Die Echtzeit-Bedrohungserkennung ist ein durch Geschwindigkeit definierter Aspekt der Bedrohungserkennung – siehe den entsprechenden Abschnitt für das grundlegende Konzept. Diese Seite konzentriert sich auf eine Frage, die kein Wettbewerber eindeutig beantwortet: Wie schnell ist „Echtzeit“ eigentlich? Die Echtzeit-Bedrohungserkennung ist das Verfahren, Bedrohungen zu identifizieren, sobald sie in einem kontinuierlichen Datenstrom auftreten, sodass Sicherheitsverantwortliche innerhalb von Sekunden statt Tagen reagieren können. Sie wird ausgelöst, sobald Ereignisse eintreten – nicht in regelmäßigen Abständen und nicht erst im Nachhinein. In diesem Leitfaden verwenden wir die beiden Schreibweisen „Echtzeit“- und „real time“-Bedrohungserkennung synonym. Die Antwort auf die Frage „Wie schnell?“ erweist sich als ein Spektrum, und die Position, die man darin einnimmt, entscheidet zunehmend darüber, ob aus einem Eindringen ein Sicherheitsvorfall wird. Je mehr sich die Geschwindigkeit der Angreifer dem „Nahe-Echtzeit“-Ende der kontinuierlichen Überwachung annähert, desto weniger ist Latenz nur noch ein „Nice-to-have“, sondern wird zum entscheidenden Unterscheidungsmerkmal.
Was versteht man unter Echtzeit-Bedrohungserkennung?
Die Echtzeit-Bedrohungserkennung ist ein Aspekt der Bedrohungserkennung, bei dem es vor allem auf Geschwindigkeit ankommt – grundlegende Informationen darüber, wie die Erkennung anhand von Signaturen, Verhaltensmustern und Analysen funktioniert, finden Sie unter der Rubrik „Grundlagen“. Auf dieser Seite wird ausschließlich die Latenz behandelt: wie schnell die Erkennung ausgelöst wird und warum diese Geschwindigkeit entscheidend ist.
Die Echtzeit-Bedrohungserkennung ist die kontinuierliche Identifizierung von Bedrohungen, sobald diese in einem Live-Datenstrom auftreten, sodass Sicherheitsverantwortliche innerhalb von Sekunden statt erst nach Tagen reagieren können. Dabei werden Ereignisse sofort nach ihrem Eintreten ausgewertet – sei es eine Anmeldung, der Start eines Prozesses oder ein Netzwerkdatenfluss –, anstatt darauf zu warten, dass ein planmäßiger Job die angesammelten Protokolle durchforstet. Genau dieser Unterschied macht den entscheidenden Unterschied aus.
In der Praxis bezeichnet „Echtzeit“ eine Erkennung, die bei einem kontinuierlichen Datenstrom in dem Moment ausgelöst wird, in dem Ereignisse eintreten, und nicht erst in regelmäßigen Abständen oder im Nachhinein. Ein Batch-Job, der alle 15 Minuten ausgeführt wird, kann eine Bedrohung immer erst mit 15-minütiger Verzögerung erkennen. Ein Stream-Prozessor, der jedes Ereignis unmittelbar nach seinem Eintreffen auswertet, kann dieselbe Bedrohung hingegen innerhalb von Sekunden aufdecken. Die von Ihnen gewählte Architektur legt eine Untergrenze dafür fest, wie schnell Sie überhaupt sein können – ein Punkt, auf den wir im Abschnitt „Streaming versus Batch“ noch einmal zurückkommen werden.
Diese kontinuierliche Bewertung basiert auf einer kontinuierlichen Überwachung. Die maßgebliche Referenz hierfür ist NIST SP 800-137, in der die kontinuierliche Überwachung der Informationssicherheit als fortlaufender Prozess „in Echtzeit oder nahezu in Echtzeit“ zur Beobachtung, Erkennung und Reaktion definiert wird. Die Echtzeit-Erkennung ist das, was diese Grundlage ermöglicht: die ständige Überprüfung, die einen Strom von Telemetriedaten in ein zeitnahes Signal umwandelt.
Die zentrale Frage, die dieser Leitfaden beantwortet, ist trügerisch einfach: Wie schnell ist „Echtzeit“? Anbieter verwenden diesen Begriff sehr locker. Manche meinen damit Inline-Blocking im Subsekundenbereich. Andere meinen damit Analysen, die ein oder zwei Minuten hinter dem Live-Datenstrom zurückliegen. Wieder andere wenden ihn auf Dashboards an, die alle paar Minuten aktualisiert werden. Das sind tatsächlich unterschiedliche Geschwindigkeiten, die für tatsächlich unterschiedliche Bedrohungen geeignet sind, und ihre Vermischung führt zu unvereinbaren Erwartungen und einer unpassenden Architektur.
