Cloud Detection & Response 2025: Warum deutsche Unternehmen Alarmmüdigkeit riskieren

Veröffentlicht am von

Der neue Global Cloud Detection and Response Report 2025 des US-Sicherheitsunternehmens Illumio zeigt: Trotz steigender Budgets und moderner Technologien kämpfen viele Unternehmen noch immer damit, Angriffe in ihren Cloud-Umgebungen rechtzeitig zu erkennen. Besonders deutsche IT-Abteilungen sind von einer wachsenden „Alarmflut“ betroffen.

Wer ist Illumio und was untersucht der Bericht?

Illumio ist ein international führender Anbieter im Bereich Ransomware- und Breach-Containment. Das bedeutet: Das Unternehmen hilft Organisationen dabei, Cyberangriffe einzudämmen, bevor sie sich im Netzwerk ausbreiten.

Für den Bericht ließ Illumio durch das Forschungsinstitut Vitreous World mehr als 1.100 IT- und Sicherheitsverantwortliche in acht Ländern befragen – darunter Deutschland, die USA, Frankreich, Japan und Australien. Ziel war es, zu verstehen,

  • wie Unternehmen Sicherheitsbedrohungen in der Cloud erkennen,
  • wie gut sie auf Vorfälle reagieren können,
  • und wo noch blinde Flecken bestehen.

Zentrale Erkenntnisse auf einen Blick

Die Studie macht deutlich: Sichtbarkeit, Kontext und Priorisierung sind die größten Baustellen moderner Cloud-Sicherheit.

  • 91 % der Unternehmen weltweit wollen ihr Cloud-Sicherheitsbudget im nächsten Jahr erhöhen.
  • Im Schnitt fehlt aber bei 38 % des Netzwerkverkehrs der nötige Kontext, um verdächtige Vorgänge richtig einzuordnen.
  • 67 % der befragten Teams erhalten mehr Warnmeldungen, als sie tatsächlich untersuchen können.
  • 92 % gaben an, dass nicht bearbeitete Alarme schon einmal zu einem echten Sicherheitsvorfall geführt haben.

Was bedeutet „fehlender Kontext“?

Ein klassisches Problem: Viele Systeme erkennen ungewöhnliche Aktivitäten – etwa ein plötzliches Datenvolumen oder Zugriffe auf ungewöhnliche Dateien. Doch sie liefern zu wenig Zusatzinformationen, um sofort zu erkennen, ob das harmlos oder gefährlich ist.

Das liegt an mehreren Faktoren:

  1. Dateninseln: Sicherheitslösungen (z. B. Firewalls, Cloud-Scanner, E-Mail-Filter) arbeiten oft nebeneinander, aber nicht miteinander.
  2. Zu viele Tools: Viele Unternehmen nutzen fünf oder mehr Plattformen. Dadurch entstehen getrennte Alarme, die sich schwer zusammenführen lassen.
  3. Mangelnde Transparenz in der Cloud: Cloud-Umgebungen sind dynamisch – Server, Container oder Benutzer ändern sich ständig. Dadurch verliert man leicht den Überblick, wer auf was zugreift.
  4. Fehlende Verknüpfungen: Ein einzelner Alarm sagt wenig. Erst wenn Verbindungen erkannt werden – etwa „dieser Nutzer hat sich von einem neuen Standort eingeloggt und gleichzeitig Daten aus einem sensiblen Bereich heruntergeladen“ – entsteht wirklicher Kontext.

Kurz gesagt: Unternehmen sehen viele Warnungen, verstehen aber oft nicht, wie sie zusammenhängen. Das bremst die Reaktionsgeschwindigkeit und lässt Angreifer länger unentdeckt.

Alarmflut und ihre Folgen

Im Durchschnitt erhalten IT-Teams weltweit über 2.000 Sicherheitswarnungen pro Tag. In Deutschland sind es sogar mehr als 2.400 – der höchste Wert im internationalen Vergleich.

Die Folge:

  • 73 % der deutschen Teams schaffen es nicht, alle Warnungen zu prüfen.
  • Rund 14 Stunden pro Woche verbringen sie damit, Fehlalarme (False Positives) zu untersuchen.
  • Und wenn echte Bedrohungen übersehen werden, dauert es im Schnitt über 12 Stunden, bis der Vorfall entdeckt wird.

