Erklärung der Erkennung von Netzwerkabweichungen: Funktionsweise, Methoden und Grenzen

Die Erkennung von Netzwerkabweichungen ist das Verfahren, bei dem Abweichungen von einer erlernten Basislinie des normalen Netzwerkverhaltens identifiziert werden, um Bedrohungen aufzudecken, für die es keine bekannte Signatur gibt. Auch als „Network Behavior Anomaly Detection“ (NBAD) bezeichnet, beobachtet dieses Verfahren das tatsächliche Verhalten des Datenverkehrs – wer mit wem, wann, in welchem Umfang und über welche Protokolle kommuniziert –, anstatt Dateien mit einer Liste bekannter schädlicher Muster abzugleichen. Dieser Unterschied gewinnt von Jahr zu Jahr an Bedeutung. Die Mehrheit der Angriffe erfolgt mittlerweile malware und basiert auf gestohlenen Anmeldedaten sowie „Living-off-the-Land“-Techniken, die keine Dateien hinterlassen, die durch Signaturen erkannt werden könnten (Mandiant M-Trends 2026). Die Anomalieerkennung erfasst das Verhalten, nicht die Datei, weshalb sie zu einer Kerntechnik innerhalb der Netzwerküberwachung und -reaktion geworden ist. Dieser Leitfaden erläutert, was sie ist, wie sie von Anfang bis Ende funktioniert, welcher Erkennungsansatz zu welcher Umgebung passt, wie sie mit verschlüsseltem Datenverkehr umgeht und wo ihre tatsächlichen Grenzen liegen.

Was ist die Erkennung von Netzwerkabweichungen?

Die Erkennung von Netzwerkabweichungen ist eine Erkennungsmethode, die Abweichungen von einem erlernten Referenzwert für normales Netzwerkverhalten identifiziert, um Bedrohungen ohne bekannte Signatur aufzudecken. Es handelt sich dabei um eine Technik und nicht um eine Produktkategorie – eine Methode, Angriffe zu erkennen, indem das Verhalten des Netzwerks beobachtet wird, anstatt den Datenverkehr mit einer Datenbank bekannter Bedrohungen abzugleichen.

Sicherheitsteams begegnen diesem Konzept oft unter einem anderen Namen: Erkennung von Anomalien im Netzwerkverhalten (NBAD). Da beide Begriffe denselben Ansatz beschreiben, können sie als Synonyme betrachtet werden.

Der Grund dafür, dass dieser Ansatz in den Mittelpunkt moderner Verteidigungsstrategien gerückt ist, liegt in der Struktur selbst. Signaturbasierte Tools erkennen etwas, das sie bereits kennen – einen bekannten malware , eine bekannte Exploit-Zeichenkette, eine bekannte bösartige Domain. Die meisten Angriffe erfolgen heute jedoch malware; sie stützen sich auf gestohlene Anmeldedaten, legitime Administrationstools und „Living-off-the-Land“-Techniken, die keine Dateien erzeugen und keine Signatur auslösen (Mandiant M-Trends 2026). Wenn sich ein Angreifer mit gültigen Anmeldedaten einloggt und integrierte Tools nutzt, gibt es nichts, womit eine Signatur abgeglichen werden könnte. Es gibt jedoch Verhaltensweisen, die beobachtet werden können.

Eine einfache Analogie hilft dabei. Stellen Sie sich eine Basislinie als einen Fingerabdruck des Normalzustands vor – ein erlerntes Profil darüber, wie sich jeder Benutzer, jedes Gerät und jedes Netzwerksegment normalerweise verhält. Wenn ein Konto, das bisher ausschließlich mit Marketing-Systemen in Berührung gekommen ist, plötzlich Datensätze aus der Lohnabrechnung abruft, löst dies zwar keinen Alarm aus, doch das Verhalten weicht eindeutig vom Üblichen ab. Genau diese kontextuelle Veränderung soll durch die Anomalieerkennung aufgedeckt werden. Es handelt sich um eine Form der Anomalieerkennung, die speziell auf den Netzwerkverkehr angewendet wird, und sie ist eine Erkennungstechnik innerhalb der umfassenderen Kategorie der Netzwerkerkennung und -reaktion, anstatt diese zu ersetzen.

