Alarmmüdigkeit wird selbst zum Sicherheitsrisiko

Zusammenfassung

Die Flut an Sicherheitswarnungen überfordert viele Security Operations Center zunehmend. Nach Darstellung mehrerer Branchenvertreter liegt das Problem nicht nur in der schieren Menge der Meldungen, sondern vor allem in deren mangelnder Relevanz, Priorisierung und Einbettung in den Geschäftskontext. Jeff Reed, CTO von SentinelOne, bringt es auf den Punkt: Nicht das Volumen an sich sei entscheidend, sondern die Relevanz der Alarme. Fehlt dieser Zusammenhang, müssen Analysten große Mengen an Warnungen manuell prüfen, korrelieren und bewerten – eine monotone und zeitaufwendige Arbeit, die häufig in Fehlpriorisierungen, Überlastung und Burnout mündet. Zugleich verschärft der zunehmende Einsatz von KI auf Angreiferseite laut Reed Tempo, Raffinesse und Tarnung von Angriffen und treibt damit die Zahl der Signale weiter nach oben. Als Ausweg nennen mehrere Fachleute eine stärkere Automatisierung der Triage, mehr Kontext zu Assets und Geschäftsprozessen sowie Systeme, die zusammengehörige Signale zu vollständigen Angriffserzählungen verknüpfen. Allerdings warnen sie auch vor den Grenzen heutiger KI, etwa vor Fehlinterpretationen und frei erfundenen Analysen.

SOC-Analysten sehen sich laut dem Bericht mit einer dauerhaften Überlastung durch Warnmeldungen aus Sicherheitswerkzeugen konfrontiert. Einzelne Alarme seien oft kaum aussagekräftig, solange sie nicht mit anderen Signalen in Beziehung gesetzt werden. Genau diese Korrelation koste jedoch Zeit und liefere nicht zwingend ein sicherheitsrelevantes Ergebnis für das Unternehmen.

Obbe Knoop, Gründer und CEO von Lanxit, kritisiert insbesondere die fehlende automatisierte Priorisierung. Werkzeuge lieferten zwar teilweise Bewertungen, doch ohne Kontext seien Zahlenwerte nur begrenzt hilfreich. Ein Hinweis auf eine Bedrohung mit 32 von 100 Punkten sage wenig aus, wenn unklar bleibe, wofür dieser Wert steht und welche geschäftliche Bedeutung damit verbunden ist.

Als weiteres Kernproblem nennen die befragten Experten den Mangel an Kontext. Ein Alarm zu einer Schwachstelle könne auf den ersten Blick dringend wirken, tatsächlich aber ein Gerät betreffen, das weder nach außen kommuniziert noch für die Geschäftskontinuität relevant ist. Erst mit vollständigem Kontext lasse sich entscheiden, ob sofort gehandelt werden muss oder der Fall warten kann.

Jeff Reed von SentinelOne verweist außerdem auf den Einfluss künstlicher Intelligenz auf Angreiferseite. Kriminelle nutzten KI zunehmend, um gestohlene Daten schneller auszuwerten, überzeugendere Phishing-Kampagnen zu erstellen und Teile von Eindringvorgängen zu automatisieren. Gleichzeitig entstünden durch KI-Systeme selbst neue Angriffsflächen, etwa durch Modellmanipulation, Datenoffenlegung und Missbrauch – und damit weitere Warnmeldungen.

Die Folgen treffen nach Einschätzung der Experten nicht nur die Effizienz des SOC, sondern auch die Menschen im Betrieb. Dauerhafter Druck, anhaltender Stress und fehlende Ausweichmöglichkeiten begünstigten Burnout. Der Bericht beschreibt, dass Analysten als Reaktion unbewusst zu aggressiv filtern könnten, um mit dem Strom neuer Meldungen Schritt zu halten. Dadurch könnten echte Treffer als Rauschen aussortiert werden.

Als Gegenmittel werden vor allem Automatisierung, Korrelation und kontinuierliche Überwachung genannt. Ariel Parnes, Mitgründer und COO von Mitiga sowie früher Oberst der Cyber Unit 8200 der IDF, plädiert sogar dafür, eher mehr als weniger Warnungen zu erfassen – diese aber so aufzubereiten, dass zusammenhängende Signale klar sichtbar werden. Ziel sei es, Aktionen, Protokolle und Signale zu einer einheitlichen Angriffsabfolge zu rekonstruieren, damit Analysten nicht Einzelereignisse, sondern eine vollständige Geschichte des Angreiferverhaltens lesen.

Ismael Valenzuela, Vice President Threat Intelligence bei Arctic Wolf, beschreibt einen Trend hin zu stärker operationalisierten Modellen, die Automatisierung, Korrelation und fortlaufende Überwachung kombinieren. Dadurch solle Rauschen sinken, Priorisierung besser werden und Analysten mehr Zeit für die eigentliche Untersuchung von Bedrohungen erhalten. Reed ergänzt, sich wiederholende Aufgaben wie Log-Analyse, Anreicherung und frühe Untersuchungsschritte könnten automatisiert werden.

Michael Brown, Field CISO bei Presidio, fordert, Analysten sollten idealerweise gar nicht mehr mit Rohwarnungen arbeiten, sondern nur mit korrelierten Incidents. Reife SOCs würden Rohdaten daher automatisch anreichern – etwa mit Asset-Beständen, Kritikalität, Identitätsrechten, Geräteeigentum, physischem Standort, historischem Verhalten und Netzwerk-Kontext. Erst diese Korrelation über Endpunkte, Cloud-Logs, IAM-Systeme und Netzwerktelemetrie hinweg erzeuge ein belastbares Lagebild.

Allerdings warnen mehrere Stimmen vor überzogenen Erwartungen an KI. Merlin Gillespie, CTO von Cybanetix, empfiehlt eine Kombination aus Machine Learning und Large Language Models. Damit ließen sich nach seiner Einschätzung 90 Prozent der Alarm-Triage und Untersuchung abdecken. Zugleich berichtet er von einem jüngsten Experiment, in dem ein Agent die Bedrohung falsch interpretiert und eine fiktive Kill Chain erzeugt habe. Das zeige, dass KI noch nicht den nötigen Reifegrad erreicht habe.

Knoop geht deshalb einen Schritt weiter und fordert eine zusätzliche „Reasoning Layer“. Diese Schicht solle Signale aus bestehenden Sicherheitslösungen mit Informationen aus der CMDB, Asset-Datenbanken und dem Geschäftskontext verknüpfen. Sie müsse nicht nur Geräte kennen, sondern auch die dort verarbeiteten Informationen, verbundene Systeme, den potenziellen Auswirkungsradius eines Vorfalls sowie den Unternehmenssektor und die aktuelle Bedrohungslage. Lanxit entwickelt eine solche, grob dem Bereich Security Decision Intelligence zugeordnete Schicht seit fünf Jahren; das System befindet sich laut Knoop derzeit als Beta bei verschiedenen Standorten im Test.

Alarmmüdigkeit wird selbst zum Sicherheitsrisiko

Ähnliche Artikel

Neueste Artikel