zeichnet sich durch malware , Identifizierung bösartiger ausführbarer Dateien und Bereitstellung forensischer Details zu endpoint aus.
NDR und EDR schließen grundlegend unterschiedliche Sichtbarkeitslücken. EDR kann den Netzwerkverkehr zwischen Systemen nicht sehen, während NDR nicht sehen kann, welche Prozesse auf Endgeräten ausgeführt werden. Laut dem Vergleich von SentinelOne erreichen Unternehmen eine umfassende Verteidigung, indem sie beide Lösungen einsetzen: EDR fängt malware ab, malware Endgeräte erreicht, während NDR Angreifer abfängt, die sich zwischen Systemen bewegen oder mit externer Infrastruktur kommunizieren.
NDR bietet auch Schutz für Geräte, auf denen keine EDR-Agenten ausgeführt werden können – IoT-Geräte, Betriebstechnologie, Altsysteme und Netzwerkgeräte. Dieser agentenlose Ansatz ist der Schlüssel zu einer umfassenden Netzwerksicherheit.
Extended Detection and Response (XDR) integriert mehrere Telemetriequellen – endpoint, Netzwerk, cloud, Identität – in eine einheitliche Erkennungs- und Reaktionsplattform. XDR zielt darauf ab, Signale über Domänen hinweg zu korrelieren und Angriffsmuster zu identifizieren, die sich über mehrere Sichtbarkeitsebenen erstrecken.
NDR kann als eigenständige Funktion oder als Komponente innerhalb von XDR-Architekturen eingesetzt werden. Viele Unternehmen setzen neben XDR-Plattformen spezielle NDR-Lösungen ein, wenn sie eine umfassende Netzwerktransparenz benötigen, die über die integrierten NDR-Funktionen von XDR hinausgeht. Der XDR-Markt wird bis 2030 voraussichtlich ein Volumen von 30,86 Milliarden US-Dollar erreichen, was die wachsende Nachfrage nach einheitlichen Sicherheitsmaßnahmen widerspiegelt.
Herkömmliche Intrusion Detection Systeme (IDS) basieren in erster Linie auf einer signaturbasierten Erkennung, bei der der Netzwerkverkehr mit bekannten Angriffsmustern abgeglichen wird. IDS erkennt bekannte Bedrohungen schnell, versagt jedoch bei neuartigen Angriffen, verschlüsseltem Datenverkehr und Angreifern, die Living-off-the-Land-Techniken einsetzen.
NDR steht für die moderne Weiterentwicklung der netzwerkbasierten Erkennung. NDR-Tools können zwar Signaturerkennung als eine Komponente enthalten, aber Verhaltensanalysen und maschinelles Lernen ermöglichen die Erkennung unbekannter Bedrohungen. NDR bietet auch Reaktionsmöglichkeiten, die herkömmlichen IDS fehlen.
Unternehmen, die von IDS auf NDR umsteigen, sollten mit einer Übergangsphase für die Festlegung von Basiswerten und die Feinabstimmung rechnen. Der verhaltensbasierte Ansatz erfordert ein Verständnis der normalen Verkehrsmuster, bevor Anomalien effektiv identifiziert werden können.
Plattformen für Sicherheitsinformationen und Ereignismanagement (SIEM) aggregieren Protokolle aus dem gesamten Unternehmen und ermöglichen so Korrelationen, Compliance-Berichte und langfristige Aufbewahrung. SIEMs bieten wichtige Funktionen für Sicherheitsvorgänge, sind jedoch vollständig von den protokollierten Daten abhängig.
NDR schließt die Sichtbarkeitslücken von SIEM. Der Netzwerkverkehr erfasst Aktivitäten, die möglicherweise nie in Protokollen erscheinen – nicht überwachte Systeme, Geräte, die keine Protokollierung unterstützen, oder Angreifer, die die Protokollierung nach einer Kompromittierung deaktivieren. Die kombinierte Bereitstellung ermöglicht eine leistungsstarke Korrelation: SIEM erkennt Authentifizierungsanomalien, während NDR die anschließende laterale Bewegung erkennt.
