Threat hunting : Ein Leitfaden für Käufer zu Kategorien, Kriterien und Belegen

Wichtige Erkenntnisse

  • Threat hunting lassen sich in vier Kategorien einteilen – SIEM- und Analyseplattformen, EDR/XDR, NDR und Threat Intelligence –, wobei jede Kategorie unterschiedliche Telemetriedaten erfasst.
  • Der Einsatz von KI ist nahezu allgegenwärtig, doch laut der maßgeblichen „Hunting“-Umfrage 2025 sind die Auswirkungen der KI auf die Aufdeckung von Bedrohungsakteuren „nach wie vor begrenzt“.
  • Die mittlere Verweildauer stieg auf 14 Tage, obwohl die Zeit bis zum ersten Zugriff auf 22 Sekunden sank – Eindringversuche werden länger übersehen, nicht langsamer abgearbeitet.
  • Bewerten Sie jedes Tool anhand von sieben Kriterien: Telemetrieabdeckung, Abfragefähigkeit, Datenaufbewahrungsdauer, nachprüfbare Zuordnung zu ATT&CK, Basiszeit, KI-Transparenz und messbare Kosten.
  • Die meisten Teams entscheiden sich für einen hybriden Ansatz – schließen Sie zunächst Ihre größte Lücke in der Telemetrie, in der Regel die Transparenz in Bezug auf Netzwerk oder Identitäten.
  • Ergebnisorientierte Rahmenwerke wie NIST CSF 2.0 legen Ziele und Messgrößen fest, nicht Produkte, was den Einkauf nach Kategorien statt nach Marken begünstigt.

Die meisten Seiten, die bei der Suche nach threat hunting ganz oben ranken, sind Anbieter-Listen – Ranglisten von Marken, die kaum durch Belege untermauert sind. Dieser Leitfaden verfolgt stattdessen den Ansatz des Käufers. Er vergleicht die vier Kategorien von threat hunting , wendet sieben Bewertungskriterien mit Mindestanforderungen für 2026 an, geht die Entscheidung zwischen Eigenentwicklung, Kauf und Open Source durch und stützt jede Empfehlung auf aktuelle Primärquellen. Bei KI kommt es vor allem auf Ehrlichkeit an. Laut dem „Global Cybersecurity Outlook 2026“ des Weltwirtschaftsforums ist der Einsatz von KI nahezu universell verbreitet, doch die führende Umfrage zum Thema Threat Hunting kommt zu dem Schluss, dass „der Einfluss KI-basierter Techniken auf die Aufdeckung von Bedrohungsakteuren nach wie vor begrenzt ist“ (SANS 2025 Threat Hunting ). Wenn Sie entscheiden, was Sie einem EDR-zentrierten Stack hinzufügen möchten, kommt es vor allem auf die Telemetrieabdeckung an – also darauf, in welcher Kategorie das Angreiferverhalten auftritt, das Sie derzeit nicht erkennen können –, und nicht darauf, welche Marke eine Liste anführt.

Was sind threat hunting ?

Threat hunting sind Softwareplattformen und Datenquellen, mit denen Sicherheitsteams ihre Umgebung proaktiv nach Angreifern durchsuchen können, die automatisierten Warnmeldungen entgehen. Sie lassen sich in vier Kategorien einteilen – SIEM- und Analyseplattformen, endpoint and Response (EDR), Network Detection and Response (NDR) sowie Threat Intelligence – und werden anhand der Telemetrieabdeckung, der Abfragefähigkeit und der glaubwürdigen Nachweise für ihre Erkennungsergebnisse bewertet.

Drei Funktionen unterscheiden ein Tool zur Bedrohungssuche von einem reinen Warnsystem: beliebige Abfragen und Pivot-Funktionen, die Speicherung von Telemetriedaten zur nachträglichen Analyse sowie die Unterstützung hypothesengestützter Untersuchungen anstelle einer Regel-Engine, die auf bekannte Signaturen reagiert. Auf dieser Seite wird davon ausgegangen, dass Sie bereits mit dem Fachgebiet selbst vertraut sind – der threat hunting behandelt den Prozess, die Frameworks und die Vorteile – und dass Sie verstehen, wie proaktive Bedrohungssuche die alarmgesteuerte Bedrohungserkennung ergänzt. Im Folgenden geht es ausschließlich um die Wahl des richtigen Tools.

Die häufigste Unklarheit besteht darin, wie sich diese Tools von den bereits bei Ihnen eingesetzten Lösungen unterscheiden. Ein SIEM zentralisiert Protokolle und löst bei Erfüllung der von Ihnen festgelegten Regeln Alarm aus – es beantwortet Fragen, die Sie sich im Voraus gestellt haben. Endpoint and Response überwacht verwaltete Hosts intensiv, bietet jedoch kaum Einblicke über diese hinaus. threat hunting ist jede Plattform, die einem Analysten die Telemetriedaten und die Abfragefunktionen zur Verfügung stellt, um eine neue Hypothese zum Verhalten von Angreifern zu überprüfen – weshalb alle vier Kategorien in diesem Leitfaden in Frage kommen, wenn sie diese Anforderungen erfüllen, und warum keine einzelne Kategorie für sich allein ausreicht.

Diese neue Sichtweise ist die erste Erkenntnis des Käufers. Bei fundierten Bewertungen steht das kategorieorientierte Denken im Vordergrund, denn die eigentliche Entscheidung hängt von der Telemetrieabdeckung ab, nicht von der Marke. Fragen Sie sich, welche Angreiferaktivitäten Sie derzeit nicht erkennen können – im Netzwerk, in Identitätssystemen, in cloud –, und die Auswahlliste der Tools für threat hunting ergibt sich threat hunting von selbst. Der Rest dieses Leitfadens liefert die Belege, die Kriterien und den Entscheidungsrahmen, um diese Auswahlliste zu untermauern.

