Die Realität in Sicherheitszentren (SOCs) ist unbequem: Mit durchschnittlich 450.000 Meldungen pro Jahr fehlt es den meisten Organisationen schlicht an Kapazität, jede einzelne zu untersuchen. Die Konsequenz ist eine Triage-Strategie, die zwangsläufig niedrig eingestufte Meldungen ignoriert. Doch genau hier lauert die Gefahr.
Die Analyse zeigt, dass Angreifer diese vorhersehbaren Lücken gezielt ausnutzen. Von den untersuchten 82.000 Endpunkt-Meldungen, die einer forensischen Speicheranalyse unterzogen wurden, wiesen 2.600 aktive Infektionen auf. Bemerkenswert: In über 51 Prozent dieser bestätigten Kompromittierungen hatte das eingesetzte EDR-System (Endpoint Detection and Response) den Vorfall bereits als “mitigiert” abgeschlossen. Die Sicherheitstools, auf die Organisationen verlassen, melden Sicherheit, während Malware-Familien wie Mimikatz, Cobalt Strike oder Meterpreter unbemerkt im Speicher aktiv bleiben.
Phishing: Eine unterschätzte Bedrohung
Die Phishing-Landschaft hat sich fundamental verschoben. Weniger als sechs Prozent der analysierten böswilligen E-Mails enthielten Dateianhänge – der Trend geht zu Links und manipulierter Sprache. Besonders beunruhigend: Angreifer nutzen vertrauenswürdige Cloud-Plattformen wie Vercel, CodePen, OneDrive oder PayPals eigenes Rechnungssystem. Eine dokumentierte Kampagne missbrauchte PayPals legitime Zahlungsanforderungsinfrastruktur mit Callback-Nummern in den Zahlungsanmerkungen – die E-Mail stammte aus echten PayPal-Servern und bestand alle Standard-Authentifizierungsprüfungen.
Die Forscher identifizierten vier neue Gateway-Bypass-Techniken: Base64-Payloads in SVG-Dateien, Links in PDF-Annotationsmetadaten, dynamisch geladene Phishing-Seiten über OneDrive und versteckte HTML-Archive in DOCX-Dateien mit QR-Codes. Diese sind keine akademischen Proof-of-Concepts, sondern operative Techniken im Großmaßstab.
Cloud-Missonfigurationen als stille Gefahr
In Cloud-Umgebungen dominieren Abwehr- und Persistenzmaßnahmen. AWS S3 macht etwa 70 Prozent aller Cloud-Kontrollfehler aus – meist Zugriffskonfigurationen, fehlende Server-Logging und unzureichende Cross-Account-Beschränkungen. Diese Meldungen werden selten als kritisch eingestuft, dienen aber als Sprungbrett für Angreifer, die bereits Fuß gefasst haben.
Der Kapazitätsbottleneck
Das eigentliche Problem ist strukturell: Menschliche Analysten skalieren nicht mit der Meldungsflut. Selbst Managed Detection and Response (MDR)-Provider untersuchen etwa 60 Prozent der Meldungen nie. Der Teufelskreis entsteht, weil untersuchte Bedrohungen nie wieder Erkennungsregeln verbessern – das System lernt nicht aus seinen Fehlern.
Die Studie demonstriert, dass KI-gestützte SOC-Systeme diese Barriere durchbrechen können: Mit einer Eskalationsrate unter zwei Prozent auf Analysten bei gleichzeitig 98-prozentiger Genauigkeit und sub-Minuten-Triagetempo zeigt sich ein neuer Weg. Wenn jede Meldung forensische Analyse erhält, entstehen faktengestützte Urteile statt Annahmen. Frühe Bedrohungssignale werden erfasst, bevor sie eskalieren.
Für deutsche Unternehmen und Behörden ist die Botschaft klar: Traditionelle Security-Operationen sind unter modernem Bedrohungsdruck nicht ausreichend. Eine Kombination aus verbesserter Automatisierung, KI-gestütztem Triage und gezieltem menschlichem Fokus wird zur Notwendigkeit – nicht nur für Compliance, sondern für echte Sicherheit.