Eine Umfrage von Forbes ergab, dass 44 % der Unternehmen planen, ihre SIEMs im Jahr 2025 zu ersetzen. Ein Ersatz bedeutet jedoch oft eher eine Erweiterung um netzwerknative Erkennungsfunktionen als den Wegfall von Protokollaggregationsfunktionen.
Eine effektive Erkennung von Bedrohungen erfordert ein Verständnis dafür, wo NDR innerhalb der umfassenderen Sicherheitsarchitektur angesiedelt ist und wie es sich auf Angriffsrahmenwerke auswirkt.
Die SOC Visibility Triad – ein von Sicherheitsanalysten populär gemachtes Rahmenwerk – positioniert drei Erkennungsfunktionen als unverzichtbar für eine umfassende Abdeckung:
Laut der Analyse von Corelight weisen Unternehmen, denen ein Teil dieser Triade fehlt, erhebliche Schwachstellen auf. Ein neu entstandenes „SOC Visibility Quintet“ erweitert dieses Modell um spezielle Säulen cloud Identitätserkennung.
NDR erkennt Bedrohungen in mehreren Phasen des Angriffszyklus. Zuordnung zu MITRE ATT&CK Framework:
Der Mandiant M-Trends 2024-Bericht ergab eine globale mittlere Verweildauer von 10 Tagen – die Zeit zwischen der ersten Kompromittierung und der Erkennung der Bedrohung. Der verhaltensbasierte Ansatz von NDR kann dieses Zeitfenster durch die Erkennung früher Angriffsstadien erheblich verkürzen.
NDR bietet maximalen Nutzen, wenn es in die bestehende Sicherheitsinfrastruktur integriert wird.
Die SIEM-Integration erweitert die protokollbasierte Erkennung um den Netzwerkkontext. Die Korrelation zwischen Authentifizierungsprotokollen und Anomalien im Netzwerkverkehr führt zu zuverlässigeren Warnmeldungen.
Die SOAR-Integration ermöglicht automatisierte Reaktionspläne, die durch NDR-Erkennungen ausgelöst werden. Host-Isolierung, Aktualisierungen von Firewall-Regeln und die Erstellung von Fällen können basierend auf der Erkennungssicherheit und dem Schweregrad automatisch ausgeführt werden.
Die EDR-Integration bietet vollständige Transparenz über Angriffe. Wenn NDR eine laterale Bewegung erkennt, liefert EDR endpoint darüber, was der Angreifer auf den Zielsystemen ausgeführt hat.
Die IntegrationCloud erweitert die Transparenz auf IaaS-, SaaS- und Hybrid-Umgebungen. Moderne NDR-Lösungen lassen sich in AWS VPC Flow Logs, Azure Network Watcher und GCP-Audit-Protokolle integrieren und bieten so eine cloud Abdeckung.
Organisationen, die NDR-Tools bewerten, sollten mehrere Schlüsselkriterien evaluieren, die auf den Reifegrad ihrer Sicherheitsmaßnahmen und ihre Infrastrukturanforderungen abgestimmt sind.
Die Erkennungswirksamkeit umfasst die Falsch-Positiv-Rate, die Abdeckung MITRE ATT&CK und die Fähigkeit, Bedrohungen im verschlüsselten Datenverkehr zu erkennen. Fordern Sie Referenzen aus ähnlichen Umgebungen an und bitten Sie die Anbieter um Erkennungsbenchmarks.
Der Ansatz des maschinellen Lernens variiert je nach Anbieter. Überwachtes Lernen erfordert gekennzeichnete Trainingsdaten, liefert jedoch interpretierbare Ergebnisse. Unüberwachtes Lernen erkennt neue Anomalien, kann jedoch anfangs zu mehr Fehlalarmen führen. Die meisten ausgereiften Lösungen kombinieren beide Ansätze.