Was die Fakten zeigen: Der Stand der threat hunting 2026

Beginnen wir mit dem Argument, mit dem jeder Anbieter mittlerweile wirbt: KI. Die Verbreitung ist tatsächlich nahezu flächendeckend – 77 % der Unternehmen haben KI für die Cybersicherheit implementiert, und 94 % bezeichnen KI als den größten Treiber des Wandels im Jahr 2026 (WEF Global Cybersecurity Outlook 2026). Doch die Verbreitung und die nachgewiesene Wirksamkeit bei der Bedrohungssuche sind zwei verschiedene Dinge, die in dieser Kategorie jedoch regelmäßig miteinander verwechselt werden. Die Threat Hunting aus dem Jahr 2025 spricht Klartext: In der Zusammenfassung heißt es, dass „der Einfluss KI-basierter Techniken auf die Aufdeckung von Angreifern nach wie vor begrenzt ist“, und die einzige konkrete KI-Kennzahl bleibt statistisch gesehen unverändert – 48 % im Jahr 2025 gegenüber 47 % im Jahr 2024. KI reduziert eindeutig den Aufwand für die Triage und manuelle Arbeiten. Die autonome Erkennung neuartiger Angreifer ist der Bereich, für den es bislang noch keine Belege gibt.

Auch die übrigen Belege aus dem Jahr 2026 sind ebenso konkret:

  • Die Verweildauer steigt, statt zu sinken. Die globale Median-Verweildauer stieg von 11 auf 14 Tage (Mandiant M-Trends 2026) – obwohl sich das Median-Zeitfenster vom ersten Zugriff bis zur Übergabe von mehr als acht Stunden im Jahr 2022 auf 22 Sekunden im Jahr 2025 verkürzte. Eindringversuche bleiben länger unentdeckt, werden aber nicht langsamer ausgeführt.
  • Die interne Erkennung verbessert die Ergebnisse. In 52 % der Fälle wurden böswillige Aktivitäten zuerst intern entdeckt – ein Anstieg gegenüber 43 % (M-Trends 2026). Dies ist der deutlichste Beleg dafür, dass interne Ermittlungskapazitäten die Ergebnisse beeinflussen.
  • Die Angreifer lassen von sich ab. Prozessinjektion (T1055) belegte mit 30 % zum dritten Mal in Folge den ersten Platz; Angreifer „konzentrierten 80 % ihrer Vorgehensweisen auf Tarnung, Ausweichen und Persistenz“ sowie auf ransomware (T1486) sank relativ gesehen um 38 % (Picus Red-Bericht 2026).
  • Die Kundenakquise wird zunehmend intern abgewickelt, während die Messung der Ergebnisse immer mehr vernachlässigt wird. Der Anteil der Teams, die die Kundenakquise intern verwalten, stieg von 45 % auf 58 %, doch nur 51 % messen die Effektivität der Kundenakquise formell (ein Rückgang von 64 %), und 38 % führen überhaupt keine Messungen durch (SANS 2025).
  • Der Fachkräftemangel ist real und verschärft sich zunehmend. Ganze 95 % der Unternehmen geben an, mindestens eine Qualifikationslücke zu haben, und 59 % stufen diese als kritisch oder erheblich ein – ein Anstieg gegenüber 44 % (ISC2-Studie zur Cybersicherheits-Belegschaft 2025).
  • Das Zeitfenster für den Angriff wird immer kürzer. Laut dem „Unit 42 Global Incident Response Report 2026“ beträgt die Medianzeit vom Eindringen in das System bis zur Datenexfiltration zwei Tage, im schnellsten Quartil erfolgt die Exfiltration bereits nach 72 Minuten (gegenüber 285 Minuten im Vorjahr), und in rund 90 % der Untersuchungen werden Schwachstellen bei der Identitätsverwaltung festgestellt (Unit 42-Studie, 2026).

Zusammengenommen beschreiben diese Zahlen einen Angreifer, der am Einstiegspunkt schnell vorgeht und sich anschließend wochenlang ruhig verhält – das Profil einer modernen, fortgeschrittenen, persistenten Bedrohung. In der ruhigen Phase nutzt der Angreifer die „Living off the Land“ (LOTL)-Taktik – den Missbrauch legitimer, integrierter Tools und Administratorfunktionen, die signaturbasierten Warnsystemen keine Anhaltspunkte liefern. Nur durch proaktive Suche in den gespeicherten Telemetriedaten lässt sich der Angreifer aufspüren.

Das aktuellste Beispiel ist die Empfehlung der CISA vom Juli 2026 zur Router-Sicherheit. Am 13. Juli 2026 veröffentlichten die CISA, die NSA, das FBI und DC3 gemeinsam mit internationalen Partnern eine gemeinsame Empfehlung AA26-194A, „Verbesserung der Router-Sicherheit zum Schutz vor staatlich geförderten Angriffen aus Russland“. Die Kampagne wird Akteuren des russischen FSB-Zentrums 16 zugeschrieben, die unter den Namen „Berserk Bear“ und „Static Tundra“ – einer Gruppe aus der „Dragonfly“-Familie – bekannt sind und legitime Geräteverwaltungsfunktionen von Netzwerkgeräten missbrauchen, wobei Cisco-Produkte laut der Sicherheitsempfehlung als Ziel der Angriffe genannt werden (Nextgov/FCW). Die Vorgehensweise basiert ganz auf dem Prinzip „Living off the Land“: schwache SNMP-Community-Strings, SNMP-Set-Anfragen, die laufende Konfigurationen kopieren, TFTP-Übertragungen dieser Konfigurationen und Anmeldungen über nicht standardmäßige Konten. Da auf diesen Geräten keine Endpoint ausgeführt werden können, basieren die Empfehlungen des Sicherheitshinweises auf Telemetriedaten – SNMP absichern, ausgehenden TFTP-Verkehr überwachen, Warnmeldungen bei Artefakten aus Konfigurations-Dumps auslösen, wie beispielsweise config.bkp und output.txt, und Anmeldungen auf Konten, die von der Norm abweichen, zu kennzeichnen. Der Anbieter von Angreifer-Emulationslösungen AttackIQ hat bereits veröffentlicht Testbare Erkennungsszenarien für die Empfehlung. Für einen Käufer ergibt sich daraus eine strukturelle Erkenntnis: Diese Kampagne ist für einen endpoint Endpunkt-Stack nicht sichtbar.