So funktioniert die Erkennung von Netzwerkabweichungen

Im Kern läuft die Erkennung von Netzwerkabweichungen in einer kontinuierlichen, sich selbst aktualisierenden Schleife ab: Sie sammelt Telemetriedaten, ermittelt eine Basislinie, bewertet Abweichungen, reichert diese mit Kontextinformationen an und löst schließlich einen Alarm aus. Jede Phase speist die nächste, und die Basislinie passt sich fortlaufend an die Veränderungen im Netzwerk an. Hier ist der gesamte Ablauf:

1. Erfassen Sie Telemetriedaten aus Durchsatzprotokollen, Paketmetadaten und Logs.
2. Erstellen Sie für jedes Segment und jede Einheit eine Referenz für normales Verhalten.
3. Erfassen Sie Datenverkehr, der von diesem Referenzwert abweicht.
4. Verwandte Abweichungen über Hosts und Sitzungen hinweg miteinander in Zusammenhang bringen.
5. Ergänzen Sie die Daten um Informationen zu Identität, endpoint und Anwendungskontext.
6. Warnung bei Anomalien mit hoher Konfidenz und Triage der Daten.

Schritt 1 – Telemetriedaten erfassen. Das System erfasst Daten darüber, wie sich der Datenverkehr bewegt: Flussdatensätze wie NetFlow, sFlow und IPFIX (kompakte Zusammenfassungen darüber, wer mit wem verbunden war, wie lange und wie viele Daten übertragen wurden), Paket-Metadaten und Protokolle. Woher diese Daten stammen und wie vollständig sie die Umgebung abdecken, ist eine Voraussetzung für alle nachfolgenden Schritte. Deshalb wird Transparenz als eigene Disziplin behandelt – siehe Netzwerktransparenz für Details zu den Datenquellen, anstatt diese hier erneut aufzuführen.

Schritt 2 – Legen Sie eine Basislinie fest. Das System modelliert, wie „normal“ für jedes Segment, jedes Gerät und jede Entität aussieht. Basislinien können statisch (einmal festgelegte Schwellenwerte) oder adaptiv (kontinuierlich neu gelernt) sein, wobei die besseren Implementierungen adaptiv sind – sie berücksichtigen tägliche und wöchentliche Rhythmen, sodass ein Ansturm an Anmeldungen am Montagmorgen oder ein nächtlicher Backup-Job als normal erkannt und nicht als Angriff markiert wird. Ausgereifte Systeme nutzen zudem Multi-Granularität oder Mikro-Basiswerte, indem sie das Verhalten zunächst global und anschließend pro Segment, pro Gerät und pro Benutzer modellieren, sodass auch subtile, lokal begrenzte Abweichungen noch auffallen.

Schritt 3 – Bewertung von Abweichungen. Datenverkehr, der von der Basislinie abweicht, erhält einen Anomaliewert. Abweichungen zeigen sich gleichzeitig in mehreren Bereichen: Volumen (ungewöhnliche Datenmenge), Zeitpunkt (Aktivität zu einer ungewöhnlichen Uhrzeit), Vergleichsgruppe (ein Gerät, das sich anders verhält als andere Geräte derselben Art) und Protokoll (Auftreten eines unerwarteten Dienstes).

Schritt 4 – Korrelieren und anreichern. Eine einzelne ungewöhnliche Verbindung sagt für sich genommen selten viel aus. Das System korreliert verwandte Abweichungen und ergänzt sie um Identitäts-, endpoint und Anwendungskontext, sodass aus einer isolierten Anomalie ein interpretierbares Signal wird – eine konkrete Aussage darüber, was eine Entität gerade tut.

Schritt 5 – Alarmierung und Triage. Schließlich werden Anomalien mit hoher Zuverlässigkeit den Analysten gemeldet und in die nachfolgenden Reaktionsmaßnahmen einbezogen. Das Ziel besteht nicht darin, jede Abweichung zu melden, sondern diejenigen hervorzuheben, die die Aufmerksamkeit eines Menschen erfordern.

Eine praktische Erwartung, die man sich frühzeitig vor Augen halten sollte: Auf maschinellem Lernen basierende Systeme benötigen in der Regel etwa zwei bis vier Wochen mit normalem Datenverkehr, um eine verlässliche Basislinie zu ermitteln – ein Wert, der in der Branche häufig als allgemeine Implementierungsrichtlinie genannt wird. Beginnen Sie in diesem Zeitraum mit konservativen Schwellenwerten und verschärfen Sie diese dann, sobald sich das Modell ein klareres Bild von der Normalität macht.

‍

Prozessdiagramm (beschrieben): Ein von links nach rechts verlaufender Ablauf aus fünf beschrifteten Knoten, die durch Richtungspfeile verbunden sind – „Telemetrie (Datenfluss, Paket-Metadaten, Protokolle)“ speist „Baseline (pro Segment, Gerät, Entität)“, die wiederum „Bewertung (Volumen, Zeitpunkt, Peer, Protokoll)“ speist, die wiederum „Korrelieren und Anreichern (Identität, endpoint, App-Kontext)“ speist, was schließlich zu „Alarmierung und Triage“ führt. Ein gestrichelter Rückkopplungspfeil führt von „Alarm und Triage“ zurück zu „Baseline“ und zeigt, dass die Entscheidungen der Analysten das Modell neu trainieren. Abbildung 1. T

Arten von Netzwerkabweichungen

Anomalien lassen sich in einige wenige, fest etablierte Klassen einteilen, und ihr Verständnis hilft dabei, sowohl zu erklären, wonach ein Detektor sucht, als auch warum er manchmal Fehler macht. Das gängigste Rahmenkonzept übernimmt drei Kategorien aus der Datenwissenschaft.