Die Netzwerksichtbarkeit sollte den internen Ost-West-Verkehr, den externen Nord-Süd-Verkehr und cloud abdecken. Überprüfen Sie die Protokollunterstützungstiefe – kann die Lösung Ihre spezifischen Anwendungsprotokolle analysieren?
Die Reaktionsmöglichkeiten reichen von reiner Alarmierung bis hin zur vollständig automatisierten Eindämmung. Bewerten Sie die Integrationsintensität von SIEM und SOAR und stellen Sie sicher, dass die Reaktionsmaßnahmen an Ihre betrieblichen Anforderungen angepasst werden können.
Die Flexibilität bei der Bereitstellung umfasst lokale Sensoren, cloud Analysen oder Hybridmodelle. Bewerten Sie die Durchsatzkapazität pro Sensor anhand Ihres Datenverkehrsvolumens und legen Sie realistische Erwartungen hinsichtlich der Amortisationszeit fest.
Bei der Bewertung von NDR-Lösungen sollten Sicherheitsteams folgende Fragen stellen:
Der NDR-Markt entwickelt sich weiterhin rasant, angetrieben durch Fortschritte im Bereich der künstlichen Intelligenz, cloud und die Konvergenz mit benachbarten Sicherheitskategorien.
Der erste Gartner Magic Quadrant für NDR, der im Mai 2025 veröffentlicht wurde, nannte Vectra AI, Darktrace, ExtraHop und Corelight als führende Anbieter. Diese Anerkennung signalisiert die Marktreife und die zunehmende Akzeptanz in Unternehmen.
Zu den wichtigsten Markttrends gehört der Einsatz cloud NDR-Lösungen. Gartner prognostiziert, dass bis 2029 mehr als 50 % der von NDR entdeckten Vorfälle aus cloud stammen werden. Generative KI verbessert die Zusammenfassung von Warnmeldungen und die Unterstützung bei der Untersuchung. Die Korrelation zwischen Identität und Netzwerk verbessert die Erkennung der Verwendung kompromittierter Anmeldedaten.
Mehrere Entwicklungen prägen die Entwicklung von NDR:
Die KI-gestützte Erkennung verbessert kontinuierlich ihre Genauigkeit und reduziert gleichzeitig Fehlalarme. KI-gesteuerte Systeme erkennen Angriffe mittlerweile bis zu 85 % schneller als herkömmliche Tools und weisen eine Genauigkeitsrate von über 98 % bei der Identifizierung bösartiger Verkehrsmuster auf.
Die XDR-Konvergenz integriert einige NDR-Funktionen in umfassendere Plattformen, wobei spezialisierte NDR-Lösungen für Unternehmen, die über fundiertes Netzwerk-Know-how verfügen, weiterhin Vorteile bieten.
Zero trust Integration positioniert NDR als kontinuierliche Verifizierungsschicht, die Vertrauensannahmen in Echtzeit validiert. Das NIST Zero Trust Framework identifiziert die kontinuierliche Netzwerküberwachung ausdrücklich als Kernanforderung.
Regulatorische Vorgaben wie NIS2 in Europa und DORA für Finanzdienstleistungen schreiben Netzwerküberwachungsfunktionen vor und beschleunigen damit die Einführung von NDR in regulierten Branchen.
Attack Signal Intelligence Vectra AIbefasst sich mit der grundlegenden Herausforderung, vor der Sicherheitsabteilungen stehen: zu viele Warnmeldungen, zu wenige Analysten. Da Sicherheitsteams nicht in der Lage sind, 67 % der täglichen Warnmeldungen zu untersuchen – und laut Branchenstudien 83 % dieser Warnmeldungen Fehlalarme sind –, führt das Volumen der Erkennungen ohne Priorisierung zu einer Lähmung des Betriebs.