Bevor Sie sich also für Tools entscheiden, sollten Sie definieren, was „Echtzeit“ für jede einzelne Entscheidung bedeuten muss. Sowohl eine Präventionskontrolle mit Line-Rate-Fähigkeit als auch eine nachträgliche Abfrage zur Bedrohungssuche haben ihre Berechtigung, befinden sich jedoch an entgegengesetzten Enden eines Latenzspektrums. Der nächste Abschnitt quantifiziert dieses Spektrum anhand konkreter Zeitgrenzen – das ist das Rückgrat dieses gesamten Leitfadens und der Rahmen, auf dem der Rest der Seite aufbaut. Behalten Sie beim Lesen einen Gedanken im Hinterkopf: Bei der Echtzeit-Erkennung geht es im Grunde genommen um Latenz und nicht nur um Abdeckung.
Wie schnell ist „Echtzeit“? Das Latenzspektrum
„Echtzeit“ ist keine einheitliche Geschwindigkeit – es handelt sich vielmehr um ein Spektrum, das von der Inline-Erkennung im Subsekundenbereich über Nah-Echtzeit-Analysen mit geringer Verzögerung bis hin zur nachträglichen Neuanalyse im Stunden- oder Tagesbereich reicht. Jede Stufe ist auf eine andere Art von Bedrohung zugeschnitten, und die richtige Zuordnung der Stufe zur jeweiligen Bedrohung ist wichtiger, als überall nach der niedrigstmöglichen Zahl zu streben.
Die maßgebliche Definition stammt vom Normungsgremium und nicht von einem Anbieter. NIST SP 800-137 beschreibt die kontinuierliche Überwachung als einen „Echtzeit- oder Nahe-Echtzeit“-Prozess – wobei die beiden Begriffe ausdrücklich als benachbarte Punkte auf demselben Kontinuum miteinander verknüpft werden, anstatt „Echtzeit“ als einen einzigen absoluten Begriff zu behandeln. Diese Formulierung bildet den Anker für das nachfolgende Spektrum.
Am schnellen Ende steht die eigentliche Echtzeit-Erkennung: eine Inline-Verarbeitung, die innerhalb von Bruchteilen einer Sekunde bis zu einigen Sekunden nach einem Ereignis anspringt. Am langsamen Ende steht die retrospektive Erkennung – die erneute Analyse historischer Daten mit aktualisierten Bedrohungsinformationen, um das aufzuspüren, was bei der Live-Erkennung übersehen wurde. Dazwischen liegt die Nahe-Echtzeit, bei der Analysen mit einer kurzen Verzögerung in der Größenordnung von 1–2 Minuten ausgeführt werden. Dieser Wert für die Nahe-Echtzeit dient der Veranschaulichung und ist produktunabhängig; betrachten Sie ihn als grobe Größenordnung und nicht als veröffentlichten Benchmark, und verstehen Sie ihn nicht als NIST-Wert. In wissenschaftlichen Arbeiten wurde eine Erkennung im Subsekundenbereich nachgewiesen, doch dabei handelt es sich um einen Richtwert und nicht um eine Garantie für den Einsatz.
Die folgende Tabelle veranschaulicht das Spektrum.
| Stufe |
Typische Latenz |
Wie es funktioniert |
Beispiel für eine besonders passende Bedrohung |
| Echtzeit (inline) |
Unter einer Sekunde bis Sekunden |
Ereignisse werden in einer Streaming-Pipeline in Echtzeit verarbeitet, wobei die Erkennungslogik mit Leitungsgeschwindigkeit angewendet wird. |
Ein gerade stattfindender Missbrauch von Anmeldedaten oder ein aktueller Exploit-Versuch, der vor der nächsten Aktion abgefangen werden muss |
| Nahezu in Echtzeit |
~1–2 Minuten (zur Veranschaulichung) |
Analytics-Regeln werden mit einer kurzen, kontinuierlichen Verzögerung hinter der Live-Telemetrie ausgeführt und nicht vollständig inline. |
Vorläufer seitlicher Bewegungen und anomale Verhaltensmuster, die sich über mehrere Ereignisse erstrecken |
| Rückblick (RetroHunt) |
Stunden bis Tage |
Historische Daten werden anhand aktualisierter Bedrohungsinformationen und neuer Indikatoren erneut analysiert. |
Langfristige Spionageaktivitäten, die einer Erkennung in Echtzeit entgangen waren, kamen erst ans Licht, nachdem neue Geheimdienstinformationen vorlagen |
Tabelle: Das Spektrum der Erkennungsverzögerungen, von der Inline-Echtzeit bis zur nachträglichen Neuanalyse.
