Intezer beschreibt MDR als Modell, das für eine Bedrohungslage mit menschlichem Tempo entworfen wurde. Heute sei das nicht mehr ausreichend. Angreifer nutzten KI, um schneller vorzugehen, Phishing in großem Maßstab zu erzeugen, Aufklärung zu automatisieren und Malware so zu variieren, dass signaturbasierte Erkennung ins Leere läuft. Parallel dazu verteile sich die Angriffsfläche gleichzeitig auf Endpunkte, Cloud, Identitäten und Netzwerke.
Nach Angaben des Unternehmens werden branchenweit etwa 60 Prozent aller Warnmeldungen nicht überprüft. Das sei weniger ein Versagen einzelner Teams als eine Folge der schieren Menge. Menschliche Analysten – intern oder über MDR-Anbieter – könnten das Volumen moderner Umgebungen nicht vollständig verarbeiten und konzentrierten sich deshalb auf Warnmeldungen hoher Priorität. Genau in diesem Bereich niedriger Einstufungen versteckten sich jedoch Angriffe.
Die von Intezer genannte Analyse von 25 Millionen Warnmeldungen aus globalen Unternehmen im Jahr 2025 kommt zu dem Ergebnis, dass fast ein Prozent der realen Bedrohungen aus Warnmeldungen mit niedriger Priorität und aus informativen Meldungen stammt. Für ein Unternehmen mit 450.000 Warnmeldungen pro Jahr entspreche das rund 54 realen Sicherheitsvorfällen jährlich, also etwa einem pro Woche, die in einer nachrangigen Warteschlange lägen. Intezer erläutert die Rechnung so: Von 450.000 jährlichen Warnmeldungen würden 60 Prozent nicht untersucht, davon seien zwei Prozent echte Vorfälle, und ein Prozent dieser realen Vorfälle entstehe aus Warnmeldungen niedriger Priorität.
Als weiteres Problem nennt das Unternehmen die schwankende Qualität von Untersuchungen. Sie hänge von der Erfahrung des diensthabenden Analysten, der Tiefe der Warteschlange, der Tageszeit und der Personaldecke ab. Hinzu komme, dass Detektionsregeln in vielen MDR-Umgebungen nur periodisch angepasst würden – etwa wenn Kunden sich über zu viele Warnmeldungen beschweren oder wenn eine große CVE öffentlich Aufmerksamkeit erhält. Dazwischen drifte die Erkennungsqualität ab.
Intezer sieht den Kern des Problems in einer architektonischen Trennung zwischen Untersuchung und Detection Engineering. Wenn Analysten eine Warnmeldung als Fehlalarm schließen, fließe dieses Wissen selten zurück in das Erkennungssystem. Fehlerhafte Regeln blieben fehlerhaft, verrauschte Regeln produzierten weiter Rauschen, neue Angriffstechniken träfen auf fehlende Abdeckung. Die tatsächliche Erkennung gemessen am MITRE-ATT&CK-Framework könne deshalb deutlich niedriger sein, als Teams annehmen.
Zugleich kritisiert der Anbieter die Intransparenz vieler MDR-Dienste. Kunden erhielten Eskalationen und Zusammenfassungen, könnten aber weder die Untersuchungslogik noch die Beweiskette oder die Grundlage eines Urteils nachvollziehen. Wenn ein Vorfall übersehen werde oder Regulierer nachfragten, was untersucht wurde und wie, fehle oft eine belastbare Antwort.
Als Gegenmodell stellt Intezer ein „AI SOC“ vor. Die Grundidee: Die eigentliche Untersuchungsarbeit soll aus der menschlichen Warteschlange in ein KI-System verlagert werden, sodass Menschen sich auf Entscheidungen statt auf Entdeckung konzentrieren. In der Praxis bedeute das, dass 100 Prozent aller Warnmeldungen automatisch untersucht werden – einschließlich Endpunkt-, Identitäts-, Cloud-, Netzwerk-, Phishing- und SIEM-Meldungen, unabhängig von Priorität und Uhrzeit.
Für die eigene Plattform nennt Intezer erneut Daten aus 25 Millionen Warnmeldungen. Weniger als zwei Prozent hätten eine Eskalation an Menschen benötigt. Mehr als 98 Prozent seien autonom bearbeitet worden, bei einer mittleren Triage-Zeit von unter einer Minute und einer Urteilsgenauigkeit von 98 Prozent. Für ein großes Unternehmen mit 450.000 Warnmeldungen pro Jahr entspreche das rund 441.000 vollständig automatisch untersuchten und abgeschlossenen Warnmeldungen sowie jenen 54 echten Bedrohungen, die unter klassischer MDR-Abdeckung übersehen worden wären und nun mit umsetzbaren Empfehlungen zur Behebung erkannt würden.
Intezer grenzt dabei reine Vorverarbeitung von echter Untersuchung ab. Das Zusammenfassen einer Warnmeldung oder die Anreicherung mit Threat Intelligence sei nützlich, aber noch keine Untersuchung. Dafür brauche es laut Unternehmen forensische Tiefe: Speicherforensik, Binäranalyse und Erkennung wiederverwendeten Codes. Nur so ließen sich dateilose Malware im Arbeitsspeicher, Code-Injektionen in legitime Prozesse oder frühe Phasen von Anmeldedatendiebstahl erkennen.
Außerdem hebt Intezer eine geschlossene Rückkopplung zwischen Untersuchung und Erkennung hervor. Jede Untersuchung liefere Informationen über die Qualität von Detektionsregeln. Wenn dieses Feedback kontinuierlich in das Detection Engineering einfließe, würden verrauschte Regeln angepasst, defekte Telemetrie markiert und neue Abdeckung für aufkommende Techniken in Tagen statt in Monaten ausgerollt.
Auch beim Preismodell setzt der Anbieter einen Kontrast zu bestehenden Ansätzen. Eine Abrechnung pro Warnmeldung führe dazu, dass Kunden selektieren müssten, welche Signale überhaupt untersucht werden. Eine Abrechnung pro Endpunkt beseitige diesen wirtschaftlichen Druck, weil die Kosten nicht vom Warnvolumen abhingen. Detection-Regeln, Untersuchungshistorie und Organisationskontext sollten nach dieser Logik zudem dem Kunden gehören und nicht in der Plattform des MDR-Anbieters verbleiben.
Einen abrupten Austausch von MDR hält Intezer nicht zwingend für nötig. Als praktischen Weg nennt das Unternehmen zunächst eine Ergänzung des bestehenden MDR-Vertrags um KI-gestützte Untersuchungen. So lasse sich beobachten, welche Funde die KI ans Licht bringe, die dem MDR entgangen seien, bevor bei der nächsten Vertragsverlängerung über einen vollständigen Wechsel entschieden werde.