Was sich tatsächlich geändert hat – eine Korrekturtabelle

Da die meisten Seiten, die zu diesem Suchbegriff ranken, keinerlei Quellenangaben zu den Statistiken enthalten, kursieren veraltete Zahlen ungehindert. Die folgende Tabelle korrigiert die vier häufigsten Angaben anhand der Primärquellen (Stand: Mitte 2026).

Tabelle 1. Vergleich der häufig zitierten Statistiken zur Bedrohungssuche mit den Primärquellen, 2026.

Eine vielfach wiederholte Behauptung Was in der Grundsatzerklärung tatsächlich steht Quelle (Jahr)
„Die Verweildauer sinkt weiter – 10 Tage, so niedrig wie nie zuvor“ (ältere Varianten geben noch 181 oder 280 Tage an) Die weltweite mittlere Verweildauer stieg im letzten Berichtszeitraum von 11 auf 14 Tage; die Angabe „10 Tage“ bezieht sich auf Daten aus dem Jahr 2024, und die höheren Werte stammen aus noch früherer Zeit. Mandiant M-Trends 2026
„Bei 49 % der ransomware kamen ‚Living-off-the-Land‘-Techniken zum Einsatz.“ 49 % der befragten Sicherheitsverantwortlichen stellten bei ransomware von ihnen aufgedeckten ransomware LOTL fest, ein Anstieg gegenüber 42 % – hierbei handelt es sich um einen Wert, der die Beobachtungen der Sicherheitsverantwortlichen widerspiegelt, nicht um den Anteil an allen Angriffen. SANS Threat Hunting 2025
„Gezielte Datenexfiltration ist mit 57 % das größte Anliegen der Sicherheitsverantwortlichen.“ Die Sorge darüber, dass Angreifer handelsübliche Tools einsetzen, steht mit 58,8 % an erster Stelle; gezielte Datenexfiltration liegt mit 56,9 % an zweiter Stelle. SANS Threat Hunting 2025
„Der Personalmangel im Bereich Cybersicherheit beläuft sich auf 3,4 Millionen Menschen.“ ISC2 hat keine Schätzung zum Fachkräftemangel im Jahr 2025 veröffentlicht; laut dem Bericht weisen 95 % der Unternehmen mindestens eine Qualifikationslücke auf, wobei 59 % diese als kritisch oder erheblich einstufen. ISC2-Studie zum Personalbedarf im Bereich Cybersicherheit 2025

Die vier Kategorien von threat hunting

Jede seriöse Auflistung threat hunting lässt sich auf dieselben vier Kategorien zurückführen: SIEM- und Sicherheitsanalyseplattformen, endpoint and Response mit der XDR-Erweiterung, Network Detection and Response sowie Threat Intelligence mit Anreicherung. Betrachten Sie die KI-gestützte Bedrohungssuche als eine Funktionsschicht, die sich über alle vier Kategorien erstreckt, und nicht als fünfte Produktklasse – denn die Belege für eine autonome Erkennung liegen noch nicht vor. Ein struktureller Hinweis: In einigen viel beachteten Vergleichen wird die Kategorie „Netzwerk“ gänzlich ausgelassen. Die von SANS festgestellte Tatsache, dass LOTL-Techniken die am häufigsten beobachtete Taktik staatlicher Akteure sind und von 76 % der Befragten genannt wurden (SANS 2025), ist der Grund dafür, dass Netzwerktelemetrie nicht optional sein darf.

Vergleichsgrafik zu vier Kategorien threat hunting – SIEM und Analytik, EDR/XDR, NDR und Threat Intelligence –, aus der hervorgeht, welche Telemetriedaten die einzelnen Tools erfassen und welche Angreiferverhalten sie aufdecken.
Die vier Kategorien von threat hunting , verglichen anhand der Telemetriedaten, die jedes einzelne erfasst, und des Angreiferverhaltens, auf das jedes einzelne abzielt.

Tabelle 2. Vergleich der vier Kategorien von threat hunting hinsichtlich Telemetrie, Stärken, Schwachstellen und der am besten geeigneten Zielgruppe.

Kategorie Was es jagt / Telemetrie Stärken Blinde Flecken Am besten geeignet für
SIEM und Sicherheitsanalysen (mit UEBA) Aggregierte Protokolle aus dem gesamten Netzwerk; Abweichungen von den Referenzwerten bei Benutzern und Entitäten Zentrale Suche und Aufbewahrung; eine Suchoberfläche für viele Quellen Alles, was niemals Protokolle erzeugt; die Kosten skalieren mit dem Erfassungsvolumen Teams, die eine zentrale Anlaufstelle benötigen, um viele Quellen abzufragen
EDR / XDR Prozess-, Datei-, Registrierungs- und Speichertelemetrie auf verwalteten Hosts; XDR korreliert Identitäten und cloud Umfassende endpoint ; detaillierte Prozessverfolgung Nicht verwaltete und nicht verwaltbare Geräte – Router, Edge-Geräte, IoT/OT – sowie Missbrauch ausschließlich im Netzwerk Umgebungen, in denen der endpoint das Hauptschlachtfeld endpoint
NDR Netzwerkverkehr und Metadaten; Ost-West-Verkehr zwischen Hosts Erkennt seitliche Bewegungen, „Command-and-Control“-Aktivitäten sowie LOTL-Missbrauch, der keine endpoint hinterlässt Erfordert die Anbringung von Sensoren und eine Basisphase, bevor sich die Erkennungsergebnisse stabilisieren Die Netzwerkschicht der Sichtbarkeitsarchitektur; LOTL und die Suche nach Edge-Geräten
Bedrohungsinformationen und -anreicherung TTPs von Akteuren, Indikatoren und Open-Source-Signale Wandelt Beobachtungen in Hypothesen um; fügt jeder anderen Kategorie Kontext hinzu An sich kein Jagdgrund; die Qualität hängt vom Futter ab Ein Beitrag zu den anderen drei Kategorien, kein eigenständiges Suchwerkzeug