Eine horizontale Zeitachse ist ebenfalls hilfreich: Stellen Sie sich vor, die Latenz nimmt von links nach rechts zu – von weniger als einer Sekunde über Sekunden bis hin zu etwa 1–2 Minuten und schließlich zu Stunden und Tagen –, wobei jede Stufe deutlich gekennzeichnet ist.
Der Bereich der retrospektiven Erkennung verdient besondere Beachtung, da er von den Teams am häufigsten vernachlässigt wird. Die retrospektive Erkennung, manchmal auch als „RetroHunt“ bezeichnet, wertet historische Telemetriedaten anhand neuer Indikatoren und aktualisierter Bedrohungsinformationen erneut aus. Auf diese Weise lassen sich langsame, heimliche Eindringversuche aufdecken, die bei der Echtzeit-Erkennung nie auffielen – weil das Verhalten zum damaligen Zeitpunkt harmlos erschien. Streaming-Erkennung und retrospektive Neuauswertung ergänzen sich, statt miteinander zu konkurrieren: Die eine erfasst schnelle Angriffe in Echtzeit, die andere deckt geduldige Angriffe im Nachhinein auf.
Informationen zu den Streaming-Mechanismen auf Netzwerkebene, die der Echtzeit-Ebene zugrunde liegen – also dazu, wie die Flussanalyse Anomalien beim Datenpaketverkehr aufdeckt –, finden Sie unter „Erkennung von Netzwerkanomalien“. Das Wesentliche hierbei ist das Spektrum selbst: Echtzeit umfasst Inline-Analysen im Subsekundenbereich, Nahe-Echtzeit-Analysen im Bereich von etwa 1–2 Minuten sowie retrospektive Analysen im Zeitrahmen von Stunden bis Tagen, wobei jede Ebene ihren Platz im Kampf gegen unterschiedliche Bedrohungen einnimmt.
Warum die Erkennungsverzögerung gerade jetzt eine Rolle spielt
Die Latenzzeit spielt eine entscheidende Rolle, da sich der Zeitrahmen für Angriffe und der für die Abwehr voneinander entfernt haben. Angreifer geben den ersten Zugriff mittlerweile im Median nach 22 Sekunden weiter – eine Verkürzung gegenüber mehr als acht Stunden im Jahr 2022 –, während ein Sicherheitsvorfall im Durchschnitt immer noch 241 Tage von Anfang bis Ende dauert. Wenn Angriffe im Sekundentakt erfolgen und die Abwehr in Monaten misst, entscheidet das Erkennungsfenster darüber, ob ein Sicherheitsvorfall erfolgreich abgewehrt wird oder nicht.
Die Daten zur Geschwindigkeit der Angreifer sind erschreckend. Laut den von Mandiant in „M-Trends 2026“ zusammengefassten Berichten zur Bedrohungslage sank die Medianzeit vom ersten Zugriff bis zur Übergabe im Jahr 2025 auf 22 Sekunden (Help Net Security). Separate Branchenberichte verzeichneten einen bisher schnellsten „Breakout“ von 27 Sekunden und einen durchschnittlichen „eCrime-Breakout“ von 29 Minuten – 65 % schneller als im Vorjahr –, wobei 82 % der Erkennungen malware waren (CyberScoop). Eine unabhängige Bestätigung stammt aus einer Untersuchung von Unit 42: Die schnellsten Angriffe erreichen die Datenexfiltration mittlerweile in etwa 72 Minuten – eine deutliche Verkürzung gegenüber den im Vorjahr verzeichneten fast fünf Stunden –, wie bei mehr als 750 Vorfällen beobachtet wurde (TechHQ). Der „Unit 42 2026 Global Incident Response Report“ stellt ferner fest, dass der Anteil der Angriffe, bei denen es innerhalb einer Stunde zum Datendiebstahl kommt, von 19 % auf 22 % gestiegen ist, wobei die Medianzeit bis zum Datendiebstahl bei etwa zwei Tagen liegt.
