Die herkömmliche Metrik Mean Time To Detection (MTTD) erzählt nur die halbe Geschichte. Sie misst, wie schnell ein Sicherheitssystem eine verdächtige Aktivität erkennt und einen Alert auslöst. Die Erfolgsgeschichten der vergangenen Jahre sind real: EDR-Systeme, Cloud-Sicherheitsplattformen und identitätsorientierte Lösungen haben ihre Erkennungslogik erheblich verbessert. MTTD-Werte sind gesunken, teilweise auf nahe null für bekannte Angriffsmuster.
Doch genau hier endet die gute Nachricht. Wenn der Alert die Konsole erreicht, beginnt ein anderes Rennen – und hier läuft die Zeit gegen die Verteidiger.
Der praktische Ablauf in typischen SOCs sieht folgendermaßen aus: Der Alert trifft ein, während der Analyst noch mit etwas anderem beschäftigt ist. Die Benachrichtigung reiht sich in eine Warteschlange ein. Zur Untersuchung muss Kontext aus vier oder fünf verschiedenen Tools zusammengetragen werden – SIEM-Abfragen, Identity-Logs, Endpoint-Telemetrie, Zeitleisten-Korrelationen. Eine gründliche, defensible Untersuchung dauert 20 bis 40 Minuten reiner Arbeit, wobei der Analyst idealerweise sofort beginnt – was in der Realität selten vorkommt.
Gegen ein Angriffs-Zeitfenster von 29 Minuten hat sich der Angreifer bereits lateral bewegt, bevor die Untersuchung überhaupt begonnen hat. Bei einem 22-Sekunden-Handoff sitzt der Alert noch in der Queue.
Die traditionelle MTTD-Metrik erfasst nichts davon. Sie schweigt völlig zu der eigentlichen Frage: Wie lange dauert es zwischen Alert und echtem Investigation? Wie viele Alerts werden nur überflogen statt gründlich untersucht? Wie viele werden in Batch geschlossen, ohne dass echte Analyse stattgefunden hat?
Hier setzt künstliche Intelligenz an – nicht durch schnellere Erkennung, sondern durch kompression der Post-Alert-Phase. Ein KI-gestützter Untersuchungsagent arbeitet ohne Warteschlangen. Jeder Alert wird sofort untersucht, unabhängig von Schweregrad oder Tageszeit. Kontextzusammenhang, der einen Analysten 15 Minuten Recher-Zeit kostet, entsteht in Sekunden. Die komplette Untersuchung – Evidenzanalyse, Pivoting, Schlussfolgerung – dauert Minuten statt Stunden.
Sobald dieser Post-Alert-Gap zusammenschrumpft, ändern sich die entscheidenden Metriken. Statt “Wie schnell erkennen wir?” wird die Frage “Wie schnell verbessert sich unsere Sicherheitslage kontinuierlich?” zum Benchmarkkriterium. Deutsche Unternehmen sollten diese Verschiebung ernst nehmen – besonders angesichts der beschleunigten Bedrohungslage.