Die neue Rolle der Angriffserkennung : Bindeglied zwischen Technik und Governance
„Nicht die Mauern schützen die Stadt, sondern die Wachsamkeit ihrer Bürger.“ Der Satz, dem griechischen Strategen Perikles zugeschrieben, ist über 2000 Jahre alt – und trifft den Kern moderner IT-Sicherheit. Noch so gut gebaute Systeme nützen wenig, wenn Angriffe zu spät auffallen. Der Schwerpunkt der Cybersicherheit verschiebt sich daher: weg von statischer Absicherung, hin zu kontinuierlicher Erkennung.
Lange galt Sicherheit als Nachweispflicht. Richtlinien wurden dokumentiert, Kontrollen definiert, Audits bestanden. Mit fortschreitender Digitalisierung und wachsender Regulierung ist dieses Modell an seine Grenzen gestoßen. Neue Vorgaben wie NIS-2 verlangen mehr als das bloße Vorhandensein von Maßnahmen: Sie fordern Wirksamkeit im Betrieb. Organisationen müssen heute nachweisen, dass sie Risiken kontinuierlich managen, Vorfälle früh erkennen und innerhalb definierter Fristen melden können. Dieser Übergang von formaler Compliance zu operativer Resilienz prägt die aktuelle Entwicklung.
Das verändert auch die Rolle von Detection grundlegend. Sie ist nicht mehr nur ein Teil der Sicherheitsarchitektur. Sie wird zum zentralen Nachweis der unternehmerischen Handlungsfähigkeit.
Detection als Engpass moderner Sicherheit
Die größte Schwachstelle vieler Organisationen liegt nicht in der Abwehr, sondern in der Erkennung. Angriffe bleiben oft lange unentdeckt. Wenn Angreifer automatisiert vorgehen und sich lateral durch die Systeme bewegen, entscheidet die Geschwindigkeit der Erkennung über das Ausmaß des Schadens.
Regulatorische Anforderungen verschärfen diesen Druck zusätzlich. NIS-2 verlangt eine Erstmeldung innerhalb von 24 Stunden. Diese Frist ist kein formaler Wert, sondern ein operativer Stresstest für die gesamte Sicherheitsorganisation. Wer in diesem Zeitraum keine klaren Erkenntnisse liefern kann, hat nicht nur ein technisches Problem. Er hat ein Compliance-Problem. Detection wird damit zum Bindeglied zwischen Technik und Governance. Sie liefert die Grundlage für Entscheidungen, für Berichte und für die Steuerung von Risiken.
BSI-Testat als Indikator für operative Qualität
Vor diesem Hintergrund gewinnt das BSI C5 Typ 2 Testat eine besondere Bedeutung. Dabei handelt es sich um ein Prüf- und Nachweisverfahren des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Cloud-Dienstleister. Grundlage ist der Kriterienkatalog Cloud Computing Compliance Criteria Catalogue (C5), der detaillierte Anforderungen an Informationssicherheit, Datenschutz, Transparenz und Betrieb stellt. Das BSI will damit ein einheitliches, praxisnahes Sicherheitsniveau definieren, das Vertrauen schafft und gleichzeitig den steigenden Anforderungen an digitale Infrastrukturen gerecht wird.
Der Unterschied zu einfacheren Nachweisen liegt im „Typ 2“: Hier wird nicht nur geprüft, ob Sicherheitsmaßnahmen vorhanden sind, sondern ob sie über einen längeren Zeitraum hinweg tatsächlich wirksam betrieben wurden. Es geht also um gelebte Sicherheit im Alltag, nicht um ein einmaliges Audit.
Genau dieser Unterschied ist entscheidend. Ein statisches Zertifikat sagt wenig über die Realität im Betrieb. Ein Typ 2 Testat hingegen bewertet die tatsächliche Umsetzung. Es ist ein Indikator für Stabilität, Nachvollziehbarkeit und operative Reife. Für Organisationen in regulierten Branchen also deutlich mehr als ein formaler Nachweis. Es ist ein Signal, dass Sicherheitsprozesse unter realen Bedingungen funktionieren. Gerade in Deutschland gilt das C5-Testat als Referenz für Cloud-Sicherheit und als Voraussetzung in vielen Beschaffungsprozessen. Doch ein Testat allein löst das Problem nicht. Es schafft Vertrauen. Die eigentliche Leistung entsteht im täglichen Betrieb. Und dort entscheidet Detection.