• Punktuelle Anomalien – eine einzelne Beobachtung, die für sich genommen ungewöhnlich ist, beispielsweise wenn ein Host plötzlich 50 GB Daten aus dem Netzwerk sendet, obwohl er normalerweise nur wenige Megabyte überträgt.
• Kontextbezogene Anomalien – Verhaltensweisen, die in einem Kontext normal, in einem anderen jedoch ungewöhnlich sind, wie beispielsweise eine Datenbanksicherung, die um 2 Uhr morgens Routine ist, um 14 Uhr jedoch verdächtig erscheint.
• Kollektive Anomalien – eine Abfolge von Ereignissen, die für sich genommen unauffällig sind, in ihrer Gesamtheit jedoch auf ein Problem hindeuten, wie beispielsweise ein langsamer, methodischer Scan, der alle paar Minuten einen neuen Host abtastet.

Neben dieser statistischen Klassifizierung verwenden Fachleute ein eher praxisorientiertes Vokabular, das nach den jeweiligen Veränderungen gegliedert ist: Volumenanomalien (ungewöhnliche Datenmengen), zeitbasierte Anomalien (Aktivitäten zu unerwarteten Zeiten), Protokollanomalien (das Auftreten eines unerwarteten Dienstes oder Protokolls) und Verhaltensanomalien (eine Entität, die sich anders verhält als gewöhnlich oder als ihre Peers). Eine Protokollanomalie lässt sich leicht veranschaulichen: Wenn plötzlich verschlüsseltes DNS über HTTPS (DoH) von einem Host auftritt, der es noch nie verwendet hat, lohnt es sich, dieses neu auftauchende Protokoll genauer unter die Lupe zu nehmen, auch wenn es an sich nichts Bösartiges an sich hat.

Was die Klassifizierung von Anomalien jedoch wirklich umsetzbar macht, ist die Richtung. Nord-Süd-Anomalien betreffen Datenverkehr, der die Netzwerkgrenze überquert – eingehender und ausgehender Datenverkehr – und deuten oft auf Command-and-Control-Aktivitäten oder Datenexfiltration hin. Ost-West-Anomalien betreffen internen Host-zu-Host-Verkehr und deuten oft auf laterale Bewegungen hin, wenn sich ein Angreifer von einem ersten Einfallstor aus weiter ausbreitet. Die Zuordnung jeder Anomalie zu einer Richtung beginnt aufzudecken, was ein Angreifer tatsächlich zu tun versucht – eine Zuordnung, die vollständig im Abschnitt „In der Praxis“ weiter unten behandelt wird. Abweichungen in Bezug auf Volumen und Zeitpunkte sind auch der Bereich, in dem sich diese Disziplin mit der allgemeineren Netzwerkverkehrsanalyse überschneidet, die dieselben Datenströme auf Leistung und Sicherheitsaspekte hin untersucht.

Erkennungsansätze: Statistik vs. maschinelles Lernen vs. Deep Learning

Gerade bei der Wahl des Erkennungsansatzes wird es in den meisten Anleitungen still – die Anbieter listen zwar die Techniken auf, sagen Ihnen aber selten, welche Sie wählen sollten. Die ehrliche Antwort lautet: Die richtige Wahl hängt von vier Faktoren ab: ob Sie über gekennzeichnete Vorfalldaten verfügen, wie saisonabhängig Ihr Datenverkehr ist, inwieweit Sie erklären müssen, warum ein Alarm ausgelöst wurde, und wie viele Fehlalarme Ihr Team verkraften kann. Auf diesem Spektrum lassen sich vier Methodengruppen unterscheiden.

Statistische und Schwellenwertverfahren vergleichen den Live-Datenverkehr mit festen oder gleitenden statistischen Grenzwerten. Sie sind schnell, nachvollziehbar und eignen sich gut für stabile, gut bekannte Muster, doch statische Schwellenwerte führen zu Fehlalarmen, sobald sich der legitime Datenverkehr verändert. Unüberwachtes maschinelles Lernen – Clustering und Algorithmen wie Isolation Forest – lernt Strukturen aus unbeschrifteten Daten, wodurch es besonders gut darin ist, neue Bedrohungen zu erkennen, die noch niemand klassifiziert hat, allerdings auf Kosten einer hohen Feinabstimmungsanfälligkeit. Überwachtes maschinelles Lernen trainiert anhand gekennzeichneter Beispiele für bekanntes schädliches Verhalten und ist bei diesen bekannten Klassen präzise, erkennt jedoch nichts, was ihm nie gezeigt wurde. Halbüberwachte und Deep-Learning-Methoden – Autoencoder und LSTM-Modelle für Zeitreihendaten – erfassen zeitliche und saisonale Strukturen, die einfachere Methoden übersehen, sind jedoch datenintensiv und rechenaufwendig.