Die Vectra AI korreliert Signale aus Netzwerk-, Identitäts- und cloud mithilfe von über 170 KI-Modellen und 36 Patenten. Anstatt jede Anomalie zu melden, priorisiert das System die Erkennungen auf der Grundlage von Verhaltensmustern der Angreifer, sodass die wichtigsten Angriffe sichtbar werden und gleichzeitig Störsignale reduziert werden, die die Kapazitäten der Analysten überfordern.
Dieser Ansatz basiert auf einem zentralen Grundsatz: Clevere Angreifer werden immer einen Weg finden, sich Zugang zu verschaffen. Die Frage ist, ob die Sicherheitsteams sie finden, bevor Schaden entsteht.
Der NDR-Markt steht in den nächsten 12 bis 24 Monaten vor einem tiefgreifenden Wandel, da KI-Fähigkeiten ausgereifter werden, cloud zunimmt und die regulatorischen Anforderungen steigen.
Die KI-native Erkennung wandelt sich von einer Funktion zu einer Grundlage. Bis 2026 wird KI nicht mehr nur menschliche Analysten unterstützen, sondern autonome Erkennung und erste Reaktionen vorantreiben. Unternehmen sollten die KI-Roadmaps ihrer Anbieter sorgfältig prüfen, da sich die Kluft zwischen Vorreitern und Nachzüglern erheblich vergrößern wird.
Cloud verändern die Verkehrsmuster. Da cloud Anwendungen den Großteil des Unternehmensverkehrs generieren, müssen NDR-Lösungen über den Einsatz lokaler Sensoren hinaus weiterentwickelt werden. Es ist mit weiteren Investitionen in cloud Integration und SaaS-basierte Analysefunktionen zu rechnen.
Die Korrelation zwischen Identität und Netzwerk stellt die nächste Herausforderung für die Erkennung dar. Da 88 % aller Sicherheitsverletzungen mit kompromittierten Anmeldedaten einhergehen, ermöglicht die Verknüpfung des Netzwerkverhaltens mit dem Identitätskontext die Erkennung des Missbrauchs legitimer Anmeldedaten, den keines der beiden Tools allein erkennen kann. Lösungen wie die Erkennung und Reaktion auf Identitätsbedrohungen gehen auf diese Konvergenz ein.
Die Ausweitung der Regulierung über NIS2 und DORA hinaus wird die Einführung von NDR aufgrund von Compliance-Anforderungen vorantreiben. Unternehmen sollten die anstehenden Vorschriften in ihren jeweiligen Rechtsgebieten verfolgen und sicherstellen, dass die NDR-Funktionen den Überwachungsanforderungen entsprechen.
Der Konsolidierungsdruck wird kleinere NDR-Anbieter vom Markt verdrängen. Der erste Gartner Magic Quadrant hat klare Marktführer identifiziert, und Akteure der zweiten Reihe verlassen bereits den Markt. Unternehmen sollten die Zukunftsfähigkeit der Anbieter und die Roadmaps für die XDR-Interoperabilität bewerten, um ihre Investitionen zukunftssicher zu machen.
Die Investitionsprioritäten sollten sich auf KI-native Plattformen mit nachgewiesener Erkennungswirksamkeit, cloud , die der Ausrichtung der Infrastruktur entspricht, und Integrationsfunktionen konzentrieren, die bestehende Sicherheitsabläufe verbessern, anstatt parallele Arbeitsabläufe zu schaffen.
Network Detection and Response (NDR) ist eine Cybersicherheitstechnologie, die den Netzwerkverkehr überwacht, um mithilfe von Verhaltensanalysen und maschinellem Lernen Bedrohungen zu erkennen und darauf zu reagieren. Im Gegensatz zu signaturbasierten Tools, die nur bekannte Bedrohungen erkennen, legt NDR Basiswerte für normales Netzwerkverhalten fest und identifiziert Abweichungen, die auf potenzielle Angriffe hinweisen. Dieser Ansatz erkennt neue Bedrohungen, verschlüsselten bösartigen Datenverkehr und Angreifer, die legitime Anmeldedaten verwenden. NDR-Tools analysieren sowohl den Nord-Süd-Verkehr (zu und von externen Netzwerken) als auch den Ost-West-Verkehr (zwischen internen Systemen) und bieten damit eine Transparenz, die endpoint nicht erreichen können. Die Technologie umfasst Reaktionsfunktionen – automatische Blockierung, Host-Isolierung und Integration mit SOAR-Plattformen –, die eine schnelle Eindämmung ermöglichen, wenn Bedrohungen erkannt werden.