Fragmentierte Architekturen greifen zu kurz
Viele Sicherheitsarchitekturen sind historisch gewachsen. Sie bestehen aus Einzellösungen, die jeweils einen Teil des Problems adressieren. Monitoring hier, Incident Response dort, Exposure Management an anderer Stelle. Das führt zu Fragmentierung. Daten liegen verteilt vor. Zusammenhänge bleiben verborgen. Entscheidungen dauern zu lange.
Moderne Angriffe nutzen genau diese Lücken. Sie bewegen sich zwischen Systemen, nutzen legitime Zugänge und bleiben unterhalb klassischer Schwellenwerte. Eine Detection, die nur auf einzelne Signale reagiert, greift zu kurz. Gefragt ist ein Ansatz, der Zusammenhänge statt Einzelereignisse erkennt – und der nicht nur reagiert, sondern antizipiert.
Detection als kontinuierlicher Prozess
Nicht nur die aktuellen Regularien wie NIS-2 zeigen auf, dass IT-Security im Vorstandsraum angekommen ist: Sicherheit muss als kontinuierlicher Prozess verstanden werden, nicht als Zustand. Detection ist dabei kein isolierter Schritt, sondern Teil eines Kreislaufs aus Sichtbarkeit, Bewertung und Reaktion.
Organisationen benötigen:
- Transparenz über ihre Angriffsfläche
- die Fähigkeit, Ereignisse in Echtzeit zu korrelieren
- Prozesse, die Vorfälle strukturiert untersuchen und dokumentieren
- und Systeme, die Ergebnisse verständlich an Entscheidungsträger berichten
Diese Verbindung von Technik und Prozess ist der Kern moderner Sicherheitsarchitekturen. Sie ermöglicht es, regulatorische Anforderungen nicht nur formal zu erfüllen, sondern operativ zu beherrschen.
Drei Faktoren bestimmen Resilienz
Resilienz entsteht nicht durch die Vermeidung von Angriffen, sondern durch den Umgang mit ihnen. Die Frage ist nicht, ob ein Angriff stattfindet, sondern wie schnell er erkannt und eingedämmt wird. Detection bestimmt dabei drei entscheidende Faktoren: die Verweildauer des Angreifers im System, die Qualität der forensischen Analyse und die Fähigkeit regulatorische Anforderungen zu erfüllen.
Je früher ein Angriff erkannt wird, desto geringer der Schaden. Je besser er verstanden wird, desto gezielter die Reaktion. Und je sauberer die Dokumentation, desto belastbarer die Kommunikation gegenüber Aufsichtsbehörden.
Mit dieser Entwicklung verändert sich auch die Rolle der IT-Sicherheit im Unternehmen. Sie wird vom operativen Dienstleister zum strategischen Steuerungsinstrument. Vorstände und Geschäftsleitungen tragen die Verantwortung und brauchen heute belastbare Aussagen. Nicht über technische Details, sondern über Risiken, Auswirkungen und Handlungsoptionen. Detection liefert dafür die Grundlage. Sie übersetzt technische Ereignisse in nachvollziehbare Informationen. Sie macht sichtbar, wo Handlungsbedarf besteht und wo nicht. Damit wird sie zu einem zentralen Element moderner Unternehmensführung.
Wachsamkeit als Prinzip
Der Satz von Perikles lässt sich auf die Gegenwart übertragen: Sicherheit entsteht nicht allein durch Technik, sondern durch Aufmerksamkeit, Verständnis und die Fähigkeit, Veränderungen früh zu erkennen. Detection ist heute kein Feature mehr, sondern die Grundlage für Resilienz. Wer sie beherrscht, gewinnt Zeit – die entscheidende Ressource der Cybersicherheit.
Autor
Georgeta Toth ist Senior Regional Director Central Europe bei Rapid7.