Nun zur „Defender Clock“. Data Breach „Cost of a Data Breach des Ponemon Institute gibt eine durchschnittliche Dauer des Lebenszyklus einer Datenschutzverletzung von 241 Tagen an – 158 Tage für die Erkennung plus 83 Tage für die Eindämmung –, was einem Neunjahres-Tief entspricht (Network World). Dieselbe Studie bezifferte die durchschnittlichen Kosten einer Datenschutzverletzung auf 4,44 Millionen US-Dollar, was einem Rückgang von 9 % entspricht (Morgan Lewis). Ein Fortschritt, ja. Aber 241 Tage im Vergleich zu einer Übergabezeit von 22 Sekunden sind ein katastrophales Missverhältnis.
Hier erfordern die Daten eine differenzierte Betrachtung – das „Dwell-Time-Paradoxon“. Obwohl Angriffe schneller beginnen, stieg die globale Median-Verweildauer im Jahr 2025 tatsächlich von 11 auf 14 Tage. Beide Tatsachen treffen gleichzeitig zu. Versteckte Cyberspionage treibt den Medianwert nach oben: Diese Kampagnen weisen einen Median von 122 Tagen auf, und die längsten BRICKSTORM-Fälle dauerten im Durchschnitt etwa 393 bis 400 Tage. Die Lage lässt sich also nicht einfach mit „alles ist schneller“ beschreiben. Schnelle eCrime-Angriffe und geduldige Spionage existieren nebeneinander, und eine Echtzeitstrategie muss beiden Rechnung tragen.
Die Konsequenz liegt auf der Hand: Wenn Angreifer innerhalb von 22 Sekunden die Kontrolle weitergeben und nach 29 Minuten ausbrechen, kann ein Erkennungsfenster, das sich über Tage erstreckt, nicht mithalten – und man muss frühzeitig eingreifen, noch bevor die Angreifer durch laterale Bewegung über das erste System hinaus vordringen. Nicht nur die Abdeckung, sondern vor allem die Latenz ist der entscheidende Faktor.
So funktioniert die Echtzeit-Erkennung: Streaming vs. Batch
Der mit Abstand wichtigste Faktor für die Erkennungsverzögerung ist architektonischer Natur – Streaming versus Batch-Verarbeitung. Beim Streaming werden Telemetriedaten kontinuierlich verarbeitet, sobald sie eintreffen, was eine sofortige Erkennung im Verlauf der Ereignisse ermöglicht. Bei der Batch-Verarbeitung werden Daten über einen bestimmten Zeitraum gesammelt und anschließend gebündelt verarbeitet, wodurch Batch-Verarbeitung naturgemäß mit einer höheren Latenz und einem retrospektiven Charakter verbunden ist. Es ist nicht möglich, einen Batch-Job durch Optimierung in Echtzeit auszuführen; das Modell selbst legt die Untergrenze fest.
Die meisten ausgereiften Pipelines entscheiden sich nicht ausschließlich für eines der beiden Modelle. Das dokumentierte Hybridmodell ist die Lambda-Architektur: ein Echtzeit-Streaming-Pfad für Unmittelbarkeit neben einem Batch-Pfad für Vollständigkeit und erneute Analyse. Der Streaming-Pfad macht die aktuelle Bedrohung sofort sichtbar; der Batch-Pfad gleicht den vollständigen historischen Datensatz ab und ermöglicht die retrospektive Suche nach Bedrohungen. In begutachteten Fachveröffentlichungen wurde berichtet, dass die Stream-Verarbeitung bei Workloads mit geringer Latenz bis zu 15-mal schneller läuft als die Micro-Batch-Verarbeitung – eine architektonische Erkenntnis aus dem Jahr 2022, die den anhaltenden Kompromiss zwischen den beiden Modellen widerspiegelt und kein zeitkritischer Benchmark ist (Wiley).
Geschwindigkeit allein reicht nicht aus – schnelle Warnmeldungen müssen auch umsetzbar sein. Das bedeutet, die Telemetriedaten bereits bei der Erfassung anzureichern: Ereignisse werden beim Eintreffen mit Informationen zum Asset-Kontext, zur Geolokalisierung, zur Identität, zu Bedrohungsinformationen und zu MITRE ATT&CK versehen. Signale mit hoher Priorität werden zur sofortigen Reaktion weitergeleitet; Daten mit geringerem Risiko fließen in die nachträgliche Analyse ein. Die Anreicherung ist das, was eine schnelle, aber nutzlose Warnmeldung von einer schnellen und entscheidenden unterscheidet. Verhaltensanalysen speisen diese Pipeline als einen von mehreren Inputs – wie die Erstellung von Verhaltens-Baselines als Disziplin funktioniert, siehe „Verhaltensbasierte Bedrohungserkennung“.