Diese Verzögerung kann gravierende Folgen haben: von Systemausfällen über Produktionsstillstand bis hin zu Reputationsschäden.

Lateral Movement – das unsichtbare Risiko

Ein zentrales Thema des Berichts ist das sogenannte „Lateral Movement“. Darunter versteht man das seitliche Bewegen eines Angreifers innerhalb eines Netzwerks, nachdem er einmal Zugang erlangt hat – ähnlich wie ein Einbrecher, der sich nach dem Einstieg frei im Gebäude bewegt.

  • 90 % der Befragten berichteten, solche Vorfälle erlebt zu haben.
  • Die durchschnittlichen Kosten pro Vorfall liegen weltweit bei 227.000 US-Dollar,
    in Deutschland sogar bei rund 289.000 US-Dollar.
  • Im Schnitt kommt es zu sieben Stunden Betriebsunterbrechung.

Das Problem: Diese Bewegungen erfolgen oft innerhalb des Netzwerksverkehrs (Ost-West-Traffic), der schlechter überwacht wird als der Datenverkehr nach außen. So bleiben Angreifer oft unbemerkt, selbst wenn das Eindringen an sich erkannt wurde.

Tool-Limitierungen und der Blick in die Zukunft

Fast alle Unternehmen nutzen mehrere Systeme zur Angriffserkennung: von klassischen SIEM- und SOAR-Plattformen (Systeme zur Analyse und Automatisierung von Sicherheitsmeldungen) bis hin zu XDR- und NDR-Lösungen (Extended bzw. Network Detection and Response).

Trotzdem berichten 92 % von Einschränkungen:

  • zu viele Alarme,
  • fehlende Automatisierung,
  • mangelnde Verknüpfung der Datenquellen.

Viele setzen deshalb auf künstliche Intelligenz und maschinelles Lernen, um Alarme automatisch zu bewerten und Bedrohungen schneller zu erkennen.

Besonderheiten in Deutschland

Die Ergebnisse zeigen: Deutsche Unternehmen investieren stark in IT-Sicherheit, stoßen aber bei der operativen Umsetzung an Grenzen.

  • Sie erhalten die meisten Alarme weltweit.
  • Fehlalarme sind besonders häufig auf unzureichende Netzwerktransparenz zurückzuführen (28 %).
  • Die Auswirkungen sind teuer: hohe Reaktionszeiten, Personalmangel und steigende Sicherheitskosten.

Das zeigt: Technik allein genügt nicht. Es braucht vor allem bessere Prozesse, mehr Integration und gezielte Priorisierung.

Handlungsempfehlungen für Unternehmen

  1. Weniger Tools, mehr Integration: Ein zentraler Sicherheits-Hub, der Alarme aus verschiedenen Quellen zusammenführt, schafft Überblick und spart Zeit.
  2. Kontext schaffen: Durch die Verknüpfung von Ereignissen (z. B. Nutzer, Gerät, Standort, Zeitpunkt) können Bedrohungen schneller erkannt werden.
  3. Automatisierung ausbauen: Routineaufgaben – etwa das Filtern von Fehlalarmen – sollten von KI-gestützten Tools übernommen werden.
  4. Sichtbarkeit im Netzwerk erhöhen: Besonders der interne Datenverkehr sollte kontinuierlich überwacht und segmentiert werden, um seitliche Bewegungen zu stoppen.
  5. Mitarbeiter entlasten und schulen: Alert Fatigue ist ein reales Risiko – kontinuierliche Schulungen und realistische Aufgabenverteilung helfen, Burnout und Fehler zu vermeiden.

Fazit

Der Illumio-Bericht 2025 verdeutlicht: Sicherheitsabteilungen stehen vor der Herausforderung, mehr Daten als je zuvor zu verarbeiten – aber nicht alles zu verstehen.

Für Unternehmen, besonders in Deutschland, ist jetzt der Zeitpunkt, ihre Cloud-Sicherheitsstrategie neu zu denken: Weg von reiner Überwachung – hin zu verständlicher, kontextbasierter Erkennung und Reaktion.

Denn nur wer versteht, was passiert, kann auch entscheiden, wie er reagieren muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert