Erläuterung von Threat Detection, Investigation und Response (TDIR): Der einheitliche SOC-Workflow, der Erkennung, Untersuchung und Reaktion miteinander verbindet

Wichtige Erkenntnisse

TDIR ist ein Workflow und keine Tool-Kategorie. Es vereint Erkennung, Untersuchung und Reaktion über verschiedene Signalquellen (NDR, EDR, ITDR, SIEM) und Ausführungsebenen (SOAR, agentenbasierte KI) hinweg und kann selbstverwaltet, als konvergente Plattform oder über MDR bereitgestellt werden.
Sieben eng verwandte Abkürzungen sorgen bei Käufern für Verwirrung. TDR ist der übergreifende Begriff, ITDR/EDR/NDR bezeichnen Signalquellen, XDR eine Tool-Kategorie und MDR ein Servicemodell – ihre Zusammenfassung unter einem einzigen Begriff ist der Hauptgrund für fehlgeschlagene Bewertungen.
Regulatorische Fristen bestimmen mittlerweile die Gestaltung von Reaktionsmaßnahmen. Das vierstündige Klassifizierungsfenster von DORA, die 24-Stunden-Meldepflicht nach NIS2 und die Offenlegungsvorschrift der SEC innerhalb von vier Werktagen müssen in die Reaktionsleitfäden integriert werden und dürfen nicht erst nachträglich hinzugefügt werden.
Die durchschnittliche Dauer der Sicherheitsverletzung stieg im Jahr 2025 auf 11 Tage, während Unternehmen, die KI und Automatisierung in großem Umfang einsetzen, pro Sicherheitsverletzung etwa 1,9 Millionen Dollar einsparen und die Dauer der Sicherheitsverletzung um 80 Tage verkürzen.
Agentische KI ist der Wendepunkt der Jahre 2026–2028. Gartner prognostiziert, dass bis 2028 50 % der TDIR-Plattformen agentische KI integrieren werden, doch nur 15 % der Pilot-SOCs erzielen ohne strukturierte Bewertung messbare Verbesserungen.

Threat Detection, Investigation, and Response (TDIR) ist ein SOC-Betriebsmodell, das Erkennung, Untersuchung und Reaktion in einem einzigen, datengesteuerten Arbeitsablauf vereint. Es wird entweder als Prozess über bestehende Tools hinweg – SIEM, SOAR, EDR, NDR, ITDR, XDR – oder als konvergierte Plattform bereitgestellt, die diese Signale erfasst und korreliert. TDIR ist die Disziplin; die Plattformen sind ein Weg zur Umsetzung. Die Dringlichkeit ist kaum zu übersehen. Mandiant berichtet in seinem M-Trends 2025-Bericht, dass die globale Verweildauer im Median im Jahr 2025 auf 11 Tage angestiegen ist, während die über Torq veröffentlichte SANS 2025 SOC-Umfrage ergab , dass 76 % der SOC-Teams die Alarmmüdigkeit als ihre größte operative Herausforderung angeben. Dieser Leitfaden erläutert, was TDIR ist, wie es sich von benachbarten Akronymen (TDR, ITDR, MDR, XDR, EDR, NDR), wie seine vier Phasen mit NIST CSF 2.0 und MITRE D3FEND .3.0 korrelieren, welche DORA-, NIS2- und SEC-Fristen nun in die Reaktionsphase integriert sind und wie „gut“ im Jahr 2026 aussieht.

Was ist TDIR?

„Threat Detection, Investigation, and Response“ (TDIR) ist ein SOC-Betriebsmodell, das drei Phasen – Erkennung, Untersuchung und Reaktion – in einem einzigen, datengesteuerten Workflow vereint und häufig als konvergierte Plattform angeboten wird, die Signale aus SIEM-, SOAR-, EDR-, NDR-, ITDR- und XDR-Systemen erfasst. TDIR ist die Disziplin; konvergierte TDIR-Plattformen sind nur eines von mehreren Umsetzungsmodellen.

Die Einordnung ist wichtig, da der Begriff von den Anbietern unterschiedlich interpretiert wird. Einige Anbieter beschreiben TDIR als Produktkategorie, andere als einen Workflow, der über bestehende Tools hinweg läuft. Beide Sichtweisen sind gültig. Käufer sollten TDIR als Workflow betrachten und Tools auswählen, die diesen unterstützen. Anbieter mit Plattformangeboten werden denselben Workflow verständlicherweise als Kategorie bündeln. Die praktische Konsequenz: Kaufen Sie keine „TDIR-Plattform“, ohne zuvor zu verstehen, was TDIR für Ihr SOC leisten soll – andernfalls riskieren Sie, bereits bezahlte Funktionen zu ersetzen.

TDIR ist Teil des übergeordneten Lebenszyklus der Incident Response und gehört zu den Arbeitsabläufen, die ein modernes SOC-Team täglich durchführt. Was TDIR von der herkömmlichen Incident Response unterscheidet, ist, dass es die Untersuchung als eigenständige Phase zwischen Erkennung und Reaktion hervorhebt. In älteren IR-Programmen wurde die Untersuchung oft auf die Triage reduziert – eine kurze Plausibilitätsprüfung vor der Eskalation –, wodurch Analysten Warnmeldungen mit geringer Aussagekraft so behandelten, als wären sie Vorfälle. TDIR definiert die Untersuchung neu als die Phase, in der Warnmeldungen zu Vorfällen werden, in der der zeitliche Ablauf von Angriffen rekonstruiert wird und in der das Reaktionsszenario auf der Grundlage von Beweisen und nicht anhand der Warnmeldungskategorie ausgewählt wird.

TDIR integriert zudem ausdrücklich die Meldepflichten gegenüber Aufsichtsbehörden innerhalb festgelegter Fristen. Die Reaktionsphase umfasst nun Kommunikationspflichten gemäß DORA, NIS2, der Cyber Disclosure Rule der SEC und ähnlichen Regelungen. Dies stellt eine wesentliche Abkehr vom früheren TDR-Konzept (Threat Detection and Response) dar, bei dem die Offenlegungspflichten gegenüber Aufsichtsbehörden nur als Nebensache behandelt wurden. Auf die zeitlichen Abläufe gehen wir im folgenden Abschnitt zur Compliance ein.

Die vier Phasen – Erkennung, Untersuchung, Reaktion und Lernen nach dem Vorfall – laufen als kontinuierlicher Kreislauf ab und nicht als einmaliger Prozess. Bei jeder Iteration des Kreislaufs fließen Verbesserungen der Erkennungsmechanismen zurück in die Alarmierungs-Pipeline, sodass das SOC im Laufe der Zeit ruhiger und präziser wird. Die Definitionen der Branche stimmen in Bezug auf diesen Kreislaufansatz überein: Zwei Beispiele für die branchenübliche Herangehensweise finden Sie im NetWitness TDIR-Glossar und im TDIR-Leitfaden von ReliaQuest.

TDIR im Vergleich zu benachbarten Begriffen: die Disambiguierungsmatrix

Suchmaschinen behandeln TDIR, TDR, ITDR, MDR, XDR, EDR und NDR als sieben unterschiedliche Suchanfragen mit sich überschneidenden, aber getrennten Absichten. Diese zu einem einzigen Vergleich zusammenzufassen, ist sowohl ein SEO-Fehler als auch ein Fehler hinsichtlich der Klarheit für den Käufer. Die nachstehende Matrix klärt die häufigsten Verwechslungen auf.

