Illumio Studie offenbart kritische Sichtbarkeitslücken

Veröffentlicht am 25. Oktober 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Die Illumio Inc. hat Anfang Oktober 2025 seinen Global Cloud Detection and Response Report 2025 veröffentlicht. Dieser zeigt, dass die laterale Bewegung bei Cyberangriffen bleibt schwer erkennbar und offenbart kritische Sichtbarkeitslücken. Der Report liegt mir in Auszügen vor und ich stelle einige Aussagen hier im Blog ein.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Grundlage des Reports ist eine weltweite Befragung von 1.150 Führungskräften aus dem Bereich Cybersicherheit – darunter 150 aus Deutschland – im Zeitraum 1. und 13. August 2025. Die Ergebnisse machen deutlich: Laterale Bewegung bleibt eine der gefährlichsten und am schwersten zu erkennenden Vorgehensweisen moderner Cyberangreifer und legt schwerwiegende Defizite bei Sichtbarkeit, Erkennung und Reaktion offen.

86% der deutschen Organisation mit Sicherheitsvorfall

Laut der Studie erlebten 86 % der befragten deutschen Organisationen im Jahr 2024 einen Sicherheitsvorfall mit lateraler Bewegung der Angreifer im Netzwerk. Die erfolgreichen Angriffe führten durchschnittlich zu 6,6 Stunden Ausfallzeit pro Vorfall. Als größte Herausforderungen bei der Erkennung lateraler Bewegungen nennen deutsche Teilnehmer mangelnde Fähigkeit zur Interpretation sicherheitsrelevanter Daten sowie die fehlende Korrelation von Verhaltensmustern zwischen Cloud- und On-Premise-Umgebungen. Dies unterstreicht den hohen Bedarf an echter kontextualisierter Observability.

Erkenntnisse für Deutschland

Die wichtigsten Erkenntnisse aus Deutschland lassen sich in nachfolgenden Punkten zusammenfassen:

  • Cloud Detection and Response (CDR) ist weit verbreitet, aber kaum zufriedenstellend: 88 % der deutschen Organisationen setzen zwar CDR-Tools ein. Doch 91 % der Organisationen geben an, dabei auf erhebliche Herausforderungen zu stoßen. Zu den größten Herausforderungen zählen fehlender Kontext zur sinnvollen Priorisierung von Warnmeldungen und die Überlastung durch eine Flut von Alarmen – ein deutliches Signal für den Bedarf an effektiveren, kontextstarken CDR-Lösungen.
  • Sichtbarkeit fehlt dort, wo sie am wichtigsten ist: 83 % der Befragten geben an, hybride Kommunikationsströme zu überwachen, 75 % beobachten den Ost-West-Traffic. Trotzdem fehlt bei 38 % des Netzwerkverkehrs der nötige Kontext für eine fundierte Analyse. Diese fragmentierte Sichtbarkeit führt dazu, dass mehr als die Hälfte der lateralen Bewegungen nicht erkannt werden.
  • Alarmmüdigkeit auf Rekordniveau: Sicherheitsteams in Deutschland erhalten durchschnittlich 2.416 Alarme pro Tag – mehr als in jedem anderen untersuchten Land. 73 % der deutschen Führungskräfte sagen, ihre Teams erhalten mehr Alarme, als sie effektiv untersuchen können – der internationale Durchschnitt liegt bei 67 %.
  • Verpasste Alarme haben messbare Auswirkungen: 93 % der befragten deutschen Organisationen hatten bereits Sicherheitsvorfälle, die auf verpasste oder nicht untersuchte Warnmeldungen zurückzuführen sind. Im Durchschnitt benötigen deutsche Organisationen 12,6 Stunden, um ein durch eine verpasste Warnmeldung verursachtes Problem zu erkennen – was leicht über dem globalen Mittelwert von 12,1 Stunden liegt. Weitere Folgen von verpassten oder nicht untersuchten Warnmeldungen sind Burnout in den Teams (26 %) und Downtime (21 %).
  • Fehlalarme belasten Sicherheitsoperationen massiv: Deutsche Sicherheitsteams verbringen durchschnittlich 13,5 Stunden pro Woche mit der Bearbeitung von Fehlalarmen – verursacht durch unzureichende Netzwerksichtbarkeit, schlecht konfiguriertes Alert-Tuning und fehlenden Kontext. 79 % geben an, dass dies ihre Fähigkeit beeinträchtigt, sich auf echte Bedrohungen zu konzentrieren und 30 % berichten, dass dies zu verspäteten oder ausbleibenden Reaktionen auf Angriffe geführt hat – hier liegt Deutschland deutlich über dem weltweiten Durchschnitt von 21 %.

Das Ganze klingt wie "wir setzen was ein, werden aber von Alarmen so überflutet, dass wir vor Bäumen den Wald nicht mehr sehen".