SIEM- und Sicherheitsanalyseplattformen bilden die Grundlage für die Suche von Teams, die eine zentrale Anlaufstelle benötigen, um zahlreiche Quellen abzufragen. Ein SIEM aggregiert und korreliert Protokolle aus der gesamten Infrastruktur, und durch die Einbindung von User and Entity Behavior Analytics (UEBA) werden über die reine Suche hinaus Abweichungen von der Basislinie aufgespürt. Die Stärken liegen in der zentralisierten Aufbewahrung und einer einheitlichen Abfrageoberfläche. Der strukturelle blinde Fleck sind alle Vorgänge, die niemals ein Protokoll erzeugen, und die Kosten steigen mit dem Erfassungsvolumen – genau deshalb bestimmen letztendlich die Entscheidungen zur Aufbewahrungsdauer die Tiefe der Suche.

Endpoint and Response (EDR) verfügt über die umfassendsten Host-Telemetriedaten – Prozesse, Dateien, Registrierungsdaten, Arbeitsspeicher – und Extended Detection and Response (XDR) erweitert diese Korrelation auf Identitäten und cloud. Wenn der endpoint das Schlachtfeld endpoint , gibt es nichts Vergleichbares. Allerdings können EDR-Tools nicht verwaltete und nicht verwaltbare Geräte – Router, Edge-Geräte, IoT und OT – nicht erfassen. Diese Lücke wird von Programmen zum Angriffsflächenmanagement immer wieder aufgedeckt, und die Kampagne „AA26-194A“ zeigt, dass Angreifer sie gezielt ausnutzen. Endpoint allein reicht für die „Living-off-the-Land“-Jagd nicht aus.

Die Netzwerkerkennung und -reaktion (NDR) analysiert den Datenverkehr und die Metadaten anhand von Verhaltensmustern. Auf diese Weise können Sicherheitsverantwortliche Command-and-Control-Aktivitäten, laterale Bewegungen und LOTL-Missbrauch aufdecken, die keine endpoint hinterlassen. NDR erfordert die Installation von Sensoren und eine Basisphase, bevor sich die Erkennungsergebnisse stabilisieren – planen Sie beides ein –, doch es ist genau diese Kategorie, die die Lücke schließt, die in der Empfehlung zur Router-Hygiene beschrieben wird, und die natürliche Netzwerkschicht einer ausgewogenen Transparenzarchitektur darstellt.

Threat Intelligence und Anreicherung verwandeln eine Beobachtung in eine Hypothese – TTPs von Akteuren, Indikatoren und Signale aus offenen Quellen, die einem Hunter Aufschluss darüber geben, wo er als Nächstes suchen sollte. Dabei handelt es sich eher um eine Grundlage für die anderen drei Kategorien als um einen eigenständigen Suchbereich; der spezielle Leitfaden zu Threat-Intelligence-Tools behandelt Plattformen, Feeds und Preise ausführlich.

In allen vier Bereichen lohnen sich KI-gestützte Funktionen – wie unterstützte Triage, quellenübergreifende Korrelation und Abfragen in natürlicher Sprache – dann, wenn sie nachweislich die Arbeit eines Analysten beschleunigen. Bewerten Sie diese Funktionen als Teil einer Kategorie und nicht als eigenständige Kategorie. Die folgenden Bewertungskriterien geben Ihnen genau die Fragen vor, die Sie stellen sollten.

So funktionieren threat hunting – von der Telemetrie bis zur validierten Suche

Unabhängig von der Kategorie besteht die Pipeline aus denselben fünf Phasen. Die Tools erfassen Telemetriedaten aus so vielen Quellen wie möglich, reichern diese mit Kontextinformationen an – Asset-Identität, Geolokalisierung, Abgleiche mit Informationsdaten – und wenden anschließend Musteranalysen an, um Abweichungen vom Referenzwert aufzudecken. Durch Korrelation werden verwandte Ereignisse zu einer für Menschen nachvollziehbaren Darstellung verknüpft, und im Rahmen der Untersuchung wird die Hypothese bestätigt oder verworfen. Die Pipeline ist für einen Käufer von Bedeutung, da sich die Tools in jeder Phase tatsächlich unterscheiden: Was sie erfassen, bestimmt, was sie finden können, und wie gut sie korrelieren, entscheidet darüber, wie viel Arbeit ein Analyst manuell nachbearbeiten muss.

Die Pipeline verdeutlicht zudem, warum die Verhaltensanalyse zur tragenden Säule geworden ist. Signatur- und regelbasierte Erkennung greift nur bei Vorfällen, die jemand vorhergesehen hat, und „Living-off-the-Land“-Aktivitäten sind auf Signaturebene naturgemäß nicht von Verwaltungsvorgängen zu unterscheiden. Die Erstellung von Verhaltens-Baselines über Netzwerk und Identität hinweg verwandelt „ein legitimes Konto hat ein legitimes Tool ausgeführt“ in einen Hinweis für die Bedrohungssuche – weshalb sich sowohl proaktive Methoden als auch Tools threat hunting auf hypothesengesteuertes Arbeiten mit gespeicherten, angereicherten Telemetriedaten konzentrieren.

Abdeckungskarte, aus der hervorgeht, welche Kategorien threat hunting  cloud zu endpoint, Netzwerken, Identitäten und cloud erfassen.
Jede Kategorie threat hunting deckt einen anderen Bereich cloud endpoint, Netzwerken, Identitäten und cloud ab – genau in den Lücken scheitern die Suchvorgänge.