Betrachten wir einmal ein Beispiel auf konzeptioneller Ebene. T1059.001, PowerShell im Rahmen von MITRE ATT&CK Befehls- und Skript-Interpreter Technik (T1059, TA0002 Execution, Framework v17), war eine der am häufigsten beobachteten Techniken im Red Report 2026 und tauchte in 27 % der 1,1 Millionen analysierten malware auf (Picus). Ein Streaming-Detektor korreliert Ereignisse wie die Erstellung von Prozessen und die Protokollierung von Skriptblöcken in Echtzeit und erkennt so verdächtige Ausführungen bereits während sie stattfinden. Eine nachträgliche Überprüfung der Protokolle im Batch-Verfahren kann dieselbe Aktivität hingegen erst nach Ablauf des Zeitraums feststellen – zu diesem Zeitpunkt ist das Skript jedoch bereits ausgeführt worden. Genau diese Lücke ist der Grund, warum Streaming bei laufenden Ausführungen dem Batch-Verfahren überlegen ist.
Die folgende Tabelle fasst die architektonischen Kompromisse zusammen.
| Dimension |
Streaming |
Charge |
| Verarbeitungsmodell |
Ereignisse werden fortlaufend bei ihrem Eintreffen verarbeitet |
Gesammelte Daten, die nach einem festgelegten Zeitplan in großen Mengen verarbeitet werden |
| Typische Latenz |
Unter einer Sekunde bis Sekunden |
Minuten bis Stunden, begrenzt durch das Intervall |
| Am besten geeignet für |
Erkennung laufender Vorgänge und sofortige Reaktion |
Vollständigkeit, Korrelation und retrospektive Neuanalyse |
| Natürliche Körperhaltung |
Echtzeit |
Von vornherein retrospektiv |
Tabelle: Architektur für Streaming- und Batch-Erkennung.
Die Tools zur Erkennung decken verschiedene Kategorien ab – SIEM, EDR, Network Detection and Response (NDR) und XDR – und jede davon weist je nachdem, ob die Telemetriedaten im Streaming-Verfahren oder im Batch-Verfahren übertragen werden, eine unterschiedliche Latenzfläche auf. Auf dieser Seite werden diese Kategorien ausschließlich als Latenzflächen behandelt und nicht als Auswahlliste für Käufer; Produktvergleiche finden Sie unter „Software zur Erkennung von Bedrohungen“. Informationen zu den zugrunde liegenden Mechanismen des Streaming-Netzwerks finden Sie unter „Erkennung von Netzwerkanomalien“.
Inline-Erkennung vs. Out-of-Band-Erkennung
Nach der Entscheidung zwischen Streaming und Batch-Verarbeitung ist die zweite Designentscheidung hinsichtlich der Latenz die Art der Bereitstellung: Inline oder Out-of-Band. Die klassischen Bezugspunkte sind Intrusion-Detection- und Intrusion-Prevention-Systeme – IDS für die Erkennung, IPS für die Prävention –, und die Unterscheidung lässt sich direkt auf die Erkennungslatenz übertragen.
Die Inline-Erkennung nach dem IPS-Modell ist direkt in den Datenfluss eingebunden. Ihr Vorteil ist entscheidend: Sie kann einen bösartigen Datenfluss sofort blockieren. Ihre Einschränkung ist ebenso entscheidend: Sie muss jedes Paket mit Leitungsgeschwindigkeit verarbeiten, da sie sonst zu einem Engpass wird, der den legitimen Datenverkehr verzögert und einen potenziellen Single Point of Failure schafft. Die Präventionskraft geht also mit dem Druck einher, alle Pakete mit Leitungsgeschwindigkeit verarbeiten zu müssen.
Die Out-of-Band-Erkennung nach dem IDS-Modell nutzt einen passiven Feed von einem Netzwerk-TAP oder einem SPAN-Port. Da dabei eine Kopie des Datenverkehrs überprüft wird, entsteht keine zusätzliche Latenz im Live-Pfad und der Durchsatz wird nicht beeinträchtigt. Der Nachteil ist das genaue Gegenteil: Das System kann zwar Bedrohungen erkennen und Warnmeldungen ausgeben, aber nicht eigenständig blockieren. Die Transparenz ohne Latenz geht also auf Kosten der direkten Blockierfähigkeit.