Tabelle 1. Auswahl eines Ansatzes zur Erkennung von Netzwerkabweichungen anhand von Datenverfügbarkeit, Eignung und Falsch-Positiv-Verhalten. Alt-Text: Vierzeilige Vergleichstabelle, in der statistische, unüberwachte ML-, überwachte ML- und Deep-Learning-Ansätze ihren Datenanforderungen, idealen Anwendungsfällen und Fehlalarmmerkmalen zugeordnet werden.

In der Praxis sind die leistungsstärksten Systeme Hybride, die statistische Methoden mit maschinellem Lernen kombinieren: Dabei werden schnelle statistische Prüfungen eingesetzt, um offensichtliche Abweichungen zu erkennen, und maschinelles Lernen, um subtilere Abweichungen aufzuspüren. Die Forschungsfront hat sich zudem weit über die klassischen Benchmark-Datensätze im KDD-Stil hinaus in Richtung graphischer neuronaler Netze und selbstüberwachtem Training verschoben, die eher aus Beziehungen und Metadaten als aus beschrifteten Nutzdaten lernen (ML-basierte Erkennung von Netzwerkabweichungen, MDPI, 2024). Diese Richtung ist nicht nur akademischer Natur: Peer-Review-Arbeiten zur Ost-West-Erkennung haben gezeigt, dass graphbasierte Modelle die Genauigkeit verbessern und gleichzeitig die Betriebskosten senken (NetVigil, NSDI 2024).

Zwei häufig gestellte Vergleichsfragen verdienen an dieser Stelle kurze, direkte Antworten. Bei der Erkennung auf Basis von Anomalien und der Erkennung auf Basis von Signaturen handelt es sich nicht um eine Entweder-oder-Entscheidung – sie ergänzen sich, wobei Signaturen bekannte Muster erfassen und die Anomalieerkennung neue Muster abdeckt. Und der Vergleich zwischen Anomalieerkennung und einem Intrusion Detection System (IDS) ist eher eine Frage der Kategorie als der Methodik, da ein IDS selbst auf Signaturen oder Anomalien basieren kann. Die tiefergehenden Analysen, die die Modellierung von Entitäten und Peer-Gruppen ermöglichen, fallen unter die Verhaltensanalyse, und Produktvergleiche gehören eher zu den Tools zur Erkennung von Netzwerk-Anomalien als auf diese Methodik-Seite.

Erkennung von Anomalien im verschlüsselten Datenverkehr

Ein berechtigter Einwand gegen die Netzwerküberwachung lautet, dass der Großteil des Datenverkehrs mittlerweile verschlüsselt ist – was bleibt da noch zu überprüfen? Das ist ein echtes Problem. Eine Branchenanalyse zum verschlüsselten Datenverkehr aus dem Jahr 2024 ergab, dass die meisten Bedrohungen mittlerweile über verschlüsselte Kanäle übertragen werden, und TLS 1.3 mit „Encrypted Client Hello“ (ECH) schränkt die ohnehin schon geringe Sichtbarkeit der Nutzdaten weiter ein (unabhängige Medienberichte). Die gute Nachricht ist, dass die Erkennung von Anomalien nicht vom Auslesen der Nutzdaten abhängt.

Auch wenn der Inhalt verschlüsselt ist, bleibt das Problem bestehen. Mehrere Signale überstehen die Verschlüsselung und bleiben vollständig lesbar:

• Datenverkehrsprotokolle – wer mit wem verbunden war, wie lange und wie viele Daten in welche Richtung übertragen wurden.
• Paketgröße und Timing – der Rhythmus und die Struktur einer Kommunikation, die sich bei einer Dateiübertragung, einem Videostream und einem automatisierten Rückruf unterscheiden.
• SNI und Zertifikatsmetadaten – die ausgehandelten Ziel- und Zertifikatsdaten, die ausgetauscht werden, bevor die Verschlüsselung vollständig aktiviert wird.
• Beaconing-Kadenz – die regelmäßigen, periodischen Rückrufe, die ein kompromittierter Host an seinen Controller sendet und die sich als verdächtige Periodizität bemerkbar machen, selbst wenn jedes Paket verschlüsselt ist.