Begriff	Kanonische Definition	Primäre Signalquelle(n)	Suchabsicht	Überschneidung mit TDIR
TDIR	Ein SOC-Betriebsmodell, das Erkennung, Untersuchung und Reaktion in einem einzigen, datengesteuerten Workflow vereint; häufig als konvergierte Plattform bereitgestellt, die SIEM, SOAR, UEBA, EDR, NDR, ITDR und XDR umfasst	Alle – TDIR verarbeitet EDR-, NDR-, ITDR- und XDR-Signale	Informativ + recherchierend	-
TDR	Erkennung und Reaktion auf Bedrohungen – ein umfassenderer Bereich der Cybersicherheit, der die kontinuierliche Überwachung, die Identifizierung von Bedrohungen, die Untersuchung sowie die Eindämmung über Endgeräte, Netzwerke, Identitäten, APIs und cloud hinweg vereint	Alle Oberflächen	Informativ	~75%
ITDR	Erkennung und Abwehr von Identitätsbedrohungen – Sicherheitsbereich, der Angriffe auf Benutzer- und Systemidentitäten erkennt und darauf reagiert (Missbrauch von Anmeldedaten, Ausweitung von Berechtigungen, identitätsbasierte laterale Bewegung)	Identitätsanbieter, IAM- und PAM-Protokolle, Active Directory und Entra ID	Informativ + recherchierend	~35 % (Teilmenge, nur Identitäten)
MDR	Managed Detection and Response – ein ausgelagerter 24/7-SOC-Dienst, der im Auftrag des Kunden die Erkennung, Untersuchung und Bekämpfung von Bedrohungen übernimmt	Vom Kunden bereitgestellte Telemetriedaten	Transaktionsbezogen + untersuchungsbezogen	~60 % (Dienstleistungsmodell zur Umsetzung von TDIR)
XDR	Erweiterte Erkennung und Reaktion – eine Plattformkategorie, die kuratierte, aussagekräftige Telemetriedaten aus den Bereichen endpoint, Identitäten, cloud, E-Mail und Netzwerk miteinander verknüpft	Endpoint, Identitäten, cloud, E-Mail und Netzwerk	Forschung + Transaktion	~70 % (Werkzeugkategorie innerhalb des TDIR-Dachbegriffs)
EDR	Endpoint und -Reaktion – kontinuierliche endpoint mit Erkennung von malware, ransomware und verdächtigem Verhalten sowie Echtzeit-Blockierung	Endpoint	Forschung + Transaktion	~35 % (Signalquelle)
NDR	Netzwerkerkennung und -reaktion – kontinuierliche Überwachung des Nord-Süd- und Ost-West-Datenverkehrs mit Verhaltensanalysen zur Erkennung von lateralen Bewegungen, Bedrohungen über verschlüsselte Kanäle und nicht verwalteten Geräten	Nur im Netzwerk	Forschung + Transaktion	~40 % (Signalquelle)

Bildunterschrift: TDIR im Vergleich zu verwandten Akronymen – Definitionen, Hauptsignalquelle, Suchabsicht und Überschneidungen mit TDIR.

Die Zusammenfassung ist kurz. TDR ist der umfassendste Bereich. TDIR ist ein Workflow innerhalb von TDR, der die Untersuchung als eigenständige Phase hervorhebt und behördliche Fristen einbezieht. ITDR, EDR und NDR sind signalspezifische Teilmengen – jede versorgt den TDIR-Workflow mit einer bestimmten Art von Telemetriedaten. XDR ist eine Werkzeugkategorie, die mehrere dieser Signalquellen vorab korreliert. MDR ist ein Dienstleistungsmodell, das den gesamten TDIR-Workflow im Auftrag eines Kunden operationalisiert.

Ein praktischer Test für Käufer: Wenn ein Anbieter sein Angebot als „TDIR“ positioniert, aber nur endpoint nutzt, handelt es sich um EDR mit Marketing-Flair. Wenn es endpoint, Identitäten und Netzwerke über eine einzige Untersuchungsoberfläche sowie zeitgebundene automatisierte Reaktionsmaßnahmen abdeckt, kommt es echtem TDIR näher. Der Unterschied liegt nicht in der Bezeichnung – sondern in der Breite der Signalquellen, der Tiefe des Untersuchungskontexts und der Frage, ob die Reaktion die gesetzlichen Kommunikationspflichten einbezieht.

Warum TDIR gerade jetzt wichtig ist

Drei gleichzeitig wirkende Kräfte sorgen dafür, dass TDIR auf die Tagesordnung der Vorstandssitzung 2026 gesetzt wird.

Die mittlere Verweildauer stieg von 10 Tagen im Jahr 2023 auf 11 Tage im Jahr 2025, wobei 45,1 % der Angriffe innerhalb einer Woche entdeckt wurden – eine Kluft zwischen Unternehmen mit schneller und solchen mit langsamer Erkennung (Mandiant M-Trends 2025).
Die Einsparungen durch KI und Automatisierung lassen sich nun beziffern. Unternehmen, die KI und Automatisierung in großem Umfang einsetzen, sparen pro Datenschutzvorfall etwa 1,9 Millionen US-Dollar ein und verkürzen die Dauer des Vorfalls um 80 Tage ( Data Breach des Ponemon Institute zu den Kosten von Data Breach , 2025).
Der Arbeitsdruck in SOCs hat ein Rekordniveau erreicht. 76 % der SOC-Teams nennen die Alarmmüdigkeit als ihre größte operative Herausforderung, wobei 63 % bis 76 % von Burnout berichten (SANS 2025, veröffentlicht über Torq). Die durchschnittlichen Kosten für ein Unternehmens-SOC belaufen sich mittlerweile auf 5,3 Millionen US-Dollar pro Jahr, was einem Anstieg von 20 % gegenüber dem Vorjahr entspricht (Ponemon, veröffentlicht über databahn).
Manuelle Prozesse sind nach wie vor vorherrschend. 85 % der Unternehmen stützen sich überwiegend auf manuelle Sicherheitsprozesse (CISA, ermittelt durch JumpCloud).
Blinde Flecken in Hybridnetzwerken sind nach wie vor weit verbreitet. 67 % der Unternehmen nennen blinde Flecken im Netzwerk als eine der größten Herausforderungen (Fidelis Hybrid Network Visibility, 2026).
Agentische KI zwingt zu einer Architekturentscheidung mit einer Laufzeit von zwei bis drei Jahren. Gartner prognostiziert, dass bis 2028 50 % der TDIR-Plattformen agentische KI-Sicherheitsfunktionen integrieren werden, gegenüber weniger als 10 % im Jahr 2024 (Gartner via BleepingComputer, 2026).

Branchenstudien und Analystenprognosen gehen mittlerweile übereinstimmend von Effizienzsteigerungen von rund 40 % im gesamten TDIR-Workflow aus, wenn KI und Automatisierung in großem Maßstab eingesetzt werden – ein Gesamtergebnis, das sich aus weniger Zeitaufwand für die Triage, weniger Zeitaufwand für die Untersuchung und weniger Zeitaufwand für die Regeloptimierung zusammensetzt. Diese Zahl sollte am besten als eine aus den vier oben genannten Hauptkennzahlen abgeleitete Schätzung betrachtet werden und nicht als Angabe aus einer einzigen Quelle. Entscheidend ist die Tendenz: SOCs, die TDIR sinnvoll modernisieren, schneiden deutlich besser ab als solche, die dies nicht tun, und der Abstand vergrößert sich.

Die von CSO Online für 2026 erstellte Liste der CISO-Prioritäten führt die Modernisierung des TDIR an erster Stelle auf, gleich neben Identitätssicherheit und KI-Governance – was dieselben treibenden Kräfte widerspiegelt. Für SOCs mit weniger als fünf Vollzeitkräften lautet die Wahl nicht mehr „modernisieren oder stillstehen“. Sie lautet vielmehr: „modernisieren oder gleichzeitig bei der Verweildauer, dem regulatorischen Risiko und der Bindung von Analysten ins Hintertreffen geraten“.

So funktioniert TDIR: die vier Phasen

Der TDIR-Workflow durchläuft vier Phasen – Erkennung, Untersuchung, Reaktion und Nachbereitung – und läuft in einer Schleife ab, wobei die Erkenntnisse aus jeder Iteration in die Weiterentwicklung der Erkennungsmechanismen einfließen. Diese Vier-Phasen-Struktur entspricht den branchenüblichen Lebenszyklusansätzen sowie den in NIST SP 800-61 Rev. 3 definierten Phasen.