KI und ML als Schlüssel für Breach Containment

Den Informationen von Illumino Inc. sehen die Organisationen künftig ihr Heil im Einsatz von KI und ML (machine learning) zur Erkennung und Begrenzung von Sicherheitsverletzungen. Mit Blick auf das Jahr 2026 setzen deutsche Sicherheitsteams  laut Report verstärkt auf KI-basierte Cloud-Observability, auf Weiterbildung der Mitarbeitenden sowie auf den Zero-Trust-Ansatz. Die Top-Sicherheitsprioritäten für 2026 in Deutschland sind:

  • Verbesserung der Cloud Detection and Response (37 %)
  • Ausbau KI-/ML-gestützter Fähigkeiten (32 %)
  • Weiterqualifizierung und Talentgewinnung (32 %)
  • Ausbau und Stärkung der Zero-Trust-Architektur (30 %)

"In der heutigen dynamischen Bedrohungslage ist Echtzeit-Sichtbarkeit kein Nice-to-have – sie ist absolut essenziell", erklärt Andrew Rubin, CEO und Gründer von Illumio. "Im hybriden Netz ist es entscheidend, auf einen KI-gestützten Network Security Graph zu setzen und Breach Containment in den Mittelpunkt zu stellen – das ist die einzige skalierbare Strategie. KI-gestützte Observability muss mehr leisten als nur erkennen:  Sie muss Bedrohungen schnell finden und sofort wirksam verhindern, dass sie sich ausbreiten."

Weitere Informationen, einschließlich der globalen und regionalen Erkenntnisse, gibt es im vollständigen Report (erfordert eine Registrierung) oder im als FAQ gestalteten Blog-Beitrag.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Illumio Studie offenbart kritische Sichtbarkeitslücken

  1. Alex sagt:
    25. Oktober 2025 um 11:47 Uhr

    Das Ganze ist inhaltlich einfach nur zum Fremdschämen. Und auf den Misthaufen soll jetzt noch – laut Illumio – KI geschmissen werden? Das wäre mir selbst als Marketing- und Verkaufsgelabere zu peinlich. Andrew Rubin scheinbar nicht.

    Antworten
    • Froschkönig sagt:
      25. Oktober 2025 um 17:59 Uhr

      Das mit der KI macht durchaus Sinn. Wir haben Splunk als SIEM am Laufen, das auch um die 3000 Warnungen pro Tag aus Zig Millionen Ereignissen generiert. In einem Team von 3 Leuten ist das bei nine-to-five-Betrieb (und selbst in 24 Stunden) nicht machbar gewesen und mehr als 99% war wahrscheinlich sowieso false Positive. Wir haben die direkten Warnungen von Splunk größtenteils nicht mehr im aktiven Blick. Statt dessen laufen die in das Data Security Posture Management (DSPM) von Varonis rein. Darüber hinaus monitort Varonis die ganze Umgebung noch mal auf seine Weise und sammelt pro Tag um die 1.5-2 Mio Ereignisse und führt das alles per KI zusammen. Manches was vorher das Splunk (doppelt) überwacht hat, haben wir nur noch in Varonis im Monitoring, z.B. die ganzen Logins welche die DCs protokollieren, Splunk monitort nur noch die lokalen Logins der Member-Computers, denn da können auch heimliche lokale Accounts dabei sein, Varonis holt sich Logins nur von den DCs und ist als Agent nur dort und auf den Fileservern sichtbar, was die Entdeckung seiner Anwesenheit durch einen Angreifer erschweren dürfte. Übrig bleiben inzwischen unterstützt durch Machine-Learning ungefähr 20-30 Alarme pro Tag, denen man gut nachgehen kann. Die ersten 2 Wochen waren es noch etwa 100-200 mal so viel, aber das System lernt schnell was "normal" ist. Wir monitoren so AD (User, Logins, Rechte, GPO, Gruppen, usw.) , DNS, M365, EXO, Copilot (hat jemand Firmeninterna ausgeplaudert?), Fileserver-Zugriffe, Filesystem/Datei-Rechte und Datenklassifizierung, VPN (Geohopping, Passwortspraying-Attacken, etc.), Proxy, Jira/Confluence (Zugriffe, Klassifizierungen), die Storages, Firewall usw. Wir bekommen darüber Sachen mit, die ein SIEM nicht leisten kann, weil die Ereignisse nicht einzeln, sondern zusammen betrachtet werden und auch der Kontext zueinander verstanden wird. Außerdem sagt uns das System welche Filesystem-Rechte Benutzer (zu viel) haben und kann diese auf das minimieren was die Benutzer tatsächlich brauchen. Das Freigeben von Rechten in Freigaben an neue Benutzter lagert es an die Fachabteilung (Dataowner) aus. Es reportet einem auch innerhalb von Sekunden, welche Datei/Webseite/… von wem geöffnet/geändert/… wurde und solche Sachen, wenn diese Info mal gebraucht wird.

      Antworten
      • Alex sagt:
        25. Oktober 2025 um 20:36 Uhr

        Gleich das Geschriebene doch mal gedanklich mit einer Umgebung ab, wo man nicht längst die Kontrolle verloren hat.

        Antworten
      • R.S. sagt:
        25. Oktober 2025 um 22:27 Uhr

        "Das Freigeben von Rechten in Freigaben an neue Benutzter lagert es an die Fachabteilung (Dataowner) aus."
        Das gibt es bei uns gar nicht, denn die Rechte werden nie pro Benutzer vergeben, sondern pro Sicherheitsgruppe.
        Neue Benutzer werden gleich beim Anlegen einfach der richtigen Sicherheitsgruppe zugeordnet und haben dann automatisch nur die Rechte, die sie brauchen.

        Antworten
  2. Anonym sagt:
    25. Oktober 2025 um 12:32 Uhr

    Massen von Schlangenölanalyse werden auf Massen von Schlagenöl geworfen weil die eigentlichen Softwarefirmen nicht (mehr) in der Lage sind, ordentlich abzuliefern.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.