Genau hier sind Anomalie-Methoden Signatur-basierten Methoden überlegen. Eine Signatur benötigt eine übereinstimmende Nutzlast, und eine solche gibt es nicht. Aber das Verhalten – ein ungewöhnliches Verhältnis des ausgehenden Datenvolumens, ein zu regelmäßiger Heartbeat, eine Verbindung zur falschen Tageszeit – weicht dennoch von der Basislinie ab. Beaconing ist das deutlichste Beispiel: Ein Host, der alle 60 Sekunden mit nahezu identischen Sitzungsgrößen nach Hause telefoniert, stellt eine Periodizitätsanomalie dar, die direkt auf Command-and-Control auf Anwendungsebene (MITRE T1071) hinweist und ohne Entschlüsselung auch nur eines Bytes erkennbar ist. Das Auswerten dieser Metadatensignale in großem Maßstab hängt von der Erfassung der richtigen Telemetriedaten ab, was in den Bereich der Netzwerktransparenz fällt; die damit verbundenen Herausforderungen bei der Analyse von verschlüsseltem Datenverkehr unter TLS 1.3 sind in der wissenschaftlichen Literatur gut dokumentiert (Übersicht zur Analyse von verschlüsseltem Datenverkehr unter TLS 1.3, 2024).

Erkennung von Netzwerkabweichungen in der Praxis

Anomalieklassen erweisen sich in dem Moment als nützlich, in dem sie sich dem Verhalten von Angreifern zuordnen lassen. Anomalien beim Nord-Süd-Datenausgang und beim Datenvolumen auf einer bestehenden Verbindung deuten darauf hin, dass Daten über einen bestehenden Command-and-Control-Kanal übertragen werden. Die Häufigkeit von Beacon-Signalen weist auf C2 auf Anwendungsebene hin. Ein RDP-Fan-out in Ost-West-Richtung – wenn ein interner Host plötzlich Remote-Desktop-Sitzungen zu vielen anderen Hosts öffnet – deutet auf laterale Bewegung hin. Die folgende Tabelle veranschaulicht diese Zuordnungen anhand MITRE ATT&CK .

Tabelle 2. Zuordnung gängiger Arten von Netzwerkanomalien zu Angreiferverhalten und MITRE ATT&CK , jeweils mit einem Erkennungsansatz. Alt-Text: Dreizeilige Tabelle, die Anomalien bei ausgehendem Datenvolumen, Beaconing und internem RDP mit ihrer Verkehrsrichtung, der MITRE-Technik-Kennung und einem entsprechenden Erkennungsansatz verknüpft.

Zwei reale Fälle veranschaulichen das Tempo, mit dem diese Anomalien auftreten. Am langsameren Ende des Spektrums drangen die Angreifer beim Hackerangriff auf Change Healthcare (Februar 2024) über ein Portal ohne Multi-Faktor-Authentifizierung ein und bewegten sich dann etwa neun Tage lang lateral, bevor sie ransomware auslösten ransomware Zeitleiste des Cyberangriffs auf Change Healthcare, MSSP Alert). Dieses neuntägige Zeitfenster – neue Anmeldedaten, ungewöhnlicher interner Zugriff, abnormale Zugriffe auf sensible Systeme – ist genau die Art von Signal, die durch Anomalieerkennung aufgedeckt werden soll, bevor die Verschlüsselung einsetzt. Am schnellen Ende der Skala dauerte eine ransomware , die einen ungeschützten VPN-Zugang ausnutzte, vom ersten Login bis zur Verschlüsselung vier Stunden oder weniger (Akira–SonicWall unter vier Stunden, Help Net Security). Die dahinterstehende Akira-Operation hat seit März 2023 mehr als 250 Organisationen kompromittiert und bis September 2025 rund 244 Millionen US-Dollar an Lösegeld eingenommen (gemeinsame CISA-FBI-Warnung, aktualisiert im November 2025), und die Ausnutzung offener Edge-Geräte hält weiterhin an (SecurityWeek).

Der allgemeine Trend geht in Richtung Beschleunigung. Untersuchungen von Unit 42 ergaben, dass das schnellste Quartil der Angriffe im Jahr 2025 innerhalb von etwa 72 Minuten zum Datendiebstahl führt – ein deutlicher Rückgang gegenüber fast fünf Stunden im Vorjahr (neutrale Berichterstattung, TechHQ). Edge- und VPN-Geräte haben sich als bevorzugtes Ziel für den Erstzugang etabliert, und die darauf folgenden Aktivitäten nach der Ausnutzung – internes Scannen, Tunneling, Exfiltration – sind im Netzwerk erkennbar, selbst wenn der ursprüngliche Exploit verschlüsselt oder dateilos ist (CISA ED 25-03). Die Zuordnung dieser Muster zum Verhalten von Entitäten ist Aufgabe der verhaltensbasierten Bedrohungserkennung, während die Dimension der Identität und der Peer-Gruppe in den Bereich der User and Entity Behavior Analytics (UEBA) fällt. Dieselbe Logik der Basiswertbestimmung erstreckt sich auch auf die Bereiche IoT und Betriebstechnologie, wo das Geräteverhalten oft vorhersehbarer ist und Abweichungen deutlich hervortreten.