Phase 1 – Erkennung. Das SOC fasst Telemetriedaten aus EDR (endpoint), NDR (Netzwerk – Ost-West und Nord-Süd) und ITDR (Identität) zusammen, SIEM (Protokolle) und cloud sebenen; wendet regelbasierte, verhaltensbasierte und ML-basierte Erkennungsmechanismen an; und generiert präzise Warnmeldungen. Im Bereich Detection Engineering verlagert sich der Schwerpunkt von der Erstellung von Regeln hin zur Verhaltensmodellierung. Diese Phase entspricht den NIST CSF 2.0-Komponenten DETECT (DE.AE Anomalien und Ereignisse, DE.CM Kontinuierliche Überwachung, DE.AN Erkennungsprozesse) sowie MITRE ATT&CK Taktiken im Rahmen des Themas, darunter 0001 Erster Zugriff, 0008 Seitliche Bewegung und 0010 Exfiltration. Bei der modernen Erkennung kommen zunehmend Erkennung von Bedrohungen durch KI und Verhaltensanalyse um unbekannte Bedrohungen aufzudecken, die regelbasierte Systeme übersehen.

Phase 2 – Untersuchung. Analysten sortieren Warnmeldungen nach Priorität, ergänzen sie mit Bedrohungsinformationen, Angaben zur Kritikalität der Ressourcen und Identitätskontext, setzen Warnmeldungen in Vorfälle in Beziehung, erstellen Zeitachsen der Angriffe und unterscheiden zwischen echten und falschen Positiven. Die Untersuchung hat ihren eigenen internen Teilzyklus: Validierung, Kontextualisierung und Analyse nach dem Vorfall. Das Ergebnis der Untersuchung lautet nicht „diese Warnmeldung ist echt“ – es ist ein vollständig rekonstruierter Vorfall mit Umfang, Auswirkungsbereich und einer vertrauensgewichteten Empfehlung. Hier wird aus dem Warnungsvolumen Klarheit über den Vorfall. Die Untersuchung liefert auch die Hypothesen, die die threat hunting , wenn Analysten über freie Kapazitäten verfügen.

Phase 3 – Reaktion (Eindämmung, Beseitigung und Wiederherstellung). Das SOC dämmt die Bedrohung ein ( endpoint isolieren, Sitzung beenden, Konto sperren, IP-Adresse blockieren), beseitigt Persistenz (Implantate entfernen, Anmeldedaten rotieren, den Angriffsvektor patchen) und sorgt für die Wiederherstellung (Wiederherstellung aus einem sauberen Backup, Überprüfung der Integrität). Die Reaktion umfasst auch die Benachrichtigung der Aufsichtsbehörden innerhalb festgelegter Fristen, was mittlerweile ein unverzichtbarer Bestandteil des Playbooks ist. Diese Phase entspricht NIST CSF 2.0 RESPOND (RS.MA, RS.AN, RS.MI, RS.CO, RS.IM) und RECOVER (RC.RP).

Phase 4 – Lernen nach dem Vorfall. Die gewonnenen Erkenntnisse, die Überarbeitung des Playbooks, die Aktualisierung des Backlogs für die Erkennungsentwicklung und die Berichterstattung an den Vorstand schließen den Kreis. Die Erkenntnisse fließen in die Erkennungsinhalte und in das Untersuchungs-Playbook ein. Diese Phase entspricht der IMPROVE-Kategorie des NIST CSF 2.0 und der GOVERN-Funktion (GV.OC, GV.RM, GV.RR), die neu im CSF 2.0 ist und Governance ausdrücklich zu einer Funktion auf oberster Ebene erhebt.

Die Frage nach den „vier Methoden der Bedrohungserkennung“ (eine häufig gestellte PAA-Anfrage) lässt sich klar den vier Phasen zuordnen: signaturbasiert (bekannte IOCs), anomaliebasiert (statistische und verhaltensbezogene Referenzwerte), heuristisch und regelbasiert (Korrelationslogik) sowie ML-gestützt (überwachte und unüberwachte Modelle, einschließlich Verhaltensanalysen und KI-gestützter Bedrohungserkennung). Ausgereifte TDIR-Programme setzen alle vier Methoden parallel ein – keine allein ist ausreichend.

Zuordnung der TDIR-Phasen zu NIST CSF 2.0 und NIST SP 800-61r3

TDIR-Phase	NIST CSF 2.0 – Funktion/Kategorie	NIST SP 800-61r3-Phase
Erkennung	DETECT (DE.AE, DE.CM, DE.AN)	Erkennung und Analyse
Untersuchung	ERKENNEN (DE.AE) + REAGIEREN (RS.AN)	Erkennung und Analyse
Antwort	RESPOND (RS.MA, RS.MI, RS.CO) + RECOVER (RC.RP)	Eindämmung, Ausrottung, Erholung
Lehren aus vergangenen Vorfällen	REAGIEREN (RS.IM) + VERWALTEN (GV.OC, GV.RM, GV.RR)	Maßnahmen nach dem Vorfall

Bildunterschrift: Zuordnung der TDIR-Phasen zu den Funktionen des NIST CSF 2.0 und den Phasen des NIST SP 800-61 Rev. 3.

TDIR-Phasen, die dem MITRE ATT&CK D3FEND zugeordnet sind

MITRE ATT&CK das Verhalten von Angreifern; MITRE D3FEND v1.3.0, veröffentlicht im Dezember 2025, beschreibt defensive Gegenmaßnahmen für 267 Techniken in 7 Taktiken: Modellieren (27), Absichern (51), Erkennen (90), Isolieren (57), Täuschen (11), Entfernen (19) und Wiederherstellen (12). Die TDIR-Erkennungsphase entspricht den ATT&CK-Taktiken auf der offensiven Seite. Die TDIR-Reaktionsphase entspricht direkt den D3FEND-Taktiken „Isolieren“, „Entfernen“ und „Wiederherstellen“. Die vollständige Zuordnung, einschließlich repräsentativer D3FEND-Techniken pro Reaktionsunterphase, finden Sie im Abschnitt zur Compliance weiter unten.

TDIR und der SOC-Stack: Signalquellen, Ausführungsschicht, Servicemodelle

TDIR ist kein neuer Baustein im SOC-Stack. Es handelt sich vielmehr um den Arbeitsablauf, der die bestehenden Bausteine miteinander verbindet. Ein klares Verständnis der Architektur verhindert eine unkontrollierte Zunahme von Tools und erleichtert die Entscheidung, ob Lösungen selbst entwickelt oder zugekauft werden sollen.

Signalquellen (was TDIR verarbeitet). NDR für Ost-West-Transparenz und Erkennung seitlicher Bewegungen, EDR für die Erkennung endpoint , ITDR für die identitätsbasierte Angriffserkennung (Missbrauch von Anmeldedaten, Privilegieneskalation), SIEM für Protokollkorrelation und -prüfung sowie XDR als konvergierte Korrelationsebene, sofern vorhanden. Zusammen bilden diese das, was manche Fachleute als SOC-Triade bezeichnen – Transparenz über endpoint, Netzwerk und Protokolle hinweg, wobei die Identität als vierte Dimension eine eigene Disziplin darstellt.
Ausführungsebene (die von TDIR genutzt wird). Automatisierung der Incident-Response und SOAR für die Playbook-Orchestrierung sowie agentenbasierte KI für autonome Maßnahmen der Stufen 1 und 2. Auf der Ausführungsebene wird die Eindämmung von „ein Analyst klickt auf ‚Isolieren‘“ zu „ein Playbook isoliert den Vorfall innerhalb von Sekunden und benachrichtigt den zuständigen Mitarbeiter“. Hier beginnt auch die Frist für die Einhaltung gesetzlicher Vorschriften zu laufen, sobald ein Vorfall bestätigt wurde.
Bereitstellungsmodelle. Selbstverwaltet (internes SOC, das eigene Tools einsetzt), MDR-basiert (ein ausgelagertes 24/7-SOC übernimmt den Workflow im Auftrag des Kunden) oder hybrid (gemeinsam mit einem Partner verwaltet, der die Triage außerhalb der Geschäftszeiten übernimmt). MDR ist kein Konkurrent von TDIR – es ist ein Bereitstellungsmodell für TDIR.

