AEGYS DATALYTICS
AEGYS MONITOR

Anschließen. Und sehen, was wirklich in Ihrem Netzwerk passiert.

AEGYS Monitor ist eine kompakte Appliance, die in wenigen Minuten am Netzwerk hängt — an einem freien Port am Switch. Kein Rollout. Keine Agenten. Kein Eingriff in laufende Systeme. Ab dem Anschluss sehen Sie, welche Kommunikation in Ihrem Netzwerk tatsächlich stattfindet.  Network Detection and Response — als Service, nicht als Projekt. Auswertung in Deutschland. Auch für OT- und Produktionsnetze.

Den autonomen Pentest erklären wir auf der eigenen Seite → AEGYS Pentest.

AEGYS-Monitor-Appliance — passt neben jeden Switch. Kein Rack, kein Einbau — anschließen und läuft.
Die AEGYS-Monitor-Appliance — passt neben jeden Switch. Kein Rack, kein Einbau — anschließen und läuft.
WAS AEGYS MONITOR IST

Die Kategorie in einem Satz

Network Detection and Response (NDR) — als Service, mit Verarbeitung in Deutschland.

  • NDR statt SIEM-Projekt

    Network Detection and Response als Service — ohne Implementierungs-Projekt und ohne eigenes SOC.

  • Passiv und rückwirkungsfrei

    Anbindung über SPAN-Port oder TAP. Geeignet auch für sensible OT- und Produktionsnetze.

  • Verarbeitung in Deutschland

    Verarbeitung ausschließlich in Deutschland, DSGVO-konform, relevant für NIS2-Umgebungen.

SO FUNKTIONIERT ES

Drei Schritte. Mehr nicht.

Anschließen, Erfassen, Einordnen. Was die drei Schritte konkret bedeuten — ohne Marketingbegriffe, ohne Verschleierung.

01

Anschließen

In wenigen Minuten am Netzwerk

AEGYS Monitor wird passiv ans Netzwerk angeschlossen — über einen SPAN- oder Mirror-Port am Switch oder einen Netzwerk-TAP. Das genügt: ein freier Port, ein Kabel. Den Anschluss können Sie oder Ihr IT-Dienstleister selbst vornehmen, typischerweise in fünf bis fünfzehn Minuten. Keine Software auf Endpunkten, keine Konfiguration an Ihren Systemen, keine Änderung an Routing oder Firewall.

Weil die Anbindung rein passiv ist, entsteht auf Ihren produktiven Anlagen keinerlei zusätzliche Last oder Veränderung — der Monitor liest nur eine Kopie des Verkehrs mit. Genau das macht ihn auch für OT-, Produktions- und SCADA-nahe Netze geeignet, in denen kein anderes Sicherheitswerkzeug eingreifen darf.

Welcher Anschlusspunkt der richtige ist, klären wir vorab gemeinsam — gerade bei mehreren Standorten oder segmentierten Netzen. Den Rest machen Sie mit einem Handgriff.

Passive Anbindung per SpiegelkopieHauptfluss links nach rechts durch Switch/Router, ein gestrichelter Abzweig führt eine Kopie nach unten zur Appliance.Ihr NetzwerkQuelleSwitch / Routerläuft unverändertZielunverändertSpiegelkopie(SPAN / TAP)AEGYS Monitorliest nur mit
Passive Erfassung — der Datenfluss bleibt unberührt.

Während Ihr Dienstleister noch das Angebot für ein SIEM-Projekt schreibt, sehen Sie mit AEGYS Monitor bereits, was in Ihrem Netzwerk läuft.

Kein Rollout. · Keine Agenten. · Keine Firewall-Regeln. · Anschließen — und es läuft.

SIEM-Projekt: Wochen bis Monate. AEGYS Monitor: Minuten.SIEM-PROJEKTPlanungLizenzenIntegrationSchulungWochen bis MonateAEGYS MONITORAnschließen ✓Minuten
Vom Auspacken bis zur ersten Sicht: Minuten statt Monate.
02

Erfassen

Was AEGYS Monitor sieht — und was nicht

Sobald die Appliance angeschlossen ist, erfasst sie kontinuierlich Verbindungs-Metadaten: Quell- und Zielsysteme, Volumen, Protokolle, Ports, Zeitstempel. Standardmäßig werden ausschließlich Metadaten erfasst — keine vollständigen Paketinhalte.