So bewerten Sie threat hunting : sieben Kriterien

„Was sind die besten threat hunting ?“ – diese Frage stellt sich bei jeder Bewertung irgendwann, und Ranglisten der besten threat hunting können sie nicht beantworten – eine Bewertungsrubrik hingegen schon. Die besten threat hunting in Ihrer Umgebung sind diejenigen, die sieben Tests in Bezug auf Ihre Telemetriedaten, Ihr Team und Ihr Bedrohungsmodell bestehen. Die folgende Bewertungsmatrix lässt sich auf jeden Kandidaten anwenden, egal ob kommerziell oder Open Source, und dient gleichzeitig als Vorlage für eine Ausschreibung. Unabhängig davon, ob ein Anbieter sein Produkt als threat hunting , als Analysesuite oder als Erkennungstool mit Hunt-Funktionen vermarktet, gelten dieselben sieben Kriterien:

  1. Telemetrieabdeckung für endpoint, Netzwerk, Identitäten und cloud.
  2. Abfragesprache und quellenübergreifendes Pivoting, die ein Analyst durchführen kann.
  3. Die Aufbewahrungsdauer und der Rückblick sind für die aktuellen Verweildauern ausreichend lang.
  4. MITRE ATT&CK , die Sie auf Technikebene überprüfen können.
  5. Dokumentierte durchschnittliche Zeit bis zur Wertschöpfung, in der Regel 60–90 Tage.
  6. Ehrliche Automatisierung: KI-gestützter Support versus Behauptungen über KI-native Autonomie.
  7. Vorhersehbares Kostenmodell mit integrierter Wirkungsmessung.

Tabelle 3. Sieben herstellerunabhängige Kriterien zur Bewertung von threat hunting mit Mindestanforderungen für das Jahr 2026.

Kriterium Warum es wichtig ist Wie man bewertet Mindestbar im Jahr 2026
1. Abdeckung der Datenquellen LOTL und Edge-Missbrauch sind für Stacks, die endpoint, nicht erkennbar Ordnen Sie die native Telemetrie des Tools Ihrer Umgebung zu Native Transparenz in Bezug auf endpoint, Netzwerk und Identitäten – nicht endpoint
2. Abfragesprache und Pivotierung „Hunts“ sind willkürliche Hypothesen, keine vorgefertigten Regeln Führen Sie während der Testphase eine praktische Suche durch Ad-hoc-Abfragesprache plus quellenübergreifende Pivot-Analyse
3. Datenaufbewahrung und Rückblick Die mittlere Verweildauer beträgt 14 Tage; manche Eindringlinge bleiben über Jahre hinweg bestehen Legen Sie das Aufbewahrungsfenster fest, das Sie tatsächlich benötigen Mindestens 90 Tage leicht abrufbare Telemetriedaten
4. Nachweisbare MITRE ATT&CK -Rahmens Die angegebenen Deckungsquoten dienen zu Marketingzwecken, bis das Gegenteil bewiesen ist Fragen Sie nach Belegen auf technischer Ebene und nach der Erkennungslogik Zuordnung auf technischer Ebene, die Sie anhand von Testdaten überprüfen können
5. Zeit bis zum ersten Nutzen (Baseline) Die Verhaltenserkennung benötigt eine Einarbeitungszeit, bevor sie zuverlässig funktioniert. Fragen Sie, ab wann die Erkennungsergebnisse zuverlässig sind Eine dokumentierte Basisphase von 60–90 Tagen, für die Mittel veranschlagt wurden
6. Automatisierung und Ehrlichkeit im Bereich der KI Die Belege für eine eigenständige Entdeckung sind nach wie vor begrenzt Fragen Sie, was die KI übernimmt und was ein Mensch noch tun muss „Human-in-the-Loop“-Ansatz für Maßnahmen mit hohem Risikograd; offengelegte Sicherheitsgrenzen
7. Kostenmodell und Messbarkeit Nur 51 % der Teams messen die Effektivität der Kundenakquise formell Passen Sie die Preisgestaltungendpoint pro Datenaufnahmevolumen an Ihren tatsächlichen Umfang an Vorhersehbare Kosten plus integrierte Wirkungsmessung

Kriterium 1 entscheidet darüber, ob eine Bewertung erfolgreich ist oder nicht, da die Telemetrie bestimmt, was eine Hunt überhaupt erkennen kann. Die in AA26-194A dokumentierten „Living-off-the-Land“-Angriffe und der Missbrauch von Edge-Geräten sind für einen endpoint Stack unsichtbar – auf einem Router läuft kein Agent –, und die Identitätsfläche spielt bei den meisten aktuellen Untersuchungen eine Rolle. Ordnen Sie die native Telemetrie jedes Anbieters Ihrer Umgebung zu und betrachten Sie die Abdeckung durch Netzwerk-Erkennung und -Reaktion als eine Anforderung erster Ordnung und nicht als bloßes Zusatzfeature. Die Mindestanforderung für 2026 ist die kombinierte native Transparenz endpoint, Netzwerk und Identitäten.

Die Kriterien 2 und 3 gehören zusammen, denn Abfragefunktionen nützen nichts, wenn die Telemetriedaten nicht mehr vorhanden sind. Bestehen Sie auf einer Ad-hoc-Abfragesprache und quellenübergreifendem Pivoting und testen Sie beides im Rahmen einer Live-Suche während der Testphase – durchgeführt von Ihrem eigenen SOC-Analysten, nicht vom Vertriebsingenieur des Anbieters. Legen Sie dann die Kosten für die Datenaufbewahrung ehrlich fest. Die mediane Verweildauer von 14 Tagen (M-Trends 2026) ist die Untergrenze, nicht die Planungsgröße – Volt Typhoon mindestens fünf Jahre lang in kritischen Infrastrukturen der USA Volt Typhoon (CISA AA24-038A, 2024). Neunzig Tage an leicht durchsuchbaren Telemetriedaten sind das glaubwürdige Minimum für 2026.