Die Erkenntnis für den Käufer: Fragen Sie, welche Ebene das jeweilige Tool bedient. Ist die Antwort unklar, überschneidet sich das Tool wahrscheinlich mit einer Lösung, die Sie bereits besitzen. Auf der RSAC 2026 waren rund 36 AI-SOC-Anbieter vertreten, deren Botschaften sich kaum voneinander unterschieden – Analysten unterscheiden mittlerweile zwischen „umbenannter Automatisierung“ und wirklich autonomen Architekturen, die auf dauerhafter Speicherung, einer Mesh-Agent-Architektur und einer breiten Palette an Signalquellen über SIEM, NDR, ITDR und UEBA hinweg basieren.

TDIR in der Praxis: Verweildauer, regulatorische Fristen und Lehren aus Sicherheitsverletzungen

Drei Anwendungsfälle aus der Praxis und drei Beispiele für Sicherheitsverletzungen machen das Abstrakte greifbar.

Anwendungsfall 1 – Finanzdienstleistungen und DORA. Eine europäische Bank setzt TDIR ein, um die in der DORA-Verordnung festgelegten Fristen einzuhalten: Klassifizierung von Vorfällen innerhalb von 4 Stunden, Vorabmeldung innerhalb von 24 Stunden und detaillierter Bericht innerhalb von 72 Stunden. Die TDIR-Plattform korreliert Identitäts-, Netzwerk- und cloud , um Muster von Anmeldedaten-Diebstahl und Business Email Compromise innerhalb von Minuten zu erkennen – schnell genug, um die 4-Stunden-Frist einzuhalten. Siehe das ISACA-Whitepaper zu NIS2 und DORA für den regulatorischen Rahmen. Der Finanzdienstleistungssektor ist der Sektor mit dem höchsten Einsatz bei der TDIR-Einführung, da die Fristen dort am engsten sind. Weitere Informationen finden Sie unter Cybersicherheit im Finanzdienstleistungssektor.

Anwendungsfall 2 – Gesundheitswesen und MDR-basierte TDIR. Ein mittelgroßes Krankenhaus mit weniger als fünf Vollzeitkräften im SOC führt MDR-basierte TDIR ein, um rund um die Uhr Erkennung und Reaktion in einer hybriden Infrastruktur zu gewährleisten, die IoMT-Geräte, EHR-Systeme und klinische Arbeitsplätze umfasst. Die Erkenntnis: SOCs mit begrenzten Ressourcen erzielen den höchsten ROI bei der Einführung von TDIR, da die Grenzkosten für die Bereitstellung von MDR deutlich niedriger sind als die Grenzkosten für die Einstellung von zwei weiteren Analysten. Siehe Cybersicherheit im Gesundheitswesen für den branchenspezifischen Kontext.

Anwendungsfall 3 – Fertigung und OT/IT-TDIR mit D3FEND-OT. Ein Hersteller aus der diskreten Fertigung erweitert die TDIR-Abdeckung auf OT-Umgebungen unter Verwendung der am 16. Dezember 2025 veröffentlichten D3FEND-OT-Mappings. Die TDIR-Plattform nutzt sowohl IT- als auch OT-Signalquellen, wobei die Reaktionsszenarien die Einschränkungen von Sicherheitssystemen berücksichtigen – eine Lektion, die Hersteller auf die harte Tour gelernt haben, als sie die Reaktion auf OT-Vorfälle als bloße Verallgemeinerung der IT-IR betrachteten.

Lektion 1 zum Thema Sicherheitsverletzungen – Salt Typhoon. Die China zugeschriebene Kampagne gegen Telekommunikationsunternehmen und Edge-Geräte, die auf den Zugriff für Abhörmaßnahmen im Stil des CALEA abzielt, ist laut dem Update des FBI vom Februar 2026 weiterhin aktiv. Der Schwachpunkt bei der TDIR-Phase lag in der Netzwerkerkennung: eingeschränkte Ost-West-Transparenz bei Edge-Geräten und Lücken bei der Patch-Verwaltung. Salt Typhoon das Paradebeispiel dafür, „warum Netzwerkerkennung nach wie vor wichtig ist“ – insbesondere für Käufer, die glauben, dass eine reine EDR-basierte TDIR ausreicht.

Lektion 2 zu Sicherheitsverletzungen – Die Angriffswelle Scattered Spider im April 2026. Identitätsgesteuerte laterale Bewegung durch Social Engineering am Helpdesk. Der Fehler lag bei ITDR – der Missbrauch von Anmeldedaten blieb unentdeckt, da die Signalquellen des SOC auf endpoint das Netzwerk beschränkt waren und das Identitätsverhalten nie modelliert wurde. Scattered Spider immer wieder gezeigt, dass reine EDR-basierte ITDR-Programme die Phase der identitätsbasierten lateralen Bewegung übersehen.

Lehre aus dem Sicherheitsvorfall Nr. 3 – Vimeo über den Drittanbieter Anodot. Eine Integration zur Lieferkettenanalyse diente als Einstiegspunkt. Der Fehler lag in der Überwachung der Anbieterprotokolle: Telemetriedaten von Drittanbietern wurden zwar erfasst, aber nie mit Signalen aus dem Geschäftskontext abgeglichen. Dies spiegelt die Erkenntnis aus dem Verizon DBIR 2025 wider, wonach sich die Zahl der Sicherheitsverletzungen unter Beteiligung von Drittanbietern im Jahresvergleich auf 30 % verdoppelt hat, wobei diese häufig über „Living-off-the-Land“-Techniken und Zugangsmuster mit Anmeldedaten erfolgen, die bei einer protokollbasierten Erkennung harmlos erscheinen.

Die quantifizierten Ergebnisse bilden den Kern dieses Abschnitts. Der Mandiant-Bericht 2025 gibt eine mittlere Verweildauer von 11 Tagen an, wenn Eindringversuche intern entdeckt werden, von 26 Tagen, wenn sie extern gemeldet werden, und von 5 Tagen, wenn ein Angreifer (in der Regel ein ransomware ) das Opfer benachrichtigt – ein deutlicher Hinweis darauf, dass eine proaktive Erkennung die Dauer um mehr als 60 % verkürzt. KI und Automatisierung, in großem Maßstab eingesetzt, sparen etwa 1,9 Millionen US-Dollar pro Vorfall und 80 Tage des Vorfall-Lebenszyklus ein. Die Erkennung von Datenexfiltration und ransomware Vorläufer während der Phase der lateralen Bewegung sind die Hauptursache für diese Einsparungen. ransomware im April 2026 werden von BlackFog, CYFIRMA und CM-Alliance detailliert dokumentiert, was bestätigt, dass sich der Reifegrad des TDIR direkt auf die Geschwindigkeit ransomware auswirkt.

Erkennung und Vermeidung von TDIR-Fehlfunktionen

Die meisten TDIR-Programme scheitern nicht an unzureichenden Tools. Sie scheitern, weil sie die falschen Dinge messen oder die Schritte überspringen, die Warnmeldungen in Vorfälle umwandeln.

