Sicherheitsteams stehen laut Mesh nicht vor einem Mangel an Werkzeugen oder Daten, sondern vor deren Überfluss. Inmitten unzähliger Warnmeldungen, Exposures und Fehlkonfigurationen falle es selbst erfahrenen Teams schwer, die entscheidende Frage zu beantworten: Welche dieser Einzelbefunde verketten sich zu tatsächlich gangbaren Angriffspfaden auf die wertvollsten Systeme – die sogenannten Crown Jewels? Das Problem liege nicht an den Werkzeugen selbst, sondern daran, dass sie nicht miteinander kommunizieren.

Mesh veranschaulicht das an einem Beispiel: Einzeln betrachtet wirken Befunde wie ein markierter Marktplatz-Richtlinienverstoß oder eine fehlerhaft konfigurierte Sitzungszeitüberschreitung beherrschbar und werden von Teams oft niedrig priorisiert. Aneinandergereiht ergeben sie jedoch einen mehrstufigen Angriffspfad von der Arbeitsstation eines Entwicklers bis zu den sensibelsten Kundendaten. Ein Einbruch sei nicht erfolgt, doch der Pfad stehe offen. Bezieht man Bedrohungsdaten ein, werde das Risiko greifbarer: Angreifer nähmen gezielt Entwicklungsumgebungen und Einstiegspunkte in Lieferketten ins Visier.

Mesh integriert sich zunächst mit dem bestehenden Bestand an Tools, Data Lakes und Infrastruktur – der Anbieter nennt mehr als 150 Integrationen. Anschließend identifiziert die Plattform automatisch die kritischen Systeme wie Produktionsdatenbanken, Kundendaten-Repositorys, Finanzsysteme und die Infrastruktur zur Code-Signierung und verankert das Risikomodell um sie herum.

Kernstück ist der Mesh Context Graph, ein fortlaufend aktualisierter, identitätszentrierter Graph aller Entitäten einer Umgebung – Nutzer, Maschinen, Workloads, Dienste, Datenspeicher – samt ihrer Beziehungen. Anders als eine reine Bestandsliste zeige der Graph nicht, was existiert, sondern wie alles zusammenhängt: Zugriffspfade, Vertrauensbeziehungen, Berechtigungsketten und Netzwerk-Exposure, jeweils zurückverfolgt auf die kritischen Systeme.

Darin sieht Mesh den Unterschied zu klassischen Werkzeugen für das Exposure-Management. CTEM-Plattformen und Schwachstellen-Scanner zeigten CVEs und Fehlkonfigurationen auf, doch eine Schwachstelle mit CVSS-Wert 9,8 auf einem isolierten, ins Internet exponierten System ohne Verbindung zu sensiblen Daten stelle ein anderes Risiko dar als eine Fehlkonfiguration mit CVSS-Wert 5,5 auf einem Dienstkonto mit direktem Zugriff auf die Produktionsdatenbank. Mesh korreliert Befunde aus verschiedenen Domänen – Cloud-Fehlkonfigurationen, überzogene Berechtigungen, Erkennungslücken, ungepatchte Schwachstellen – und priorisiert sie anhand aktueller Bedrohungsdaten.

Die Plattform belässt es nach Anbieterangaben nicht beim Aufdecken der Pfade, sondern erzeugt für jeden Angriffspfad konkrete, priorisierte Gegenmaßnahmen, die den bereits vorhandenen Werkzeugen zugeordnet sind – etwa das Entziehen einer bestimmten Rollenzuweisung, das Erzwingen von MFA auf einem Dienstkonto oder die Anpassung einer CSPM-Richtlinie. Erfordert ein Pfad Eingriffe in mehreren Systemen, koordiniert Mesh diese domänenübergreifend. Zusätzlich prüft die Plattform fortlaufend die Erkennungsschicht und macht blinde Flecken sichtbar, an denen Angriffstechniken erfolgreich wären, ohne eine Warnung auszulösen.

Im Unterschied zu SIEM- und XDR-Systemen, die Bedrohungen erst nach erzeugten Signalen erkennen, und zu großen Plattformanbietern, die Kontext nur um den Preis von Anbieterbindung und dem Austausch spezialisierter Werkzeuge vereinheitlichen, verspricht Mesh die Verbindung bestehender Tools ohne deren Ersatz.