Eine erweiterte Erfassung mit Deep Packet Inspection oder PCAP ist technisch möglich, aber optional und nur nach ausdrücklicher Vereinbarung. Welcher Erfassungsmodus passt, ist eine bewusste Entscheidung pro Einsatz, nicht ein fester Zustand.

Die erfassten Metadaten werden verschlüsselt an die AEGYS-Auswertungsumgebung in Deutschland übertragen. Wo Ihre Daten konkret liegen, beschreiben wir gleich im nächsten Abschnitt.

03

Einordnen

Aus Aktivität wird eine Entscheidung

Sie sehen nicht isolierte Logeinträge, sondern Zusammenhänge: Welche internen Systeme kommunizieren mit welchen externen Zielen? Gibt es ungewöhnliche laterale Bewegungen? Findet Kommunikation statt, die nicht zum normalen Betriebsbild passt?

Die Auswertung kombiniert Verhaltensanalyse mit kuratierter Threat Intelligence. Auf Wunsch besprechen wir die Ergebnisse gemeinsam mit Ihrem Team — strukturiert, klar, ohne Interpretationsspielraum.

Das Ergebnis ist keine Datenmenge, sondern eine belastbare Einschätzung der aktuellen Lage.

Datenfluss

Erfassung beim Kunden. Auswertung in Deutschland.

Die Auswertung von AEGYS Monitor läuft in Deutschland, in unserem Rechenzentrum.
Was das bedeutet:

Erfassung beim Kunden

AEGYS Monitor steht in Ihrem Netzwerk und erfasst passiv die Netzwerk-Kommunikation, ohne Eingriff in produktive Systeme.

Verschlüsselte Übertragung

Die erfassten Metadaten werden verschlüsselt an unsere Auswertungsumgebung übertragen. Standard: TLS-gesicherte ausgehende Verbindung vom Monitor zur AEGYS-Plattform.

Auswertung in Deutschland

Die Verarbeitung erfolgt ausschließlich in unserer Auswertungsumgebung in Deutschland. Keine Übertragung in Drittstaaten. Keine Hyperscaler-Cloud — AWS, Azure, Google Cloud sind nicht beteiligt.

Diese Architektur ist ein bewusster Kompromiss: Die Auswertung profitiert von kontinuierlich gepflegten Threat-Feeds, Verhaltens-Modellen und der gemeinsamen Sicht über mehrere Kundenumgebungen. Die Daten verlassen aber nie Deutschland — und nie europäisches Recht.

Beim KundenIn der AEGYS-Auswertungsumgebung (Deutschland)
AEGYS Monitor (Hardware)Verbindungs-Metadaten zur Auswertung
Netzwerk-Erfassung (passiv)Strukturierte Bewertung und Verlauf
Konfiguration des MonitorsAktualisierte Threat Intelligence und Modelle

Vollständige Details zur Datenverarbeitung, zum Auftragsverarbeitungsvertrag (AVV) und zur DSGVO-Konformität stellen wir auf Anfrage zur Verfügung.

Konkretes Ergebnis

Konkrete Erkenntnisse aus dem laufenden Betrieb

Die Auswertung ist keine Logsammlung. Es ist eine Sicht auf das, was tatsächlich passiert — als Grundlage für Entscheidungen.

  • Welche internen Systeme aktuell mit dem Internet kommunizieren — und mit welchen Zielen.

  • Verbindungen zu auffälligen oder bekanntermaßen schädlichen Hosts (C2-Indikatoren).

  • Ungewöhnliche laterale Bewegungen zwischen internen Systemen.

  • Datenabflüsse, die im Verhältnis zum normalen Betriebsbild aus dem Muster fallen.

  • Wie sich Aktivität gegenüber dem normalen Betriebsbild verändert — auch nach einem Vorfall.

Nicht nur Daten. Zusammenhänge.

Erkennung

Warum AEGYS Monitor Dinge sieht, die andere übersehen

Diese Kombination aus Verhaltensanalyse und Threat Intelligence ist der Kern von Network Detection and Response (NDR) — die kontinuierliche Erkennung auffälliger Aktivität auf Netzwerkebene. Klassische Detection-Systeme erkennen, was sie kennen. Der Monitor arbeitet ergänzend dazu — mit drei Methoden, die sich gegenseitig stützen.

Signatur-Detection

Was bekanntermaßen ein Angriff ist

Bekannte Angriffsmuster werden direkt erkannt: Exploits, schädliche Protokoll-Anomalien, dokumentierte Malware-Indikatoren, IDS-Signaturen für Protokoll-Exploits. Das ist die schnellste Antwort auf Bedrohungen, deren Muster bereits beschrieben sind — und die Grundlage, auf der die anderen Methoden aufsetzen.