Kriterium 4 befasst sich mit der am häufigsten manipulierten Zahl auf dem Markt: MITRE ATT&CK Abdeckung. Ein Prozentsatz sagt nichts über die Tiefe aus – die Behandlung einer Teiltechnik von T1059 (Befehls- und Skript-Interpreter, Version 2.7, mit 13 Untertechniken) deckt diese Technik nicht ab. Fragen Sie nach Zuordnungen auf Technikebene, der dahinterstehenden Erkennungslogik und Nachweisen, die Sie anhand von Testdaten in Ihrer eigenen Umgebung überprüfen können. Ein Anbieter, der Ihnen erklärt, wie Sie seine Behauptungen überprüfen können, sagt Ihnen damit bereits etwas; einer, der sich dagegen sträubt, sagt Ihnen noch mehr.

Kriterium 5 ist dasjenige, das auf fast keiner Ranking-Seite erwähnt wird: Verhaltensanalyse-Tools liefern nicht vom ersten Tag an einen Mehrwert. Verhaltens-Baselines benötigen 60–90 Tage, bevor die Erkennung von Anomalien zuverlässig ist – so die Expertenmeinung von Jason Martin von Permiso in den „Cyber Insights 2026“ von SecurityWeek – und ein Anbieter, der seinen Baseline-Zeitraum nicht offenlegt, hat diesen noch nicht in Betrieb genommen. Fragen Sie, ab wann die Erkennungen zuverlässig sind, fragen Sie, was das Tool während der Einarbeitungsphase leisten kann, und planen Sie die dafür benötigte Zeit als Teil des Kaufs ein.

Die Kriterien 6 und 7 schließen den Kreis in Sachen Ehrlichkeit. Man sollte zwischen KI-gestützten Tools, die die Arbeit eines menschlichen „Hunters“ beschleunigen, und den Behauptungen der KI-Befürworter über eine autonome Erkennung unterscheiden – die Erkenntnis von SANS, dass der Einfluss der KI auf die „Hunting“-Aktivitäten „nach wie vor begrenzt“ ist, ist der Grund dafür, dass bei Maßnahmen mit hohem Schweregrad Kontrollen durch den Menschen („Human-in-the-Loop“) sowie offen gelegte Sicherheitsvorkehrungen gefordert werden. Was die Kosten angeht, sollten Sie die Lizenzierungsstruktur –endpoint nach Erfassungsvolumen – anhand Ihrer tatsächlichen Datenmengen modellieren und dann noch einen Schritt weitergehen. Nur 51 % der Teams messen die Effektivität der Bedrohungssuche formell, ein Rückgang gegenüber 64 % (SANS 2025); bevorzugen Sie daher Tools, die von Haus aus Kennzahlen zur Suchwirksamkeit generieren. Ein Tool, das Sie nicht messen können, ist ein Tool, das Sie bei der Vertragsverlängerung nicht verteidigen können.

Selbst entwickeln, kaufen oder Open Source nutzen: Ein Entscheidungsrahmen

Die Debatte „Selbst entwickeln oder kaufen“ in diesem Markt weist ein Problem hinsichtlich der Offenlegung auf: Die meisten veröffentlichten Quellen, die argumentieren, dass Open Source unzureichend sei, verkaufen ein kommerzielles Produkt. Die ehrliche Herangehensweise geht von Ihren eigenen Einschränkungen aus, nicht vom Angebot eines Anbieters. Open-Source-Tools können hervorragend sein – ihr tatsächlicher Preis besteht aus den Arbeitsstunden qualifizierter Analysten und der Disziplin, die für den Eigenbetrieb erforderlich ist. Kommerzielle Plattformen bieten eine schnelle Amortisation und Support – ihr tatsächlicher Preis sind Lizenzkosten, die mit der Größe Ihrer Infrastruktur skalieren. Fünf Faktoren, abgewogen gegen den Reifegrad Ihres SOC-Betriebs, entscheiden darüber, welche Seite des jeweiligen Kompromisses Sie wählen sollten.

  • Anzahl und Qualifikationen der Analysten. Da 95 % der Unternehmen mindestens eine Qualifikationslücke melden (ISC2 2025), profitiert ein Team mit weniger als zwei fest zugewiesenen „Hunters“ stärker von kommerziellen oder verwalteten Lösungen; ein stark besetzter Kader kann Open-Source-Lösungen gut einsetzen.
  • Die Telemetriedaten, über die Sie bereits verfügen. Wenn SIEM und EDR bereits implementiert sind, liegt der größte Mehrwert in der Regel in der Netzwerk- und Identitätsschicht, die Ihnen noch fehlt – der Vergleich zwischen SIEM und NDR erläutert diesen Kompromiss im Detail.
  • Bedrohungsrisiko und Branche. In Umgebungen mit kritischer Infrastruktur und hohem Edge-Anteil – also genau den Zielen der Akteure Volt Typhoon „AA26-194A“ – sollte der Schwerpunkt eher auf einer gründlichen Suche nach Netzwerk- und Identitätsangriffen liegen als auf endpoint weiteren endpoint .
  • Reifegrad der Messung. Wenn Sie die Effektivität der Kundenakquise noch nicht messen können, kann eine gut ausgestattete kommerzielle oder verwaltete Lösung die Struktur bieten, die internen Tools oft fehlt.
  • Der Markttrend geht in Richtung Hybrid. Der Einsatz interner Tools stieg von 33 % auf 48 %, während die Nutzung kommerzieller Tools von 70 % auf 58 % zurückging (SANS 2025) – die meisten Teams entscheiden sich für eine gemischte Lösung und nicht für eine reine Wahl.