Die folgende Tabelle gibt einen Überblick über die Auswahlmöglichkeiten.
| Dimension |
Inline (im IPS-Stil) |
Out-of-Band (im IDS-Stil) |
| Position |
Im Live-Datenpfad |
Passive Kopie über TAP oder SPAN |
| Kann man blockieren? |
Ja, kann schädlichen Datenverkehr blockieren |
Nein, nur Erkennung und Benachrichtigung |
| Zusätzliche Latenz |
Erhöht die Latenz; muss mit der Leitungsgeschwindigkeit Schritt halten |
Keine zusätzliche Latenz beim Live-Datenverkehr |
| Hauptrisiko |
Engpass und Single Point of Failure |
Kann einen Angriff nicht aus eigener Kraft abwehren |
Tabelle: Inline- vs. Out-of-Band-Erkennung und deren Auswirkungen auf die Latenz.
In einer ausgereiften Architektur schließen sich die beiden Modelle nicht gegenseitig aus, und die Out-of-Band-Methode weist eine besondere Stärke auf, die es wert ist, erwähnt zu werden. Die agentenlose Fluss- und Protokollanalyse kann jeden Datenfluss innerhalb von Millisekunden effektiv überprüfen, ohne sich in den Datenpfad einzuschalten, und so Vorläufer lateraler Bewegungen nahezu in Echtzeit und ohne Inline-Latenz erkennen. Das macht die Out-of-Band-Erkennung zu einer leistungsstarken Ergänzung mit geringer Latenz zur Inline-Prävention – Transparenz überall, Blockierung nur dort, wo sie benötigt wird.
Der Kompromiss zwischen Geschwindigkeit und Genauigkeit
Schneller ist nicht automatisch besser. Die harte Wahrheit bei der Echtzeit-Erkennung lautet: Je schneller man vorgeht, desto höher sind die Kosten jedes Fehlalarms – und das Ziel ist die richtige Latenz für jede einzelne Entscheidung, nicht eine möglichst geringe Latenz in allen Fällen. Ein Fehlalarm ist ärgerlich; eine falsche Sperrung bei Leitungsgeschwindigkeit verursacht echte betriebliche Kosten, da legitimer Datenverkehr verloren geht und das Vertrauen in das System untergraben wird.
Auch in der Erkennungslogik selbst besteht ein echter Zielkonflikt zwischen Genauigkeit und Latenz. Generell gilt: Die genauesten Analyseansätze weisen in der Regel die höchste Latenz auf, während die schnellsten Ansätze ein gewisses Maß an Genauigkeit zugunsten der Geschwindigkeit opfern. Dies ist ein konzeptioneller Konflikt, der bewältigt werden muss, und kein Problem, das sich mit einer einzigen Technik lösen lässt – und die zugrunde liegenden Methoden des maschinellen Lernens gehören zu einer separaten Disziplin. Wie KI-Modelle die Erkennung tatsächlich vorantreiben, erfahren Sie unter „KI-Bedrohungserkennung“; KI ist hier ein Geschwindigkeitsbeschleuniger, nicht das Thema.
Praktiker bewältigen diesen Zielkonflikt mithilfe einiger praktischer Hebel:
- Dynamische Schwellenwertbestimmung, bei der die Empfindlichkeit an den jeweiligen Kontext angepasst wird, anstatt überall einen statischen Schwellenwert anzuwenden.
- Selektive Automatisierung, bei der nur Signale mit hoher Zuverlässigkeit zur automatisierten Sperrung weitergeleitet werden, während Erkennungen mit geringerer Zuverlässigkeit zur Überprüfung durch einen Menschen weitergeleitet werden.
- Eine retrospektive Kombination aus schneller Streaming-Erkennung und langsamerer Nachanalyse, bei der Geschwindigkeit und Gründlichkeit sich gegenseitig ergänzen.
Der Zusammenhang mit der Alarmmüdigkeit ist direkt und unerbittlich. Eine höhere Geschwindigkeit ohne entsprechende Feinabstimmung verstärkt nicht das Signal – sie verstärkt das Rauschen. Eine Pipeline, die mehr Alarme früher auslöst, dabei aber die gleiche Falsch-Positiv-Rate aufweist, überfordert die Analysten einfach schneller. Geschwindigkeit ist nur dann von Wert, wenn sie mit Präzision einhergeht, weshalb „sofort und überall“ das falsche Ziel ist. Das richtige Ziel ist eine abgestimmte Latenz – schnell dort, wo eine schnelle Entscheidung sicher ist, bedächtig dort, wo Genauigkeit wichtiger ist.
