AEGYS DATALYTICS

Nach einem Vorfall

Nach einem Sicherheitsvorfall: Ist wirklich alles beendet?

Die Systeme zeigen Entwarnung. Die Logs sind verarbeitet. Und trotzdem bleibt die Frage, ob noch Kommunikation im Netzwerk stattfindet — oft die einzige, die wirklich zählt.

15 Minuten zur Einordnung. Wenn es nicht passt, sagen wir das.

Die Situation

Der Moment, in dem die wichtige Frage offen bleibt

Ein Vorfall ist eingetreten. Die ersten Stunden waren laut: Alarme, Telefonate, Eskalation, Maßnahmen. Dann wird es ruhiger. Die unmittelbare Bedrohung ist eingedämmt. Die Systeme zeigen keinen aktiven Angriff mehr.

Logs verarbeitet.

Systeme überprüft.

Keine aktiven Alarme.

Und doch lässt sich die eine Frage nicht abhaken: Ist es wirklich vorbei — oder läuft im Hintergrund noch Kommunikation, die niemand mehr aktiv beobachtet?

Wenn Sie diese Frage gerade stellen, sind Sie nicht der Erste. Sie ist der häufigste Auslöser für einen Anruf bei uns.

Was bisherige Systeme nicht beantworten

Warum SIEM, EDR und XDR diese Frage oft nicht klar beantworten

Der IBM Cost of a Data Breach Report 2025¹ beziffert die durchschnittliche Verweildauer von Angreifern in betroffenen Netzwerken mit 241 Tagen — knapp acht Monate undetektierte Aktivität.

Acht Monate ist eine lange Zeit. Was ist in dieser Zeit eigentlich passiert — und warum erkennen es bestehende Systeme oft nicht?

In den meisten Unternehmen sind Sicherheitslösungen längst im Einsatz. Sie liefern Logs, Alerts und Korrelationen — und tun das gut. Aber sie haben eine Eigenschaft, die nach einem Vorfall zum Problem wird:

Sie zeigen, was erkannt wurde. Nicht zwingend, was tatsächlich passiert.

Wenn ein Angriff Wege gefunden hat, an Detection-Logik vorbeizulaufen, ist genau das, was Sie sehen möchten, nicht in den Logs. Und je länger Schutz, Detection und Bewertung aus derselben Quelle stammen, desto kleiner wird der unabhängige Blick auf die Lage.

Mehr Daten lösen das Problem nicht.

Eine unabhängige Sicht schon.

¹ Quelle: IBM Cost of a Data Breach Report 2025

Lösung

Eine unabhängige Sicht auf das, was tatsächlich passiert

AEGYS Monitor liefert eine zweite, unabhängige Sicht — direkt aus dem Netzwerkverkehr, unabhängig von bestehenden Logs oder Agenten. Punktuell als Reality-Check oder kontinuierlich, je nach Situation. Mit Auswertung in Deutschland und ohne Implementierungs-Projekt.

Reality-Check als Einstieg

Nach einem akuten Vorfall beginnt der Einsatz typischerweise als punktueller Reality-Check über mehrere Tage. Erste Auffälligkeiten werden innerhalb weniger Stunden sichtbar, eine belastbare Einschätzung folgt nach einem definierten Erfassungszeitraum.

Optional: kontinuierlich weiterführen

Wenn der Reality-Check zeigt, dass Sie eine kontinuierliche Sicht aufs Netzwerk wertvoll fänden — etwa, weil ein erneuter Vorfall denkbar ist — kann der Monitor nahtlos in den kontinuierlichen Betrieb übergehen.

Direkt am Netzwerk

Erfassung über SPAN-Port oder TAP. Keine Abhängigkeit von Logs oder Agenten. Was im Netzwerk passiert, wird unabhängig von bestehender Detection sichtbar.

Unabhängig vom bestehenden Stack

Kein Eingriff in laufende Sicherheitslösungen. Eine zweite Perspektive, die parallel zum bestehenden SIEM/EDR läuft — als Bestätigung oder als Lücken-Aufdeckung.

Sie bekommen keine weitere Plattform zu betreuen. Sie bekommen eine Antwort, die Sie für Ihre Entscheidung brauchen — und mehr nicht.

Befunde

Die Antworten, die Sie nach dem Einsatz haben

Eine Auswertung mit AEGYS Monitor liefert keine 200-seitige Logsammlung. Sie liefert Antworten auf die Fragen, die nach einem Vorfall offen sind:

  • Findet noch aktive Kommunikation im Netzwerk statt — und wenn ja, wo?
  • Welche internen Systeme kommunizieren mit welchen externen Zielen?
  • Gibt es Verbindungen zu Hosts, die als auffällig oder bekannt schädlich gelten?
  • Sind ungewöhnliche laterale Bewegungen zwischen internen Systemen erkennbar?
  • Weichen aktuelle Datenflüsse vom normalen Betriebsbild ab?

Daten allein helfen in dieser Situation nicht weiter. Sie brauchen eine Aussage, die belastbar genug ist, um darauf eine Entscheidung zu stützen.

Ablauf

Vom ersten Anruf bis zur belastbaren Einschätzung

  1. 1

    Erstgespräch

    15 Minuten. Wir verstehen Ihre Situation und prüfen gemeinsam, ob ein Einsatz Sinn ergibt. Wenn nicht, sagen wir das.

  2. 2

    Vorbereitung und Anschluss

    Anschlusspunkt, Logistik, Termin. Wir kommen vor Ort oder begleiten Sie remote. Der Monitor wird in unter zwei Stunden in Betrieb genommen.

  3. 3

    Erfassung und erste Auffälligkeiten

    Nach Anschluss werden erste relevante Verbindungen innerhalb weniger Stunden sichtbar. Eine belastbare Einschätzung folgt nach einem mit Ihnen definierten Erfassungszeitraum.

  4. 4

    Gemeinsame Auswertung und Übergang

    Strukturiertes Auswertungsgespräch. Klare Einschätzung. Konkrete nächste Schritte. Schriftliche Zusammenfassung im Anschluss. Auf Wunsch geht der Reality-Check in den kontinuierlichen Betrieb über.

Konkrete Zeiten variieren je nach Logistik und Größe Ihres Netzwerks. Bei akuten Situationen finden wir kurzfristige Termine.

Klären Sie, ob ein Einsatz für Ihre Situation Sinn ergibt

15 Minuten genügen, um zu verstehen, ob AEGYS Monitor in Ihrem Fall die richtige Antwort ist. Wenn ja, setzen wir die Analyse zeitnah um. Wenn nicht, sagen wir das offen — und Sie haben trotzdem eine zweite Meinung gewonnen.

15 Minuten zur Einordnung. Wenn es nicht passt, sagen wir das.

Bei akuten Situationen erreichen Sie uns auch direkt: +49 (0) XXX

← Zurück zur Startseite