Tabelle 4. Zuordnung der fünf Entscheidungsfaktoren zu Open-Source-, kommerziellen und hybriden threat hunting .

Entscheidungsfaktor Lean Open Source / Build if Günstiges Angebot / Kaufen, wenn Hybridmuster
Anzahl und Qualifikationen der Analysten Es gibt erfahrene Entwickler, die ihre Systeme selbst hosten, optimieren und aktualisieren können Sie haben weniger als zwei spezialisierte Jäger oder Generalisten, die viele verschiedene Aufgaben übernehmen Open-Source-Analysen, die von einem schlanken Kernteam durchgeführt werden; Erkennung kommerzieller Anwendungen in Bereichen, in denen es an Fachkenntnissen mangelt
Telemetrie, über die Sie bereits verfügen Die Abdeckung durch bestehende SIEM- und EDR-Lösungen ist umfassend und durchsuchbar Sie haben eine Schwachstelle im Netzwerk, bei der Identitätsverwaltung oder cloud Sie schnell beheben müssen Behalten Sie die aktuelle Protokollierung bei; erwerben Sie nur die fehlende Telemetrieebene
Risikoexposition und Sektor Risiken im Rohstoffbereich dominieren Ihr Risikomodell Sie betreiben kritische Infrastrukturen oder Edge-lastige Umgebungen, die im Visier staatlicher Akteure stehen Abdeckung kommerzieller Netzwerke und Identitäten sowie Anreicherung durch Open-Source-Daten
Reifegrad der Messung Sie erfassen die Kennzahlen zur Jagdeffektivität bereits intern Man kann die Ergebnisse noch nicht messen und braucht eine fest verankerte Disziplin Geschäftsberichterstattung unter Einbeziehung intern definierter Kennzahlen
Kostenstruktur Die Arbeitsstunden der Analysten kosten Sie weniger als die Lizenzen Vorhersehbare Abonnementkosten sind besser als versteckte Personalkosten Kostenlose Tools für risikoarme Telemetrie, lizenzierte Abdeckung für Kronjuwelen

Wie sieht ein Einstiegsset für die Jagd aus?

In jeder Kategorie gibt es leistungsfähige Einstiegslösungen, für die keine Lizenz erforderlich ist: Open-Source-Netzwerk-Metadatenanalyse für die Transparenz des Datenverkehrs, endpoint für die Host-Abfrage in großem Maßstab, Community-Feeds mit Bedrohungsinformationen zur Anreicherung sowie der ATT&CK Navigator von MITRE zur Abbildung der von Ihnen aufgebauten Abdeckung. Kombinieren Sie diese mit den EDR-Tools, die Sie bereits einsetzen, und Sie können noch heute mit der Bedrohungssuche beginnen. Der ehrliche Kompromiss bleibt jedoch bestehen: Kostenlose Tools verlagern die Kosten von Lizenzen auf die Arbeitsstunden qualifizierter Analysten, und jede selbst gehostete Komponente muss von Ihrem Team gepflegt und betrieben werden.

Zwei Anzeichen deuten darauf hin, dass es Zeit für ein Upgrade ist. Erstens verfügen Sie über Telemetriedaten, die Sie nicht schnell genug durchsuchen können, um eine Hypothese zu überprüfen, solange sie noch von Bedeutung ist. Zweitens können Sie nicht messen, ob die Erkennung funktioniert – die Ergebnisse führen nie zu verifizierten Erkennungen oder einer reibungsloseren Übergabe bei der Incident-Response. Beides sind Anzeichen dafür, dass nun nicht mehr das Team, sondern das Tool die Einschränkung darstellt, und eine kommerzielle Lösung – in der Regel die Netzwerk- oder Identitäts-Telemetrie, die Ihnen fehlt – beginnt, ihren Preis wert zu sein.

Threat hunting und Compliance

Keines der großen Frameworks nennt ein bestimmtes Produkt, und genau darum geht es. Ergebnisorientierte Frameworks legen fest, welche Daten Sie erfassen müssen und welche Ergebnisse Sie erzielen müssen – was einen kategorieorientierten Kauf gegenüber einem markenorientierten Kauf begünstigt und dem Einkäufer stichhaltige Argumente für die Budgetverhandlungen an die Hand gibt.

Das NIST CSF 2.0 fasst die Bedrohungssuche unter seiner Funktion „Detect“ – DE.CM (Continuous Monitoring) und DE.AE (Adverse Event Analysis) – zusammen. In der Unterkategorie DE.CM-01 des NIST CSF 2.0 heißt es wörtlich: „Netzwerke und Netzwerkdienste werden überwacht, um potenziell nachteilige Ereignisse zu erkennen.“ Threat hunting sind die operative Umsetzung dieses Ziels; das Rahmenwerk legt bewusst kein bestimmtes Produkt fest.

Die praktischsten Leitlinien sind zudem kostenlos. Der gemeinsame Leitfaden der CISA zur Erkennung und Abwehr von „Living-off-the-Land“-Techniken ist bewusst herstellerneutral gehalten: Er legt fest, welche Protokollquellen und Verhaltensmuster Sicherheitsverantwortliche benötigen, und räumt der zentralisierten Out-of-Band-Protokollierung Priorität ein, damit Verhaltensanalysen und proaktive Suche überhaupt möglich sind. Die dazugehörige Empfehlung AA24-038A dokumentiert, warum die Messlatte so hoch liegt: Volt Typhoon mindestens fünf Jahre lang in kritischer US-Infrastruktur und setzte dabei 79 ATT&CK-Technik-IDs in 13 Taktiken ein, ohne signaturbasierte Tools auszulösen. Die Empfehlung zur Router-Hygiene für 2026 dehnt dieselbe „Telemetry-First“-Logik auf Geräte am Netzwerkrand aus.