Kennzahlen, Verweildauer und Echtzeit-Erkennung in der Praxis
Drei Latenzkennzahlen geben Aufschluss darüber, wie gut die Echtzeit-Erkennung funktioniert. MTTD (Mean Time to Detect) misst die durchschnittliche Zeit vom Eindringen bis zur Erkennung. MTTR (Mean Time to Respond) misst die durchschnittliche Zeit von der Erkennung bis zur Eindämmung. Die Verweildauer misst den Zeitraum vom ersten Zugriff eines Angreifers bis zum Zeitpunkt der Erkennung – der eindeutigste Indikator für die Erkennungslatenz in der Praxis.
Der zu übertreffende Richtwert ist eine globale mittlere Verweildauer von 14 Tagen im Jahr 2025, gegenüber 11 Tagen im Vorjahr (Mandiant M-Trends 2026). Wie bereits erwähnt, ist dieser Anstieg ein Paradoxon: Heimliche Spionage treibt den Median in die Höhe, während sich die Cyberkriminalität beschleunigt. Die MTTR gehört eher zur Reaktionsphase als zur Erkennung – betrachten Sie sie als Latenzkennzahl, doch für die Mechanismen der Reaktion siehe „Incident Response“ und den umfassenderen Lebenszyklus der Bedrohungserkennung, -untersuchung und -reaktion (TDIR).
| Metrisch |
Was es misst |
Benchmark 2026 |
| Verweildauer |
Zeit vom ersten Zugriff bis zur Erkennung |
14-Tage-Median weltweit (Anstieg von 11) |
| MTTD |
Zeit zwischen Kompromittierung und Erkennung |
Auf Minuten verkürzen, um der Ausbruchsgeschwindigkeit des Angreifers anzupassen |
| MTTR |
Zeit von der Erkennung bis zur Eindämmung |
Nur zur Information – die Antwortmechanismen gehören zu TDIR |
Tabelle: Latenzkennzahlen und Benchmarks für 2026.
Diese Kennzahlen werden in konkreten Anwendungsfällen erst richtig lebendig. Bei ransomware wird durch Echtzeit-Erkennung bereits frühe Vorläufer – Aufklärung, laterale Bewegung und Vorbereitung – erkannt, sodass Teams reagieren können, bevor die Payload zur Massenverschlüsselung ausgelöst wird. Bei der Abwehr von Kontoübernahmen werden Anmelderate, Abweichungen bei der Geräte-ID und Geolokalisierung zum Zeitpunkt der Anmeldung ausgewertet, wobei verdächtige Anmeldungen automatisch durch MFA überprüft werden. Bei der agentenlosen Netzwerküberwachung mit Line-Rate-Geschwindigkeit erkennen Out-of-Band-Flow-Analysen Vorläufer lateraler Bewegungen ohne Inline-Latenz. Im Finanzdienstleistungssektor – einem stark regulierten, hochwertigen Bereich, in dem dies von größter Bedeutung ist – verhindert die Echtzeit-Auswertung von Identitätssignalen, gestützt auf Threat-Intelligence-Tools, den Missbrauch von Anmeldedaten, noch bevor die Sitzung hergestellt wird.
Schließlich sollten Sie die Streaming-Erkennung mit einer nachträglichen Neuauswertung kombinieren. Die längsten BRICKSTORM-Spionagefälle wiesen im Durchschnitt eine Verweildauer von etwa 393 bis 400 Tagen auf – weit über das übliche 90-tägige Aufbewahrungsfenster für Protokolle hinaus (SecurityWeek). Ohne Protokollaufbewahrung und RetroHunt sind die Beweise bereits verschwunden, bevor die Bedrohung überhaupt erkannt wird.
Moderne Ansätze zur Echtzeit-Bedrohungserkennung
Die Branche tendiert zunehmend zu einer „Streaming-First“-Erkennung, die Netzwerk-, Identitäts- und cloud umfasst, wobei KI und Automatisierung als Kraftverstärker für schlanke Teams dienen. Die Richtung ist klar: Telemetriedaten sollen sofort nach ihrem Eintreffen verarbeitet, während der Verarbeitung angereichert und Batch-Verarbeitung nur zur Vervollständigung und erneuten Analyse vorbehalten werden.
