Erkennung ist nach Darstellung des Beitrags messbar besser geworden. Plattformen für EDR, Cloud-Sicherheit, E-Mail-Sicherheit, Identitätsschutz und SIEM bringen eingebaute Erkennungslogik mit, die die MTTD für bekannte Techniken nahezu auf null drückt. Das sei ein realer Fortschritt und das Ergebnis jahrelanger Investitionen in die Entwicklung von Erkennungsregeln.

Das eigentliche Problem beginne danach. Sobald ein Alarm ausgelöst ist, läuft die Uhr weiter: Ein Analyst muss ihn sehen, aufgreifen, Kontext aus verschiedenen Werkzeugen zusammentragen, untersuchen, eine Einschätzung treffen und eine Reaktion einleiten. In den meisten SOC-Umgebungen stecke in dieser Abfolge der Großteil des Handlungsfensters des Angreifers.

Typischerweise sei der Analyst mitten in einer anderen Untersuchung, der Alarm landet in einer Warteschlange, und der Kontext verteilt sich über vier oder fünf Werkzeuge. Eine gründliche Untersuchung — eine, die zu einer belastbaren Einschätzung führt und nicht zu einem Schnellschluss aus dem Bauch heraus — bedeute 20 bis 40 Minuten Handarbeit, und das nur, wenn der Analyst sofort beginnt, was selten der Fall ist.

Gemessen an einer Ausbruchszeit von 29 Minuten habe die Untersuchung noch nicht einmal begonnen, wenn sich der Angreifer bereits seitlich im Netz bewegt hat. Bei einer Übergabezeit von 22 Sekunden liege der Alarm womöglich noch in der Warteschlange.

Die MTTD bilde davon nichts ab. Sie misst, wie schnell die Erkennung auslöst, sagt aber nichts darüber, wie lang das Fenster nach dem Alarm tatsächlich war, wie viele Alarme eine echte Untersuchung statt nur eines flüchtigen Blicks erhielten und wie viele ohne nennenswerte Analyse massenhaft geschlossen wurden.

Eine KI-gestützte Untersuchung verbessere nicht die Erkennungsgeschwindigkeit — die MTTD als Kennzahl der Erkennungstechnik bleibe gleich. Was KI verkürze, sei die Zeit nach dem Alarm: Die Warteschlange entfällt, jeder Alarm wird bei Eingang untersucht, das Zusammentragen des Kontexts geschieht in Sekunden statt in fünfzehn Minuten Hin-und-Her zwischen den Werkzeugen, und die Untersuchung selbst endet in Minuten statt einer Stunde.

Genau dafür sei Prophet AI gebaut worden: Es untersuche jeden Alarm mit der Tiefe und Argumentation eines erfahrenen Analysten in Maschinengeschwindigkeit, plane die Untersuchung dynamisch, frage die relevanten Datenquellen ab und liefere ein nachvollziehbares, belegtes Ergebnis. Für Teams, die darauf hinarbeiten, habe das Unternehmen praktische Schritte veröffentlicht, um die Untersuchungszeit unter zwei Minuten zu drücken.

Dieselbe strukturelle Schranke gelte für MDR-Dienste, deren Analysten an dieselbe menschliche Untersuchungskapazität gebunden seien. Sobald das Fenster nach dem Alarm in sich zusammenfalle, verlören die klassischen Geschwindigkeitskennzahlen ihre Aussagekraft: Eine MTTI von zwei Minuten sei im ersten Berichtsquartal aussagekräftig, danach nur noch Mindeststandard. Die Frage verschiebe sich von „Wie schnell sind wir?“ zu „Wie viel stärker wird unsere Sicherheitslage über die Zeit?“.

Die Mythos-Offenlegung habe verdeutlicht, was die Branche bereits ahnte: KI beschleunige die Angriffsseite so stark, dass Untersuchungen in menschlichem Tempo nicht mehr tragfähig seien. Die Antwort liege darin, die Lücke nach dem Alarm zu schließen und zu messen, ob sie schrumpft.