Für Diskussionen über die Architektur bleibt die SOC-Transparenz-Triade ein nützliches Referenzmodell – SIEM für Protokolle, EDR für Endpunkte, NDR für das Netzwerk, wobei jedes die blinden Flecken der anderen abdeckt. Da das Modell bereits vor XDR entstand, sollte man es eher als Blickwinkel auf komplementäre Telemetriedaten betrachten und nicht als Einkaufsliste; es lässt sich jedoch gut auf die vier Kategorien in diesem Leitfaden übertragen.

Tabelle 5. Zuordnung von ergebnisorientierten Rahmenwerken und Leitfäden zu threat hunting .

Rahmenwerk Entsprechende Funktion / Steuerung Wie sich threat hunting einordnen Belege / Anmerkungen
NIST CSF 2.0 Erkennung: DE.CM (Kontinuierliche Überwachung) und DE.AE (Analyse unerwünschter Ereignisse) Die Hunting-Tools setzen die DE.CM-Ergebnisse um, darunter die von DE.CM-01 überwachten Netzwerke und Netzwerkdienste Ergebnisorientiert; nennt kein Produkt (NIST.CSWP.29, 2024)
MITRE ATT&CK Wissensdatenbank zu Angreifern auf technischer Ebene Gemeinsame Sprache für Hypothesen zur Suche und zur Überprüfung der Angaben von Anbietern zur Abdeckung T1059 — Version 2.7, 13 Untertechniken, zuletzt geändert am 12.05.2026
CISA-Leitfaden zum „Living-off-the-Land“-Ansatz Leitfaden zur Erkennung und Absicherung, mit den gemeinsamen Hinweisen AA24-038A und AA26-194A Legt die zu überwachenden Protokollquellen und -verhaltensweisen fest; räumt der bandexternen, zentralisierten Protokollierung Vorrang ein Kostenlos und herstellerunabhängig (CISA, 2024; AA26-194A, 2026)
Die SOC-Transparenz-Triade Referenzmodell: SIEM, EDR und NDR als sich ergänzende Telemetrie Frames – warum keine einzelne Werkzeugkategorie das gesamte Jagdprogramm ausmacht Ein bewährtes Modell, das schon vor XDR existierte – eine Perspektive, keine Vorgabe

Moderne Ansätze für threat hunting

Das „Agentic-SOC“-Konzept – KI-Agenten, die autonom auf die Jagd gehen – ist das meistdiskutierte Thema auf dem Markt, doch die Realität sieht etwas anders aus. KI-gestützte Triage, quellenübergreifende Korrelation und Untersuchungen in natürlicher Sprache führen zu echten Produktivitätssteigerungen, die sich für kleine Teams besonders positiv auswirken. Was die vorliegenden Erkenntnisse jedoch noch nicht belegen, ist die autonome Aufdeckung neuer Angreifer; das Urteil der SANS-Umfrage, wonach dies „nach wie vor begrenzt“ ist, bleibt bestehen, bis sich die Datenlage ändert. Die Formulierung eines Praktikers in den „Cyber Insights 2026“ von SecurityWeek lässt sich kaum übertreffen: „Die Unvorhersehbarkeit und die ungezügelte Neugier eines menschlichen Analysten werden durch nichts zu ersetzen sein.“ Kaufen Sie KI- Fähigkeiten zur Bedrohungserkennung, die diese Neugier verstärken, anstatt zu versprechen, sie überflüssig zu machen.

Der rote Faden, der sich von Volt Typhoon zur Router-Sicherheitsempfehlung für 2026 zieht, ist, dass sich die gefährlichsten Angreifer in legitime Aktivitäten einfügen – von geduldigen, staatlich geförderten Angriffen bis hin zu blitzschnellen ransomware -Gruppen, die mittlerweile mehr Wert auf Tarnung als auf Verschlüsselung legen. Signaturbasierte Tools haben nichts, worauf sie reagieren könnten, daher ist die verhaltensbasierte Erkennung von Bedrohungen im gesamten Netzwerk und über alle Identitätsoberflächen hinweg zum operativ unverzichtbaren Partner für alle endpoint Protokoll-Tools geworden, die Sie bereits einsetzen. Das ist die Richtung, in die sich die gesamte Kategorie entwickelt: weniger Warnmeldungen, mehr validierte Angriffsszenarien.

Wie Vectra AI über threat hunting Vectra AI

Vectra AI threat hunting den Ansatz threat hunting einer Kompromittierung threat hunting : Kompetente Angreifer dringen in das System ein, und die gefährlichsten unter ihnen umgehen von vornherein signatur- und alarmbasierte Tools. Anstatt weitere Warnmeldungen hinzuzufügen, Attack Signal Intelligence KI-gestützte Verhaltenserkennung über Netzwerk, Identitäten und cloud hinweg Attack Signal Intelligence , cloud zusammenhängende Angriffsabläufe aufzudecken – und um schnelle, wiederholbare 5-Minuten-Sucheinsätze zu ermöglichen, die auch schlanke Teams nachhaltig durchführen können.

Das Ziel ist das richtige Signal bei Maschinen-Geschwindigkeit, nicht noch mehr Rauschen. Die „Business Value“-Analyse von IDC für das Jahr 2025 bestätigt diesen Ansatz mit einer Abdeckung von mehr als 90 % MITRE ATT&CK und einem ROI von 391 % bei einer Amortisationszeit von sechs Monaten. Entdecken Sie die Vectra AI oder beginnen Sie mit den neuesten Bedrohungsberichten.

FAQ

Was ist der Unterschied zwischen threat hunting und einem SIEM?

Benötige ich kommerzielle Tools oder reichen Open-Source-Lösungen aus?

Wie viel kosten threat hunting im Jahr 2026?

Kann KI menschliche Bedrohungsjäger ersetzen?

Wie lässt sich überprüfen, ob die Angaben eines Anbieters MITRE ATT&CK zutreffen?

Welche kostenlosen threat hunting gibt es für threat hunting ?

In welches Tool sollte ich als Erstes für threat hunting investieren?