Erkennung und Vermeidung von Fehlalarmen

Falsch-Positive gelten als die am häufigsten genannte Schwäche der Anomalieerkennung, und das aus gutem Grund: Ein überempfindliches System kann täglich Hunderte von Fehlalarmen auslösen, was dazu führt, dass ein Team lernt, Warnmeldungen gänzlich zu ignorieren. Für ein kleines, vielseitig einsetzbares Sicherheitsteam ist ein Detektor, der zu viele Fehlalarme auslöst, schlimmer als gar kein Detektor. Die Feinabstimmung ist daher kein nachträglicher Einfall – sie ist die eigentliche Arbeit. Ein praktischer Arbeitsablauf sieht wie folgt aus:

1. Legen Sie das Referenzfenster bewusst fest. Geben Sie dem Modell die etwa zwei bis vier Wochen mit normalem Datenverkehr, die es benötigt, bevor Sie seinem Bild der Normalität vertrauen.
2. Fangen Sie konservativ an und verschärfen Sie die Kriterien dann nach und nach. Beginnen Sie mit großzügigeren Schwellenwerten, um am ersten Tag nicht in einer Flut von Benachrichtigungen unterzugehen, und verschärfen Sie diese dann, sobald Sie mehr Sicherheit gewonnen haben.
3. Nutzen Sie mehrstufige Granularität und Benchmarking mit Vergleichsgruppen. Vergleichen Sie jede Einheit sowohl mit ihrer eigenen Historie als auch mit ihren Vergleichsgruppen, damit die Eigenheiten eines einzelnen Geräts nicht als Auslöser für die gesamte Population gewertet werden.
4. Ergänzen Sie die Informationen um Kontextdaten. Fügen Sie Identitäts-, endpoint und Anwendungsdaten hinzu, damit harmlose Änderungen – wie eine Beförderung, die neue Zugriffsrechte gewährt, oder eine neu bereitgestellte Anwendung – nicht fälschlicherweise als Bedrohung eingestuft werden.
5. Schaffen Sie Rückkopplungsschleifen. Führen Sie die Einschätzungen der Analysten wieder in das Modell ein, damit jedes richtige und falsche Urteil die nächste Entscheidung präzisiert.

Der zugrunde liegende Konflikt besteht im Abwägen zwischen Präzision und Erfassungsrate. Wer die Schwellenwerte verschärft, erhöht zwar die Präzision (weniger Fehlalarme), riskiert aber eine Verringerung der Erfassungsrate (Übersehen echter Ereignisse); wer sie lockert, erzielt das Gegenteil. Das Ziel besteht nicht darin, jedes Fehlalarm zu eliminieren, sondern das Alarmvolumen so gering zu halten, dass ein kleines Team jeden auftretenden Alarm prüfen kann. Die Unterscheidung zwischen einer echten Bedrohung und einem Mitarbeiter, der lediglich seine Rolle gewechselt hat, ist die zentrale Herausforderung bei der Festlegung von Basiswerten, und die Peer-Group- und Entitätsmodellierung, die diese löst, wird im Rahmen der Verhaltensanalyse ausführlich behandelt.

Präzision vs. Erfassungsrate: Eine höhere Präzision bedeutet weniger Fehlalarme, aber ein höheres Risiko, ein tatsächliches Ereignis zu übersehen; eine höhere Erfassungsrate bedeutet, dass mehr tatsächliche Ereignisse erfasst werden, allerdings auf Kosten von mehr Störsignalen. Streben Sie ein Gleichgewicht an, das Ihr Team auch personell bewältigen kann.

Grundlagen zu Normen und Compliance

Für regulierte Organisationen lässt sich die Erkennung von Netzwerkabweichungen nahtlos in anerkannte Rahmenwerke einordnen. Die „Detect“-Funktion des NIST Cybersecurity Framework (CSF) 2.0 benennt dies direkt: DE.CM umfasst die kontinuierliche Überwachung von Netzwerken zur Erkennung von Vorfällen, und DE.AE umfasst die Analyse von Vorfällen, die auf den Ergebnissen der Anomalieerkennung aufbaut (NIST Cybersecurity Framework). Grundlegende Leitlinien reichen noch weiter zurück. NIST SP 800-94 definiert die anomaliebasierte Erkennung anhand statischer versus dynamischer Profile normalen Verhaltens und weist offen auf eine zentrale Einschränkung hin – Analysten fällt es oft schwer, festzustellen, warum ein Alarm ausgelöst wurde (NIST SP 800-94, 2007 final). Ein wichtiger Hinweis: Die geplante Überarbeitung, SP 800-94 Rev. 1, wurde am 15.07.2022 zurückgezogen, anstatt finalisiert zu werden, sodass die Ausgabe von 2007 weiterhin als Standard dient, während das NIST auf bevorstehende Ersatzrichtlinien für IDS/IPS hingewiesen hat. Die Anomalieerkennung ist eine fundierte Komponente innerhalb der umfassenderen Disziplin der Netzwerksicherheit.