KI ist der Faktor, der diesen Wandel beschleunigt. Unternehmen, die KI und Automatisierung in großem Umfang einsetzten, verkürzten den Lebenszyklus einer Datenschutzverletzung um rund 80 Tage und sparten im Durchschnitt etwa 1,9 Millionen US-Dollar ein ( Data Breach des Ponemon Institute zu den Kosten von Data Breach , berichtet von Network World). Das ist das wesentliche Argument für Automatisierung – und nicht übertriebene Behauptungen, es gehe „schneller“. Wie KI die Erkennung konkret durchführt, erfahren Sie unter „KI-basierte Bedrohungserkennung“; die Methoden werden hier nicht näher behandelt.
Latenz wird zunehmend zu einer Compliance-Anforderung und ist nicht mehr nur eine Effizienzkennzahl. Die DETECT-Funktion des NIST Cybersecurity Framework 2.0 – die Kategorien DE.CM (kontinuierliche Überwachung) und DE.AE (Analyse von Sicherheitsvorfällen) – definiert die rechtzeitige Erkennung als Kernkompetenz, und NIST SP 800-137 liefert den Anker „in Echtzeit oder nahezu in Echtzeit“. Die Regulierung verschärft die Fristen noch weiter: Die EU-NIS2-Richtlinie schreibt in Artikel 23 eine 24-Stunden-Frühwarnpflicht vor, und der britische „Cyber Security and Resilience Bill“ sieht ein vergleichbares Modell vor, das eine 24-Stunden-Frühwarnung sowie einen vollständigen Bericht innerhalb von 72 Stunden vorsieht – allerdings befand sich dieser Gesetzentwurf am 23. Juni 2026 noch im Ausschuss und war noch nicht verabschiedet worden (UK Commons Library). Wenn das Gesetz eine Meldung innerhalb eines Tages vorschreibt, wird die Latenz bei der Erkennung zu einem rechtlichen Risiko, was die allgemeine Netzwerksicherheit, von der die Echtzeit-Erkennung abhängt, noch wichtiger macht.
Wie Vectra AI die Echtzeit-Bedrohungserkennung Vectra AI
Vectra AI die Echtzeit-Erkennung als ein Problem des Signal-Rausch-Verhältnisses. Anstatt schneller mehr Warnmeldungen auszugeben, deckt Attack Signal Intelligence™ das tatsächlich relevante Angriffsverhalten in Echtzeit auf – so kann ein schlankes Team innerhalb von Sekunden auf ein klares, priorisiertes Signal reagieren, anstatt tagelang unwichtige Warnmeldungen zu sichten. Das Ziel ist nicht maximale Geschwindigkeit um ihrer selbst willen, sondern das richtige Signal – schnell genug, um zu handeln, bevor aus einem Eindringen ein Sicherheitsvorfall wird.
Schlussfolgerung
Auf die Frage „Wie schnell ist Echtzeit?“ gibt es keine einheitliche Antwort – und genau das ist der springende Punkt. Die Echtzeit-Bedrohungserkennung erstreckt sich über ein Spektrum, das von der Inline-Blockierung im Subsekundenbereich über Nahe-Echtzeit-Analysen mit einer Verzögerung von 1–2 Minuten bis hin zur retrospektiven Nachanalyse über Stunden und Tage reicht. Die von Ihnen gewählte Architektur – Streaming oder Batch – legt die Untergrenze dafür fest, wie schnell Sie sein können; das Bereitstellungsmodell – Inline oder Out-of-Band – bestimmt den Kompromiss zwischen Blockierleistung und zusätzlicher Latenz. Da Angreifer den Zugriff innerhalb von 22 Sekunden weitergeben, während geduldige Spionageaktivitäten über ein Jahr andauern, geht es in diesem Bereich nicht darum, überall eine minimale Latenz anzustreben – vielmehr gilt es, für jede Bedrohung die richtige Latenzstufe zu wählen, schnelle Streaming-Erkennung mit retrospektiver Suche zu kombinieren und die Genauigkeit so abzustimmen, dass Geschwindigkeit Signale statt Rauschen liefert. Latenz, nicht nur Abdeckung, ist heute das entscheidende Unterscheidungsmerkmal. Um zu sehen, wie die Streaming-Erkennung mit geringer Latenz auf der Netzwerkebene funktioniert, informieren Sie sich über die Erkennung von Netzwerkanomalien.