Aus Branchenleitfäden zusammengestellte bewährte Verfahren:

Erkennungsmechanismen als integraler Bestandteil, nicht als nachträglicher Einfall. Wechsel von der Erstellung von Regeln hin zur Verhaltensmodellierung, Versionierung der Erkennungsinhalte und Verknüpfung jeder Erkennung mit einer ATT&CK-Technik.
Integration von Bedrohungsinformationen bei jedem Alarm. Die Reputation von IOCs, die Kritikalität von Ressourcen und der geschäftliche Kontext sollten bereits bei der Erfassung berücksichtigt werden, nicht erst zum Zeitpunkt der Untersuchung.
Playbook-Disziplin. Versionskontrolle, regelmäßige Tests und MITRE-konforme Abdeckung. Ein Playbook, das seit 90 Tagen nicht mehr getestet wurde, ist eine Hypothese, keine Kontrollmaßnahme.
Säulenbasierte SecOps. Erkennungsmechanismen, Alarmgenauigkeit, Untersuchung und Hunting sowie IR – jede Säule wird separat besetzt und bewertet.

KPI-Rahmenwerk – was gemessen werden sollte:

Kategorie	Metrisch	Formel	Ziel	Quelle
Grundschule	MTTD (mittlere Zeit bis zur Erkennung)	Durchschnitt(Erkennungszeit – Beginn des Vorfalls)	Unter dem Branchendurchschnitt (Mandiant 2025: 11 Tage)	Mandiant
Grundschule	MTTR (durchschnittliche Zeit bis zur Reaktion/Lösung)	Durchschnitt(Auflösungszeit – Erkennungszeit)	Im Vergleich zum Vorquartal rückläufig	nflo MTTD/MTTR-Benchmarking
Grundschule	MTTC (mittlere Zeit bis zur Eindämmung)	Durchschnitt(Eindämmungszeit – Erkennungszeit)	≤ regulatorische Uhr minus Berichts-Puffer	ISACA
Grundschule	Falsch-positiv-Rate	Falsch-Positive / Gesamtzahl der Warnmeldungen	Im Vergleich zum Vorquartal rückläufig	SANS über Torq
Grundschule	Verweildauer	Erkennungszeit – Zeitpunkt des Eindringens	≤ Mandiant-Median für 2025 (11 Tage)	Mandiant
Sekundär	Benachrichtigungen pro Analyst und Tag	Gesamtzahl der Warnmeldungen / Anzahl der Analysten	Grenzwert für eine tragbare Arbeitsbelastung	ACM Computing Surveys, 2026
Sekundär	Automatisierungsgrad	automatische Antworten / Gesamtzahl der Antworten	Aufwärtstrend	Help Net Security über das NCSC, 2026
Wirtschaft	Kosten pro Vorfall	Gesamtkosten für die Bearbeitung / Anzahl der Vorfälle	Abwärtstrend	Ponemon, 2025

Bildunterschrift: TDIR-KPI-Rahmenwerk – Primär-, Sekundär- und Geschäftskennzahlen, abgestimmt auf die SOC-Metrik-Leitlinien des NCSC vom April 2026.

Was man NICHT messen sollte. Die von Help Net Security berichtete Leitlinie des britischen NCSC vom 28. April 2026 zu SOC-Kennzahlen warnt davor, dass die Geschwindigkeit der Ticket-Bearbeitung, die Anzahl der Regeln und das Protokollvolumen dazu verleiten, Fehlalarme zu ignorieren und irrelevante Erkennungsergebnisse zu generieren. Das NCSC empfiehlt hypothesengesteuerte threat hunting, TTD/TTR und die Abdeckung von MITRE-zugeordneten Playbooks als dauerhafte KPIs. Dies ist der nützlichste verfügbare Ankerpunkt für „was nicht gemessen werden sollte“ – herstellerneutral und von der Regierung herausgegeben, geeignet für die Berichterstattung auf Vorstandsebene. Für einen tieferen Kontext zur KPI-Gestaltung siehe Cybersicherheitskennzahlen.

Häufige Fehlerquellen. Eine unkoordinierte Tool-Flut führt zu Alarmmüdigkeit und ist der häufigste Schwachpunkt, den 76 % der SOCs angeben. Ein rein auf EDR basierendes TDIR übersieht identitätsbasierte Angriffe – die von Quest KACE identitätsausgelöste CVEs der Klasse 2025 veranschaulichen die Art von Angriffen, die EDR nicht erkennen kann. Netzwerk-Blindspots betreffen 67 % der Unternehmen. Veraltete Playbooks ohne MITRE-Zuordnung sind reine Augenwischerei. Von Anbietern angegebene Effizienzwerte (40 %, 80 %, 95 %) müssen von Dritten bestätigt werden, bevor sie in einen Business Case einfließen können – stützen Sie TDIR-Effizienzangaben auf Ponemon, Mandiant, SANS und Gartner, bevor Sie dem Vorstand Versprechungen machen. Die reale Erfahrung von SOC-Analysten wird stärker von der Qualität der Erkennungsinhalte und der Wahl der KPIs geprägt als von einer einzelnen Produktfunktion.

TDIR und Compliance: NIST CSF 2.0, SP 800-61r3, MITRE D3FEND und die regulatorischen Fristen

Hier beweist TDIR seinen Wert gegenüber den Wirtschaftsprüfern und dem Vorstand. Drei Rahmenwerke sowie drei Regulierungssysteme laufen in der Reaktionsphase zusammen.

NIST CSF 2.0-Zuordnung. Mit der Veröffentlichung des NIST Cybersecurity Framework v2.0 wurde „GOVERN“ als neue oberste Funktion hinzugefügt und die Funktionen „DETECT“, „RESPOND“ und „RECOVER“ wurden weiterentwickelt. Die TDIR-Phasen lassen sich wie folgt zuordnen:

ERKENNEN: DE.AE Anomalien und Ereignisse, DE.CM Kontinuierliche Überwachung, DE.AN Erkennungsprozesse
REAKTION: RS.MA Management, RS.AN Analyse, RS.MI Schadensminderung, RS.CO Kommunikation, RS.IM Verbesserung
GOVERN (neu in 2.0): GV.OC Organisatorischer Kontext, GV.RM Risikomanagement, GV.RR Rollen und Verantwortlichkeiten
RECOVER: RC.RP – Notfallplanung

Der vollständige Text des Rahmenwerks ist im NIST CSF 2.0-PDF enthalten.

NIST SP 800-61 Rev. 3 (April 2025). Die neueste Fassung des Leitfadens zur Bewältigung von Computersicherheitsvorfällen befürwortet ausdrücklich die Automatisierung von Warnmeldungen, Triage und Informationsaustausch. Die Phasen – Erkennung und Analyse, Eindämmung, Beseitigung, Wiederherstellung und Maßnahmen nach dem Vorfall – stimmen nahtlos mit dem vierphasigen TDIR-Zyklus überein.

MITRE ATT&CK D3FEND. MITRE ATT&CK beschreibt das Verhalten von Angreifern. MITRE D3FEND .3.0 beschreibt defensive Gegenmaßnahmen. Die Reaktionsphase entspricht den D3FEND-Taktiken „Isolieren“, „Entfernen“ und „Wiederherstellen“ mit den folgenden repräsentativen Techniken:

TDIR-Reaktionsunterphase	MITRE D3FEND	Typische D3FEND-Verfahren
Eindämmung	Isolieren (57 Techniken)	Netzwerkisolierung, Prozessisolierung, Filterung des Netzwerkverkehrs, Ungültigmachen des Authentifizierungs-Caches
Ausrottung	Räumen (19 Techniken)	Räumung aufgrund fehlender Zugangsdaten, Räumung aufgrund eines Verfahrens, Räumung aufgrund von Unterlagen, Löschung per E-Mail
Wiederherstellung	Wiederherstellen (12 Techniken)	Systemwiederherstellung, Dateiwiederherstellung, Zurücksetzen von Anmeldedaten, Kontowiederherstellung
Erkennung (phasenübergreifend)	Erkennen (90 Techniken)	Prozessanalyse, Netzwerkverkehrsanalyse, Analyse des Nutzerverhaltens, Identifikationsanalyse

Bildunterschrift: Die Teilphasen der TDIR-Reaktion, zugeordnet zu MITRE D3FEND .3.0 (Erkennen 90, Isolieren 57, Entfernen 19, Wiederherstellen 12).