Einschränkungen bei der Erkennung von Netzwerkabweichungen

Eine glaubwürdige Darstellung der Anomalieerkennung muss auch aufzeigen, was sie nicht leisten kann. Sie ist nur eine von vielen Maßnahmen, kein Allheilmittel, und der Ansatz weist von Natur aus einige Einschränkungen auf:

• Angriffe ohne Anomalien schlüpfen durch die Maschen. Ein Angriff, der normales Verhalten sehr genau nachahmt, weicht möglicherweise nie so stark davon ab, dass er erkannt wird, und was keine Anomalie hervorruft, löst auch keinen Alarm aus.
• Konzeptverschiebung. Netzwerke verändern sich ständig – neue Apps, neue Nutzer, neue Architekturen – und eine Referenzbasis, die nicht kontinuierlich neu gelernt wird, veraltet und verliert an Genauigkeit.
• Basisvergiftung. Ein Angreifer, der sich als Patient ausgibt, kann böswilliges Verhalten so langsam einschleusen, dass das Modell lernt, es als normal einzustufen.
• Umgehung durch gezielte Manipulation. Modelle können getestet und ausgenutzt werden, indem der Datenverkehr bewusst so gestaltet wird, dass er unter den Bewertungsschwellenwerten bleibt.
• Schwierigkeiten bei der Validierung. Wie in NIST SP 800-94 festgestellt wird, ist es tatsächlich schwierig, festzustellen, warum ein auf Anomalien basierender Alarm ausgelöst wurde, und zu bestätigen, dass es sich nicht um einen Fehlalarm handelt (NIST SP 800-94, endgültige Fassung 2007).

All dies spricht nicht gegen die Erkennung von Anomalien – es spricht vielmehr dafür, sie richtig einzusetzen. Die Methodik ergänzt signaturbasierte Systeme (Wikipedia: Erkennung von Anomalien im Netzwerkverhalten), anstatt sie zu ersetzen, und entfaltet ihren größten Nutzen als gut abgestimmte Komponente innerhalb einer mehrschichtigen Strategie zur Erkennung und Reaktion im Netzwerk und nicht als eigenständige Verteidigungsmaßnahme.

Moderne Ansätze zur Erkennung von Netzwerkabweichungen

Die Branche bewegt sich in Richtung von Modellen, die eher aus Beziehungen und Sequenzen lernen als aus beschrifteten Daten. Graph-Neuralnetzwerke modellieren das Netzwerk als ein Geflecht miteinander verbundener Entitäten, Transformer- und Sequenzmodelle erfassen, wie sich Verhalten im Zeitverlauf entwickelt, und selbstüberwachtes Training umgeht die Tatsache, dass Labels knapp und vergänglich sind – all dies wird zunehmend anhand moderner Benchmarks statt anhand veralteter Datensätze bewertet (ML-basierte Erkennung von Netzwerk-Anomalien, MDPI, 2024). Bei der Bewertung eines modernen Ansatzes sind die herstellerunabhängigen Merkmale, auf die man achten sollte, Echtzeit-Bewertung, Erklärbarkeit, Peer-Group- und Entitäts-Baselining, Abdeckung des verschlüsselten Datenverkehrs sowie geringer Aufwand für Analysten. Hier kommt auch der Unterschied zwischen einer Technik und einer Plattform zum Tragen: Anomalieerkennung ist ein Teilaspekt, während Netzwerkdetektion und -reaktion die umfassendere Kategorie ist, die diese zusammen mit anderen Erkennungs-, Untersuchungs- und Reaktionsmaßnahmen operationalisiert. Der gleiche Wandel ist im Bereich der KI-basierten Bedrohungserkennung im weiteren Sinne zu beobachten.

Wie Vectra AI die Erkennung von Netzwerkabweichungen Vectra AI

Vectra AI die Erkennung von Netzwerkabweichungen nicht als Endziel, sondern als einen Beitrag zu Attack Signal Intelligence™. Verhaltensbasierte Erkennungen werden automatisch sortiert, netzwerkweit zu Angriffsgraphen zusammengefügt und nach ihrer voraussichtlichen Auswirkung priorisiert, sodass ein Team mit begrenzten Ressourcen eine kurze Liste tatsächlich stattfindender Angriffe erhält und nicht mit einer Flut von rohen Anomalien konfrontiert wird. Das Leitprinzip lautet „Signal vor Rauschen“: Der Wert liegt nicht darin, jede Abweichung zu markieren, sondern darin, die aussagekräftigen Abweichungen in ein klares, priorisiertes Bild der Aktivitäten eines Angreifers umzuwandeln.