Verhaltensanalyse

Was nicht zum Betriebsbild passt

Während der ersten Stunden eines Einsatzes lernt AEGYS Monitor das normale Kommunikationsverhalten Ihres Netzwerks: welche Systeme miteinander sprechen, welche externen Ziele üblich sind, welche Volumen normal wirken. Auf dieser Basis werden Abweichungen identifiziert — neue externe Ziele, ungewöhnliche laterale Verbindungen, atypische Datenflüsse.

Verhaltensanalyse erkennt auch Aktivitäten, für die noch keine bekannte Signatur existiert. Das ist insbesondere nach gezielten Angriffen relevant, bei denen Angreifer eigene, nicht öffentlich bekannte Infrastruktur nutzen.

Threat Intelligence

Was bekanntermaßen problematisch ist

Parallel zur Verhaltensanalyse läuft ein Abgleich mit kuratierten Threat-Intelligence-Quellen: bekannt schädliche Hosts, Command-and-Control-Server, kompromittierte Endpoints, verdächtige Domains. Erkannt werden Verbindungen zu solchen Zielen — auch wenn sie aus dem normalen Betriebsbild des Netzwerks heraus zunächst unauffällig wirken.

Threat Intelligence zeigt Bedrohungen, die als solche bereits identifiziert sind, aber im normalen Rauschen unentdeckt bleiben würden.

Signatur-Detection ohne Verhaltensanalyse verpasst neue Angriffe. Verhaltensanalyse ohne Signaturen erzeugt zu viel Rauschen. Threat Intelligence ohne beide bleibt theoretisch. Erst die Kombination ergibt eine belastbare Aussage.

Datenmodell

Datensparsamkeit als Standard

Welche Daten erfasst werden, ist eine bewusste Entscheidung pro Einsatz und nicht ein fester Umfang.

ErfassungsmodusWas erfasst wirdWann sinnvoll
Standard (Metadaten)Verbindungs-Metadaten: Quelle, Ziel, Volumen, Protokoll, Port, ZeitstempelKontinuierlicher Monitor-Betrieb, Reality-Check, datenschutzsensible Umgebungen
Erweitert (DPI)Metadaten plus Deep Packet Inspection: Protokoll-Details, ausgewählte HeaderDetailliertere Analyse bei Bedarf, nach ausdrücklicher Vereinbarung
Vollerfassung (PCAP)Vollständige Paket-Mitschnitte für definierte ZeiträumeForensische Analyse nach einem Vorfall, nur nach ausdrücklicher Vereinbarung

Der Erfassungsmodus wird vor dem Einsatz festgelegt und dokumentiert. Standardmäßig arbeiten wir mit Metadaten — eine Erweiterung erfolgt nur dann, wenn der Anwendungsfall es erfordert und Sie es ausdrücklich freigeben.

Abgrenzung

Wo AEGYS Monitor nicht passt

Eine ehrliche Liste. Wenn Sie eine der folgenden Aufgaben lösen müssen, ist AEGYS nicht das richtige Werkzeug:

  • Kein Echtzeit-Schutz

    AEGYS Monitor blockiert keine Angriffe und ersetzt keine Firewall, kein Intrusion-Prevention-System.

  • Kein Endpoint-System

    Der Monitor selbst liest Netzwerkverkehr, keine Endpoint-Aktivität — dafür ist EDR zuständig. AEGYS baut kein eigenes EDR, kann Ihre bestehende Endpoint-Lösung aber als zusätzliche Quelle einbinden und mit der Netzwerksicht zusammenführen.

  • Kein SIEM-Implementierungs-Projekt

    Klassische SIEM-Implementierungen sind kunden-individuelle Projekte: Use Cases werden für die spezifische Umgebung geschrieben, Log-Anbindung wird einzeln konfiguriert, ein dediziertes SOC-Team wird aufgebaut. Der Monitor liefert dieselben Plattform-Capabilities als Standard-Service: vorkonfigurierte Detection-Logik, Standard-Anbindung, gemeinsame Auswertung mit dem AEGYS-Team. Wer ein kunden-individuelles Implementierungs-Projekt sucht, ist bei einem klassischen SIEM-Anbieter besser aufgehoben.

  • Keine Schwachstellen-Bewertung

    Was einem Angreifer in Ihrer Umgebung möglich wäre, zeigt der → AEGYS Pentest, nicht der Monitor.