D3FEND v1.3.0 umfasst 267 Verteidigungstechniken in 7 Taktiken, und die Erweiterung D3FEND-OT vom Dezember 2025 bezieht nun auch Zuordnungen zur Betriebstechnologie mit ein.

Fristen für die aufsichtsrechtliche Berichterstattung. Für die Antwortphase gelten nun feste Fristen, die je nach Rechtsordnung unterschiedlich sind.

SEC-Formular 8-K, Punkt 1.05 (SEC-Vorschrift zur Offenlegung von Cybervorfällen): Wesentliche Cybervorfälle müssen innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit offengelegt werden. In Kraft getreten am 5. September 2023; kleinere berichtspflichtige Unternehmen müssen die Vorschriften ab dem 15. Juni 2024 einhalten; Inline-XBRL-Tagging ist ab dem 18. Dezember 2024 erforderlich. Das Factsheet zur endgültigen Regelung der SEC behandelt die Mechanismen zur Festlegung der Wesentlichkeitsschwelle.
DORA (EU) – gültig ab 17. Januar 2025: Einstufung als schwerwiegender Vorfall innerhalb von 4 Stunden nach Feststellung, Vorabmeldung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden. Die operativen Anforderungen sind den DORA-Leitlinien zu entnehmen.
NIS2 (EU): Erstmeldung innerhalb von 24 Stunden, ausführlicher Bericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Es gelten sektor- und mitgliedstaatliche Abweichungen.

Die praktischen Auswirkungen sind erheblich: Die vierstündige DORA-Klassifizierungsfrist ist knapper bemessen als das 72-Stunden-Fenster für die Detailermittlung und bestimmt maßgeblich die Gestaltung des Playbooks. Integrieren Sie die behördliche Frist in das Playbook für die Reaktionsphase – einschließlich eines benannten Entscheidungsträgers für die Feststellung der Wesentlichkeit und einer vorab genehmigten Vorlage für die Offenlegung –, anstatt sie als Aufgabe nach dem Vorfall zu behandeln. CIS Controls v8, Kontrolle 17 (Incident Response Management), insbesondere 17.1, 17.2, 17.4 und 17.8, bildet das operative Gerüst. Für einen breiteren Kontext siehe Compliance, Sicherheitsrahmenwerke und DSGVO-Konformität.

Der CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) bietet einen weiteren regulatorischen Ankerpunkt für TDIR-Programme, die Bundesbehörden und Auftragnehmer betreffen – die Aufnahme in den KEV-Katalog löst Verpflichtungen hinsichtlich der Bereitstellung von Patches und der Erkennung aus, die direkt in die TDIR-Erkennungsphase einfließen.

Moderne Ansätze: agentische KI, Plattform vs. Workflow und Eigenentwicklung vs. Zukauf

Derzeit gibt es drei Arten der TDIR-Automatisierung. SOAR umfasst regelbasierte Playbooks für heterogene Tools – robust, aber anfällig, wenn sich die Alarmtypen ändern. ML-gestützt bedeutet Bewertung, Korrelation und Priorisierung zusätzlich zur menschlichen Triage – bewährt und weit verbreitet. Agentic sind autonome Agenten, die mehrstufige Reaktionen planen und ausführen – der Wendepunkt 2026–2028. Die Berichterstattung von CSO Online über KI in der Bedrohungserkennung fasst diesen Wandel gut zusammen.

Die sieben Bewertungsfragen von Gartner für KI-SOC-Agenten, über die BleepingComputer berichtet, sagen voraus, dass 50 % der TDIR-Plattformen bis 2028 agentische KI integrieren werden – doch nur 15 % der Pilot-SOCs erzielen ohne strukturierte Bewertung messbare Verbesserungen. Der Markt ist real, aber uneinheitlich, und sowohl die von Kings Research durchgeführte Marktanalyse für KI-gestützte TDR-Lösungen als auch die Marktanalyse von MarketsandMarkets für MDR-Lösungen bestätigen den Trend zur Einführung dieser Technologien. Die Erkenntnis für den Käufer: Testen Sie agentische KI anhand einer definierten Bewertungsrubrik (dauerhafte Speicherung, Mesh-Agent-Architektur, Breite der Signalquellen) und nicht anhand einer vom Anbieter bereitgestellten Scorecard.

Die Entscheidung „Selbst entwickeln oder kaufen“ hängt von drei Faktoren ab: den bestehenden Investitionen in Tools, dem Reifegrad des internen SOC und dem Integrationsaufwand. Selbstverwaltetes TDIR eignet sich für Unternehmen mit ausgereiften SOCs und erheblichen Investitionen in erstklassige Tools. TDIR auf konvergenter Plattform eignet sich für Unternehmen, die mit einem reinen SIEM-System oder einem fragmentierten Stack starten und bereit sind, diesen zu konsolidieren. MDR-basiertes TDIR eignet sich für SOCs mit begrenzten Ressourcen (die Anwender mit dem höchsten ROI) und für Unternehmen, die neue regulatorische Rahmenbedingungen erfüllen müssen, ohne Zeit für Personalaufstockung zu haben.

Wie Vectra AI den TDIR Vectra AI

Vectra AI TDIR als einen Workflow, dessen Wirksamkeit von der Signalqualität abhängt. Wenn die Erkennungsschicht hochpräzise, verhaltensbasierte Signale liefert – aus NDR für den Ost-West-Datenverkehr, ITDR für Identitäten sowie EDR- und SIEM-Korrelation –, verkürzt sich die Untersuchungsdauer, die Automatisierung kann die Eindämmung zuverlässig innerhalb der vorgeschriebenen Fristen bewältigen, und beim Lernen nach dem Vorfall fallen weniger Fehlalarme an, die nachträglich überprüft werden müssen. Der Beitrag Vectra AI ist Attack Signal Intelligence“: Erkennungsinhalte, die auf Verhaltensmustern von Angreifern statt auf Signaturrauschen basieren, anhand des Geschäftskontexts bewertet und in einer Untersuchungsoberfläche dargestellt werden, die die Erkennung mit der Reaktion verbindet. Einen tieferen Einblick in die Umsetzung finden Sie auf der Vectra AI .

Künftige Trends und neue Überlegungen

Die TDIR-Landschaft wird sich in 12 bis 24 Monaten deutlich verändert haben. Drei Entwicklungen werden den größten Teil dieses Wandels vorantreiben.

Agentische KI wird vom Pilotstadium zum Standard werden. Gartners Prognose von 50 % bis 2028 spiegelt einen Architekturwechsel wider, nicht die Hinzufügung einer neuen Funktion. Es ist zu erwarten, dass Ausschreibungen im Jahr 2026 Bewertungskriterien hinsichtlich der Langlebigkeit von Agenten, der Mesh-Architektur und von „Human-in-the-Loop“-Sicherheitsvorkehrungen enthalten werden. Es ist zu erwarten, dass bei Implementierungen im Jahr 2027 Agenten als Standard-Tier-1-Ebene eingesetzt werden, wobei Menschen für die Entscheidungsfindung und die Untersuchung von Ausnahmefällen vorbehalten bleiben. Die Reifegradlücke von 15 % bedeutet, dass Käufer strenge Pilotprojekte durchführen sollten: Prognosen zufolge werden 70 % der großen SOCs bis 2028 KI-Agenten in Pilotprojekten testen, aber nur diejenigen mit strukturierter Bewertung werden messbare Verbesserungen erzielen.

