Thought Leadership
Trotz enormer Datensammlung nutzen Unternehmen weniger als die Hälfte ihrer SOC-Quellen und Telemetrie zur Echtzeit-Abwehr von Cyberangriffen.
Unternehmen sammeln größere Mengen an Telemetriedaten als je zuvor. Doch die reine Erfassung von Daten garantiert keine Sicherheit. Der aktuelle Kaspersky-Report „Anatomy of a Cyber World“ belegt eine signifikante Diskrepanz zwischen der verfügbaren Telemetrie und ihrer tatsächlichen Verwendung in der aktiven Bedrohungserkennung. Durchschnittlich fließen lediglich 43 Prozent der von Unternehmen erfassten Datenquellen in die Echtzeit-Erkennungslogik ein. Dieser Umstand führt zu erheblichen blinden Flecken in der Sicherheitsarchitektur von Security Operations Centern (SOCs) weltweit.
Ineffizienz bei hoher Komplexität der Datenquellen
Ein zentrales Ergebnis der Studie ist die Korrelation zwischen der Infrastrukturkomplexität und der Erkennungsrate. Überraschenderweise sinkt die prozentuale Abdeckung durch aktive Erkennungslogik, je vielfältiger die überwachten Quellen sind. In hochkomplexen SOC-Umgebungen, die eine große Bandbreite an unterschiedlichen Telemetriequellen integrieren, liegt die aktive Abdeckung sogar nur bei rund 30 Prozent.
Die restlichen 60 bis 70 Prozent der erfassten Daten verbleiben zwar innerhalb der Plattformen, werden jedoch ausschließlich für nachträgliche Untersuchungen (Forensik), proaktives Threat Hunting oder zur Erfüllung von Compliance-Vorgaben genutzt. Für die unmittelbare Reaktion auf einen laufenden Angriff (Real-Time Detection) bleiben diese Informationen jedoch ungenutzt. Ohne eine regelmäßige Überprüfung und Anpassung dieser Logik riskieren Unternehmen, dass relevante Angriffssignale im Rauschen der ungenutzten Daten untergehen.
Abhängigkeit von Standard-Regelsätzen der Hersteller
Bei der Gestaltung der Erkennungslogik zeigen sich zwei unterschiedliche Ansätze innerhalb der untersuchten Unternehmen. Die Hälfte aller SOCs (50 Prozent) verlässt sich primär auf die vordefinierten Regelsätze der jeweiligen Sicherheitshersteller. Dieser Ansatz verspricht eine schnelle Einsatzbereitschaft, birgt jedoch spezifische Risiken. Herstellerregeln sind oft allgemein gehalten, was in der Praxis häufig zu erhöhten False-Positive-Raten führt. Zudem fehlen ohne individuelle Feinabstimmung oft die spezifischen Erkennungsmuster, die für die jeweilige Unternehmensumgebung kritisch wären.
Demgegenüber stehen 40 Prozent der Organisationen, die ihre Erkennungslogik von Grund auf selbst entwickeln. Dies ermöglicht zwar eine präzisere Ausrichtung auf die eigene Infrastruktur, erfordert jedoch hochspezialisierte Fachkräfte und einen kontinuierlichen Pflegeaufwand. Ein weiteres Problem identifiziert der Bericht bei Unternehmen, die sich stark auf Endpoint Detection and Response (EDR) stützen: Hier entstehen Sicherheitslücken oft durch eine mangelnde Querkorrelation zwischen verschiedenen Datenquellen, wodurch komplexe, mehrstufige Angriffe (Lateral Movement) schwerer zu identifizieren sind.
Statische Konfigurationen als Sicherheitsrisiko
Ein häufig beobachtetes Defizit in der SOC-Praxis ist die mangelnde Revalidierung der Sicherheitsstrategie. Viele Unternehmen definieren den Erkennungsumfang ihres SOC während der initialen Konzeptionsphase. In der Folgezeit unterbleibt jedoch oft eine regelmäßige Überprüfung, ob die gewählten Regeln noch mit der sich ständig wandelnden Bedrohungslage und der sich verändernden internen IT-Landschaft korrespondieren.
„Selbst wenn KPIs definiert sind, ist und bleibt die interne Bewertung der SOC-Effektivität durch die Insider-Perspektive unvollständig. Daher ziehen Unternehmen externes SOC-Consulting hinzu, um zu verstehen, was tatsächlich erkannt wird – durch eine Bewertung der Erkennungslogik und die Analyse von Ereignisabläufen sowie Angriffssimulationen. Im Allgemeinen sollten Unternehmen einen strukturierten Detection-Engineering-Prozess aufbauen, also ein wiederholbares Verfahren für Entwicklung, Validierung und regelmäßige Überprüfung der Erkennungslogik.“
Roman Nazarov, Head of SOC Consulting bei Kaspersky
Bedarf an strukturiertem Detection Engineering
Um die Effektivität der SOCs im Jahr 2026 zu steigern, rücken Methoden des „Detection Engineering“ in den Fokus. Dabei handelt es sich um einen systematischen Prozess, bei dem Erkennungsregeln wie Software behandelt werden, inklusive Versionierung, Testing und kontinuierlicher Optimierung. Die externe Bewertung durch technische Assessments oder Angriffssimulationen (Red Teaming) hilft dabei, die tatsächliche Belastbarkeit der Erkennungslogik unter realen Bedingungen zu testen.
Die Analyse der im vergangenen Jahr durchgeführten Beratungsleistungen zeigt, welche Schwerpunkte Unternehmen derzeit setzen: Am häufigsten wurden technische SOC-Assessments (23 Prozent) und die Entwicklung von SOC-Frameworks (20 Prozent) angefragt. Auch die Qualitätssicherung von SIEM-Systemen (Security Information and Event Management) nimmt mit 12 Prozent einen wichtigen Stellenwert ein. Ziel dieser Maßnahmen ist es, den Reifegrad der SOC-Fähigkeiten gezielt weiterzuentwickeln und die „Time to Detect“ (Zeit bis zur Erkennung) nachhaltig zu senken.
Fazit für die IT-Sicherheitsstrategie 2026
Die Ergebnisse des Berichts verdeutlichen, dass das Sammeln von Daten allein keinen Schutz bietet. Die Herausforderung für Sicherheitsverantwortliche besteht darin, die Sichtbarkeit in verwertbare Erkennungslogik zu transformieren. In einer Zeit, in der Angreifer zunehmend KI-gestützte und automatisierte Methoden nutzen, ist eine Telemetrie-Abdeckung von unter 50 Prozent ein kritisches Risiko. Unternehmen müssen von statischen Erkennungsmodellen zu einem dynamischen, wiederholbaren Detection-Engineering-Prozess übergehen, um mit der Geschwindigkeit moderner Cyberbedrohungen Schritt zu halten.