NDR überwacht den Netzwerkverkehr mithilfe von Verhaltensanalysen auf Bedrohungen, während EDR endpoint , Dateien und Registrierungsaktivitäten überwacht. NDR wird agentenlos über Netzwerk-TAPs und SPAN-Ports bereitgestellt und bietet Einblick in laterale Bewegungen, verschlüsselten Datenverkehr und Geräte, auf denen keine Agenten ausgeführt werden können (IoT, OT, Legacy-Systeme). EDR erfordert die Installation von Agenten auf jedem endpoint liefert endpoint detaillierte forensische Informationen über malware und Dateiaktivitäten. Die Tools decken unterschiedliche Sichtbarkeitsbereiche ab: EDR kann den Netzwerkverkehr zwischen Systemen nicht sehen, während NDR nicht sehen kann, welche Prozesse auf Endpunkten ausgeführt werden. Die meisten Sicherheitsteams setzen beide als Teil der SOC-Sichtbarkeitstriade ein und erreichen so eine tiefgreifende Verteidigung, bei der NDR netzwerkbasierte Angriffe und EDR endpoint malware abfängt.
NDR analysiert verschlüsselten Datenverkehr ohne Entschlüsselung mithilfe von Metadaten und Verhaltensanalysetechniken. JA3/JA3S-Fingerprinting erstellt eindeutige Identifikatoren aus TLS-Handshake-Parametern und ermöglicht so die Identifizierung bestimmter Anwendungen und bekannter malware unabhängig von der Verschlüsselung. DNS-Korrelation ordnet verschlüsselte Verbindungen ihren aufgelösten Domänen zu und deckt so die Kommunikation mit verdächtigen Infrastrukturen auf. Die Traffic-Timing-Analyse untersucht Beacon-Intervalle, Sitzungsdauern und Paketkadenz – Muster, die auch bei Verschlüsselung bestehen bleiben und automatisierte Befehls- und Kontrollframeworks aufdecken. Die Überprüfung von Zertifikatsmetadaten identifiziert verdächtige Attribute wie selbstsignierte Zertifikate, aktuelle Ausstellungsdaten oder anomale Betrefffelder. Kombiniert extrahieren diese Techniken umfangreiche Bedrohungsinformationen aus verschlüsselten Sitzungen, ohne dass eine kostspielige Entschlüsselungsinfrastruktur erforderlich ist.
NDR und SIEM ergänzen sich gegenseitig, anstatt miteinander zu konkurrieren. SIEM aggregiert Protokolle aus dem gesamten Unternehmen für Korrelationszwecke, Compliance-Berichte und langfristige Aufbewahrung – wesentliche Funktionen für Sicherheitsvorgänge und regulatorische Anforderungen. SIEM ist jedoch vollständig davon abhängig, was protokolliert wird. NDR schließt diese Sichtbarkeitslücken, indem es den tatsächlichen Netzwerkverkehr analysiert und Aktivitäten von Geräten erfasst, die keine Protokollierung unterstützen, sowie von nicht überwachten Systemen oder Angreifern, die die Protokollierung nach einer Kompromittierung deaktivieren. Der kombinierte Einsatz schafft eine leistungsstarke Korrelation: SIEM erkennt Authentifizierungsanomalien in Protokollen, während NDR die anschließende laterale Bewegung im Datenverkehr erkennt. Unternehmen setzen in der Regel beide ein, wobei NDR hochgradig zuverlässige Erkennungen an SIEM weiterleitet, um sie mit anderen Telemetriequellen zu korrelieren.