Die regulatorische Konvergenz wird die Reaktionsfristen weiter verkürzen. Die Durchsetzung der DORA-Vorschriften wird sich bis 2026 und 2027 weiterentwickeln. Die Durchsetzung der NIS2-Vorschriften wird ausgeweitet, sobald die Mitgliedstaaten die Umsetzung abgeschlossen haben. Die Offenlegungsvorschrift der SEC führt weiterhin zu Rechtsprechung, die die Wesentlichkeitsschwelle präzisieren wird. Es ist mit neuen branchenspezifischen Vorschriften (Energie, Gesundheitswesen, Finanzmarktinfrastruktur) zu rechnen, deren Fristen bei oder unter der 4-Stunden-Schwelle der DORA-Klassifizierung liegen. TDIR-Plattformen, die keinen Workflow zur Feststellung der Wesentlichkeit innerhalb von 4 Stunden nachweisen können, werden an Wettbewerbsfähigkeit einbüßen.

Identität wird endpoint dominierende Säule von TDIR ablösen. Branchenstudien zur Bedrohungsanalyse zeigen durchweg, dass mittlerweile 79 % bis 80 % aller Angriffe malware sind und auf der Kompromittierung von Konten beruhen. ITDR-Abdeckung wird zur Grundvoraussetzung; reines EDR-basiertes TDIR wird in Anbieterbewertungen zunehmend falsch eingestuft werden. Die Quest KACE-Klasse identitätsausgelöster CVEs aus dem Jahr 2025 wird im Vergleich zum Volumen identitätsgetriebener Vorfälle, die 2027 zutage treten werden, altmodisch wirken.

Die Netzwerkerkennung wird immer wichtiger werden, nicht weniger. Die Hartnäckigkeit Salt Typhoon, das Lieferkettenmuster beim Vorfall bei Vimeo und Anodot sowie die zunehmende Verbreitung von LOTL- und verschlüsselten Kanal-Angriffen deuten alle in dieselbe Richtung: Verhaltensanalysen auf Netzwerkebene sind für die East-West-Transparenz unersetzlich. NDR wird zunehmend die Signalquelle sein, die ITDR- und EDR-Warnmeldungen validiert.

Investitionsschwerpunkte für 2026. Detection Engineering als eigenständige Funktion mit eigenem Budget. ITDR-Abdeckung dort, wo sie noch fehlt. NDR-Abdeckung dort, wo Ost-West-Blindspots bestehen. Pilotprojekte mit agentenbasierter KI, die vor einer breiten Einführung auf bestimmte Playbook-Familien (phishing , Zurücksetzen von Anmeldedaten, Isolierung) ausgerichtet sind. NCSC-konforme KPI-Rahmenwerke, die Vanity-Metriken (Ticket-Schließung, Regelanzahl) zugunsten von TTD/TTR und hypothesengesteuertem Hunting-Durchsatz abschaffen.

Schlussfolgerung

TDIR lässt sich am besten in erster Linie als Disziplin und erst in zweiter Linie als Produktkategorie verstehen. Der vierphasige Kreislauf – Erkennung, Untersuchung, Reaktion und Lernen nach dem Vorfall – bildet das tragfähige Gerüst. Alles andere (welche Signalquellen Sie nutzen, ob Sie ein XDR- oder ein SIEM-System einsetzen, ob Sie die Verwaltung selbst übernehmen oder MDR-Dienste kaufen, ob Sie agentenbasierte KI im Jahr 2026 oder 2028 einführen) ist eine Frage der Umsetzung. Wenn die Disziplin stimmt, fallen die Entscheidungen zur Umsetzung leichter; überspringt man die Disziplin, wird keine Plattform das Programm retten können.

Die Vorstandssitzung im Jahr 2026 sollte sich auf drei Punkte konzentrieren: die Beseitigung von Identitäts- und Netzwerk-Blindstellen, damit die Erkennung die gesamte moderne Angriffsfläche abdeckt; die Einbindung von DORA-, NIS2- und SEC-Fristen in die Reaktionsszenarien, bevor der erste Vorfall diese auf die Probe stellt; sowie die Einführung agentenbasierter KI mit strukturierter Bewertung anstelle von herstellerseitig bereitgestellten Bewertungsbögen. Das Gesamtergebnis – Effizienzsteigerungen von rund 40 % im gesamten TDIR-Workflow, wenn KI und Automatisierung in großem Maßstab eingesetzt werden, ermittelt durch Mandiant, Ponemon, SANS und Gartner – ist real, gilt jedoch nur für Programme, die dies durch Disziplin erreichen.

Wenn Sie sich näher mit den einzelnen damit verbundenen Workflows befassen möchten, informieren Sie sich über Incident Response, Network Detection and Response sowie Identity Threat Detection and Response. Was die Umsetzung auf Plattformebene betrifft, erfahren Sie hier, wie die TDIR-Plattform Vectra AI diese Bereiche miteinander verbindet.

‍

Häufig gestellte Fragen

Was ist TDR?

TDR – Threat Detection and Response (Bedrohungserkennung und -reaktion) – ist ein umfassenderer Bereich der Cybersicherheit, der die kontinuierliche Überwachung, die Identifizierung von Bedrohungen, die Untersuchung sowie die Eindämmung über Endgeräte, Netzwerke, Identitäten, APIs und cloud hinweg vereint. TDR ist älter als TDIR und wird manchmal als Synonym verwendet, doch in einem Punkt unterscheiden sich die beiden Begriffe: TDIR hebt die Untersuchung als eigenständige Phase zwischen Erkennung und Reaktion hervor und berücksichtigt ausdrücklich die gesetzlichen Meldefristen. TDR-Programme, die die Untersuchung nicht formalisieren, neigen dazu, diese auf eine Triage zu reduzieren, wodurch Warnmeldungen lediglich als Warnmeldungen und nicht als Vorfälle behandelt werden. Der praktische Test für Käufer: Wenn ein Anbieter TDR vermarktet, aber nur Workflows zur Erkennung und Eindämmung beschreibt, handelt es sich um TDR nur dem Namen nach, nicht um ein vollständiges TDIR. Für einen breiteren Kontext siehe die Themenseite zur Bedrohungserkennung.

Was ist Bedrohungserkennung?

Die Erkennung von Bedrohungen ist der Prozess der Identifizierung böswilliger Aktivitäten in einer Umgebung unter Verwendung signaturbasierter, anomaliebasierter, heuristischer und ML-gestützter Methoden. Im TDIR-Workflow bildet die Erkennung von Bedrohungen Phase 1: Dabei werden Telemetriedaten aus EDR-, NDR-, ITDR-, SIEM- und cloud aggregiert, Erkennungsinhalte (Regeln, Verhaltensbaselines, ML-Modelle) angewendet und hochpräzise Warnmeldungen generiert. Moderne Bedrohungserkennung hat sich von rein signaturbasierten Ansätzen entfernt, da Angreifer zunehmend gültige Anmeldedaten und „Living-off-the-Land“-Techniken verwenden, die keine Signaturübereinstimmung erzeugen. Die leistungsstärksten Erkennungsprogramme führen alle vier Erkennungsmethoden parallel aus und verknüpfen jede Erkennung mit einer MITRE ATT&CK , sodass Lücken in der Abdeckung sichtbar werden. Erkennung allein macht noch kein TDIR-Programm aus – ohne Untersuchung und Reaktion erzeugt die Erkennung Warnmeldungen, die niemand schließt.

Was ist Bedrohungsprävention?