Künftige Trends und neue Überlegungen

Die Erkennung von Netzwerkabweichungen entwickelt sich parallel zu den Bedrohungen, die sie aufspürt, weiter, und die nächsten 12 bis 24 Monate lassen einige klare Tendenzen erkennen. An erster Stelle steht die Geschwindigkeit. Da die schnellsten Angriffe mittlerweile innerhalb von etwa einer Stunde zum Datendiebstahl führen (Untersuchung von Unit 42, TechHQ), verliert die Erkennung, die im Batch-Verfahren oder nachträglich erfolgt, an Bedeutung – Echtzeit-Bewertung wird zur Grundvoraussetzung. Gleichzeitig stieg die globale mittlere Verweildauer von 11 Tagen im Jahr 2024 auf 14 Tage im Jahr 2025 (Mandiant M-Trends 2026), was daran erinnert, dass viele Angriffe immer noch lange genug andauern, damit die Erkennung anhand des Verhaltens eine Rolle spielt. Das Spektrum von einem vier Stunden dauernden „Smash-and-Grab“-Angriff bis hin zu einer neuntägigen Verweildauer ist genau der Grund, warum die Verhaltenserkennung beide Extreme abdecken muss.

Die zweite Veränderung betrifft die Modelle selbst. Es ist mit einer anhaltenden Entwicklung hin zu graphischen neuronalen Netzen, Transformer-basierten Sequenzmodellen und selbstüberwachtem Training zu rechnen, das aus Metadaten und Beziehungen statt aus den wenigen verfügbaren Labels lernt – ein Ansatz, der durch peer-reviewte Ergebnisse bestätigt wurde, die eine höhere Genauigkeit bei geringeren Kosten belegen (NetVigil, NSDI 2024). Der dritte Bereich betrifft die Angriffsfläche. Edge- und VPN-Geräte sind zu einem primären Ziel für den Erstzugang geworden, und da Aktivitäten nach der Ausnutzung selbst dann im Netzwerk beobachtbar sind, wenn der Exploit verschlüsselt ist, stellt die Erkennung von Anomalien im internen und ausgehenden Datenverkehr eine natürliche Absicherung dar, wenn die Perimeter-Prävention versagt (CISA ED 25-03).

Schließlich stehen die Standards vor einer Überarbeitung. Da NIST SP 800-94 Rev. 1 zurückgezogen wurde, sollten Unternehmen auf die von NIST angekündigten neuen IDS/IPS-Leitlinien achten und ihre Programme in der Zwischenzeit auf die „Detect“-Kategorien des NIST CSF 2.0 stützen. Die praktische Erkenntnis für Teams, die Investitionen planen: Priorisieren Sie eine in Echtzeit funktionierende, erklärbare und metadatenfähige Erkennung mit geringem Aufwand für Analysten und betrachten Sie die Abdeckung verschlüsselten Datenverkehrs als eine Anforderung und nicht als ein „Nice-to-have“.

Schlussfolgerung

Die Erkennung von Netzwerkabweichungen hat sich in der modernen Cybersicherheit einen festen Platz erobert, da sie das aufspürt, was Signaturen nicht erkennen können – nämlich die malware, auf Anmeldedaten basierenden und auf vorhandenen Ressourcen zurückgreifenden Angriffe, die mittlerweile die Bedrohungslandschaft dominieren. Sie funktioniert, indem sie eine Basislinie des normalen Verhaltens erlernt, Abweichungen bewertet, diese mit Kontext anreichert und die relevanten Abweichungen aufzeigt. Sie funktioniert sogar dann, wenn der Datenverkehr verschlüsselt ist, da das Verhalten durch Metadaten sichtbar wird. Die Methodik ist keine Zauberei: Basislinien verschieben sich, können manipuliert werden und lassen Angriffe unentdeckt, die keine Anomalien erzeugen. Deshalb sind die richtige Wahl des Ansatzes und eine disziplinierte Feinabstimmung zur Vermeidung von Fehlalarmen so wichtig. Als eine gut abgestimmte Ebene innerhalb einer umfassenderen Strategie zur Netzwerkerkennung und -reaktion betrachtet – und auf Frameworks wie NIST CSF 2.0 basierend – verwandelt sie rohes Netzwerkverhalten in eine Frühwarnung, auf die ein Team mit begrenzten Ressourcen tatsächlich reagieren kann. Um zu sehen, wie anomaliebasierte Erkennungen zu priorisierten, untersuchbaren Signalen werden, erkunden Sie den Ansatz Vectra AI zur KI-basierten Bedrohungserkennung.

‍