AEGYS Monitor zeigt, was im Netzwerk tatsächlich passiert — kontinuierlich, unabhängig, ohne Projekt. Zugleich ist der Monitor der Einstieg in eine offene Plattform, die Ihre bestehenden Sicherheitssysteme einbindet und aufwertet, statt sie zu ersetzen.

Monitor Einsatz-Modi

Reality-Check oder kontinuierliche Sicht

Aus der Funktionsweise ergeben sich zwei typische Einsatz-Modi. Welcher passt, hängt von Ihrer Situation ab.

Reality-Check · Einstiegsweg

Punktuelle Auswertung

AEGYS Monitor wird für einen definierten Zeitraum eingesetzt — typischerweise Tage bis Wochen. Im Anschluss erhalten Sie eine strukturierte Auswertung als Entscheidungsgrundlage. Daten werden nach Ihren Vorgaben gelöscht. Der Monitor wird wieder entfernt — oder bleibt für den Weiterbetrieb.

Typische Anlässe: nach einem Sicherheitsvorfall, bei einem konkreten Verdacht, vor einem Audit oder als jährlicher Plausibilitätscheck.

Standard

Kontinuierliche Sicht — Subscription

AEGYS Monitor bleibt im Netzwerk. Auswertungen erfolgen in einem mit Ihnen vereinbarten Rhythmus. Die Subscription ist asset-basiert berechnet, jederzeit beendbar — ohne langfristige Vertragsbindung.

Geeignet für Organisationen, die eine kontinuierliche zweite Sicht auf ihr Netzwerk wollen, ohne ein eigenes SIEM-Projekt aufzusetzen.

Häufiger Verlauf in der Praxis: Reality-Check als Einstieg → Auswertung zeigt offene Fragen → Übergang in den kontinuierlichen Betrieb. Welche Variante passt, klären wir im Erstgespräch.

Ablauf

Vom Erstgespräch bis zur laufenden Auswertung

Eine vertikale Timeline mit fünf Stationen — bewusst ohne harte Tagesangaben, weil Netzwerke und Anlässe sich unterscheiden.

  1. 01

    Erstgespräch

    15 Minuten am Telefon. Wir verstehen die Situation und prüfen gemeinsam, ob AEGYS für Ihren Fall sinnvoll ist. Wenn nicht, sagen wir das.

  2. 02

    Technische Vorbereitung

    Klärung der Details: Anschlusspunkt, Logistik, Termin vor Ort. Sie erhalten eine kurze Vorbereitungs-Checkliste, was wir am Tag des Anschlusses brauchen.

  3. 03

    Anschluss

    Der Monitor wird angeschlossen — ein freier Port am Switch genügt, typischerweise in wenigen Minuten. Das können Sie oder Ihr IT-Dienstleister übernehmen, auf Wunsch begleiten wir es remote. Den passenden Anschlusspunkt haben wir vorab gemeinsam festgelegt.

  4. 04

    Erste Erkenntnisse

    Erste Auffälligkeiten sind innerhalb weniger Stunden sichtbar. Wann eine belastbare Lagebewertung vorliegt, hängt von Netzwerkgröße und Aktivität ab — oft ein bis wenige Tage.

  5. 05

    Auswertung

    Wir besprechen die Erkenntnisse gemeinsam: Was wurde gefunden, wie ist es einzuschätzen, was sind die nächsten Schritte. Im kontinuierlichen Modus wiederholen sich Auswertungen in einem mit Ihnen vereinbarten Rhythmus.

Häufige Fragen

Technische Details auf einen Blick

Noch unsicher?

Sehen Sie in 2 Minuten, ob Ihr Netzwerk blinde Flecken hat

Bevor wir sprechen: Der kostenlose Netzwerk-Check gibt Ihnen in 2 Minuten eine erste Orientierung, wo Ihr Netzwerk blinde Flecken haben könnte — anonym, ohne Dateneingabe.

Netzwerk-Check starten
15-Minuten-Erstgespräch

Sehen Sie selbst, was in Ihrem Netzwerk wirklich passiert.

15 Minuten zur Einordnung — klären, ob AEGYS Monitor, AEGYS Pentest oder beides für Ihre Situation passen. Wenn es nicht passt, sagen wir das.

Direkter Draht · Keine Warteschleife

Hintergrund: Netzwerk-Monitoring-Tool — NDR, SIEM und SOC richtig einordnen →