Bedrohungsprävention umfasst die Maßnahmen, die Angriffe blockieren, bevor sie ausgeführt werden – Patching, Härtung, Netzwerksegmentierung, Identitätskontrollen und signaturbasierte Blockierung auf Endgeräten und Gateways. Prävention ergänzt TDIR, ersetzt es jedoch nicht. Die Philosophie des „Assume Compromise“ – also die Annahme, dass clevere Angreifer Präventionsmaßnahmen überwinden werden – ist die grundlegende Erkenntnis hinter TDIR. Prävention reduziert das Angriffsvolumen; TDIR fängt auf, was die Prävention übersieht. Beide arbeiten zusammen: Präventionsdaten fließen in die TDIR-Erkennung ein (ein blockiertes Ereignis ist ein Signal dafür, dass ein Versuch stattgefunden hat), und die Lernphase von TDIR nach einem Vorfall fließt zurück in die Präventionsentwicklung. Programme, die zu viel in Prävention und zu wenig in TDIR investieren, tauchen in Berichten über Sicherheitsverletzungen regelmäßig mit der Formulierung auf: „Die Angreifer waren monatelang im System, bevor es jemand bemerkte.“

Welche vier Methoden der Bedrohungserkennung gibt es?

Die vier Methoden sind die signaturbasierte Erkennung (Abgleich mit bekannten Indikatoren für Kompromittierung), die anomaliebasierte Erkennung (statistische und verhaltensbasierte Referenzwerte), die heuristische und regelbasierte Erkennung (Korrelationslogik über Ereignisse hinweg) sowie die ML-gestützte Erkennung (überwachte und unüberwachte Modelle). Ausgereifte TDIR-Programme setzen alle vier Methoden parallel ein, da jede Methode eine andere Bedrohungsklasse abdeckt. Signaturen erkennen bekannte Bedrohungen schnell und kostengünstig, lassen jedoch neuartige Angriffe unentdeckt. Die Anomalieerkennung erkennt Unbekanntes, erzeugt jedoch Rauschen. Die heuristische Korrelation erkennt mehrstufige Angriffe, erfordert jedoch manuell angepasste Regeln. Die ML-Erkennung erkennt sowohl neuartige Angriffe als auch komplexe mehrstufige Muster, erfordert jedoch Trainingsdaten und Feinabstimmung. Das richtige Verhältnis hängt von den Signalquellen der Organisation und ihrer Kapazität zur Alarmbearbeitung ab. Verhaltensanalysen – Anomalie- und ML-Methoden, die sich auf das Verhalten von Entitäten konzentrieren – sind zum vorherrschenden Ansatz für die Erkennung von Identitäten und lateralen Bewegungen geworden.

Inwiefern unterscheidet sich TDIR von der herkömmlichen Incident Response?

Bei der herkömmlichen Incident-Response-Praxis wurde die Untersuchung als Triage betrachtet – eine kurze Überprüfung vor der Eskalation – und man ging davon aus, dass die Erkennung die Aufgabe eines anderen sei. TDIR vereint alle drei Phasen in einem einzigen Workflow mit festgelegten Verantwortlichen, KPIs und Tools. Drei konkrete Unterschiede: TDIR erhebt die Untersuchung zu einer eigenständigen Phase mit eigenen Playbooks und Metriken, TDIR integriert die vorgeschriebenen Meldefristen (4 Stunden bei DORA, 4 Werktage bei der SEC, 24 Stunden bei NIS2) explizit in die Reaktionsphase und TDIR fügt eine Lernphase nach dem Vorfall hinzu, deren Erkenntnisse in die Erkennungsentwicklung einfließen. Traditionelle IR-Programme, die sich zu TDIR weiterentwickeln, tun dies in der Regel, indem sie die Erkennungstechnik als Funktion formalisieren und Untersuchungs-Playbooks zu der zuvor frei gestalteten Arbeit der Analysten hinzufügen. Der IR-Lebenszyklus in NIST SP 800-61r3 lässt sich klar auf die vier TDIR-Phasen abbilden, sodass es bei der Umstellung eher um Disziplin als um Ersatz geht.

Wie reduziert TDIR Fehlalarme während der Untersuchung?

TDIR reduziert Fehlalarme auf dreierlei Weise. Erstens ist die Untersuchungsphase darauf ausgelegt, Warnmeldungen vor der Eskalation zu validieren, indem sie Datenanreicherung (Bedrohungsinformationen, Kritikalität der Ressourcen, Identitätskontext) und Korrelation (Verknüpfung verwandter Warnmeldungen zu einzelnen Vorfällen) nutzt. Zweitens fließen Erkenntnisse aus der Nachbetrachtung von Vorfällen in die Verbesserung der Erkennungsmechanismen innerhalb der Alarmierungs-Pipeline ein, wodurch störende Erkennungen eliminiert und Verhaltens-Baselines verfeinert werden. Drittens nutzen moderne TDIR-Plattformen ML-Scoring, um hochpräzise Signale gegenüber regelbasiertem Rauschen zu priorisieren. Der kombinierte Effekt ist messbar: SANS 2025 ergab, dass 76 % der SOCs Alarmmüdigkeit als ihre größte operative Herausforderung nennen, und disziplinierte TDIR-Programme senken die Falsch-Positiv-Raten von Quartal zu Quartal kontinuierlich. Der hier relevante KPI ist nicht die „Anzahl der pro Stunde geschlossenen Warnmeldungen“ – was Anreize für das Ignorieren von Fehlalarmen schafft –, sondern die „Falsch-Positiv-Rate“ und die „MTTR pro echtem Vorfall“.

Was ist der Unterschied zwischen TDIR und XDR?

TDIR ist ein Workflow; XDR ist eine Werkzeugkategorie. TDIR beschreibt, wie ein SOC Erkennung, Untersuchung und Reaktion miteinander verbindet – einschließlich der Disziplinen, KPIs und regulatorischen Verpflichtungen. XDR beschreibt eine Klasse von Plattformen, die kuratierte, aussagekräftige Telemetriedaten aus den Bereichen endpoint, Identitäten, cloud, E-Mail und Netzwerk vorab miteinander korrelieren. Eine XDR-Plattform kann eines der Tools sein, die einen TDIR-Workflow unterstützen, aber TDIR kann auch auf einem Stack aus Best-of-Breed-Tools ohne XDR ausgeführt werden. Die Überschneidung beträgt etwa 70 %: Die meisten XDR-Angebote werben mit dem TDIR-Workflow, da dies das für den Käufer relevante Ergebnis ist, und die meisten TDIR-Plattformen beinhalten eine Korrelation der XDR-Klasse. Der Unterschied ist für die Bewertung von Bedeutung: Fragen Sie Anbieter, ob sie sich selbst als Workflow-Enabler oder als Tool-Kategorie beschreiben, und prüfen Sie Ausschreibungen im Hinblick auf den Workflow, um Funktionslücken aufzudecken.

Inwiefern stimmen die Meldefristen von DORA und NIS2 mit denen von TDIR überein?

DORA (in Kraft seit dem 17. Januar 2025) schreibt die Einstufung schwerwiegender Vorfälle innerhalb von 4 Stunden nach ihrer Feststellung, eine Vorabmeldung innerhalb von 24 Stunden und einen detaillierten Bericht innerhalb von 72 Stunden vor. NIS2 verlangt eine Erstmeldung innerhalb von 24 Stunden, einen detaillierten Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Das 4-Stunden-Fenster für die DORA-Einstufung ist die knappste gängige Frist für die Offenlegung von Cybervorfällen und bestimmt die Gestaltung der TDIR-Playbooks für Finanzunternehmen in der EU. Um die Fristen auf TDIR abzustimmen, sollten Sie die Feststellung der Wesentlichkeit in die Untersuchungsphase integrieren (nicht als separaten Workflow), Offenlegungsvorlagen vorab mit der Rechts- und Kommunikationsabteilung abstimmen und einen benannten Entscheidungsträger für die Beurteilung der Wesentlichkeit während der Reaktionsphase zuweisen. Testen Sie den Workflow mindestens vierteljährlich anhand von Tabletop-Übungen, die den Schritt der behördlichen Meldung beinhalten. Programme, die Fristen erst nachträglich festlegen, verpassen regelmäßig das DORA-Fenster, da die Entscheidung über die Wesentlichkeit der Engpass ist, nicht die technische Eindämmung. Das NIS2- und DORA-Whitepaper der ISACA behandelt die länderübergreifenden Nuancen.