XDR integriert mehrere Erkennungsquellen – endpoint, Netzwerk-, cloud und Identitäts-Telemetrie – in eine einheitliche Plattform für domänenübergreifende Korrelation und Reaktion. NDR ist auf die Analyse des Netzwerkverkehrs spezialisiert und bietet einen detaillierten Einblick in Verkehrsmuster, verschlüsselte Kommunikation und laterale Bewegungen. NDR kann eigenständig oder als Komponente innerhalb von XDR-Architekturen betrieben werden. Für Unternehmen mit grundlegenden Anforderungen an die Netzwerktransparenz kann das integrierte NDR von XDR ausreichend sein. Unternehmen, die spezielle Netzwerkkenntnisse benötigen – komplexe Analyse verschlüsselter Daten, umfassende Ost-West-Überwachung oder OT/IoT-Transparenz – setzen häufig neben XDR auch dediziertes NDR ein. Für Teams mit begrenzten Ressourcen können Managed Detection and Response Services die internen Kapazitäten ergänzen. Der XDR-Markt wächst rasant (prognostiziert auf 30,86 Milliarden US-Dollar bis 2030), wobei viele NDR-Anbieter ihre Kapazitäten in Richtung XDR ausbauen und gleichzeitig ihre Netzwerkspezialisierung beibehalten.
NDR erkennt ransomware es Indikatoren für die Vorverschlüsselung während der Vorbereitungsphase des Angriffs identifiziert. Ransomware durchlaufen mehrere Phasen: erster Zugriff, Einrichtung von Befehls- und Kontrollstrukturen, laterale Bewegung zur Ausbreitung des Zugriffs, Eskalation von Berechtigungen, Datenstaging für die Exfiltration und schließlich die Verschlüsselung. NDR erkennt C2-Kommunikation anhand von Beaconing-Mustern und Verbindungen zu bösartigen Infrastrukturen. Es identifiziert laterale Bewegungen, wenn sich Angreifer mithilfe kompromittierter Anmeldedaten zwischen Systemen ausbreiten. Die Datenvorbereitung zeigt sich in ungewöhnlichen Verkehrsmustern – große interne Datenbewegungen, Verbindungen zu zuvor unberührten Dateiservern oder Verkehr zu ungewöhnlichen Zeiten. Durch die Erkennung dieser Vorbereitungsaktivitäten ermöglicht NDR eine Reaktion, bevor die Verschlüsselung beginnt. Sobald die Verschlüsselung beginnt, ist der Angriff bereits erfolgreich; der Wert von NDR liegt darin, frühere Phasen zu erkennen.
Zu den wichtigsten Funktionen von NDR gehören Verhaltensanalysen, die Basiswerte festlegen und anomale Aktivitäten erkennen, maschinelles Lernen, das Bedrohungen klassifiziert und gleichzeitig Fehlalarme reduziert, sowie die Analyse verschlüsselter Datenströme durch Metadatenprüfung und TLS-Fingerprinting. Die Überwachung des Ost-West-Datenverkehrs bietet Einblick in laterale Bewegungen, die von Perimeter-Tools übersehen werden. Automatisierte Reaktionsfunktionen ermöglichen die Isolierung von Hosts, die Blockierung von Verbindungen und die Integration mit SOAR-Playbooks. Die SIEM-Integration speist Erkennungen in umfassendere Korrelations-Workflows ein. Die forensische Paketerfassung bewahrt Beweise für Untersuchungen und threat hunting. Die Unterstützung Cloud durch API-Integration erweitert die Transparenz über lokale Netzwerke hinaus. Die Analyse auf Protokollebene unterstützt die Transparenz spezifischer Anwendungsverhalten. Schließlich ermöglicht die Integration von Bedrohungsinformationen die Erkennung bekannter schädlicher Indikatoren neben Verhaltensanomalien.