AEGYS PULSE

Der Puls Ihres Netzwerks. Sichtbar, ab dem Anschluss.

AEGYS Pulse macht in Minuten sichtbar, welche Kommunikation in Ihrem Netzwerk tatsächlich stattfindet. Eine kompakte Appliance hängt passiv am Switch — kein Rollout, keine Agenten, kein Eingriff in laufende Systeme. Network Detection and Response als Service, ausgewertet in Deutschland. Auch für OT- und Produktionsnetze.

Den autonomen Pentest erklären wir auf der eigenen Seite → AEGYS Pentest.

AEGYS-Appliance — passt neben jeden Switch. Kein Rack, kein Einbau — anschließen und läuft.
Die AEGYS-Appliance — passt neben jeden Switch. Kein Rack, kein Einbau — anschließen und läuft.
WAS AEGYS PULSE IST

Die Kategorie in einem Satz

Network Detection and Response (NDR) — als Service, mit Verarbeitung in Deutschland.

  • NDR statt SIEM-Projekt

    Network Detection and Response als Service — ohne Implementierungs-Projekt und ohne eigenes SOC.

  • Passiv und rückwirkungsfrei

    Anbindung über SPAN-Port oder TAP. Geeignet auch für sensible OT- und Produktionsnetze.

  • Verarbeitung in Deutschland

    Verarbeitung ausschließlich in Deutschland, DSGVO-konform, relevant für NIS2-Umgebungen.

SO FUNKTIONIERT ES

Drei Schritte. Mehr nicht.

Anschließen, Erfassen, Einordnen. Was die drei Schritte konkret bedeuten — ohne Marketingbegriffe, ohne Verschleierung.

01

Anschließen

In wenigen Minuten am Netzwerk

Die Appliance wird passiv ans Netzwerk angeschlossen — über einen SPAN- oder Mirror-Port am Switch oder einen Netzwerk-TAP. Das genügt: ein freier Port, ein Kabel. Den Anschluss können Sie oder Ihr IT-Dienstleister selbst vornehmen, typischerweise in fünf bis fünfzehn Minuten. Keine Software auf Endpunkten, keine Konfiguration an Ihren Systemen, keine Änderung an Routing oder Firewall.

Weil die Anbindung rein passiv ist, entsteht auf Ihren produktiven Anlagen keinerlei zusätzliche Last oder Veränderung — die Appliance liest nur eine Kopie des Verkehrs mit. Genau das macht ihn auch für OT-, Produktions- und SCADA-nahe Netze geeignet, in denen kein anderes Sicherheitswerkzeug eingreifen darf.

Welcher Anschlusspunkt der richtige ist, klären wir vorab gemeinsam — gerade bei mehreren Standorten oder segmentierten Netzen. Den Rest machen Sie mit einem Handgriff.

Passive Anbindung per SpiegelkopieHauptfluss links nach rechts durch Switch/Router, ein gestrichelter Abzweig führt eine Kopie nach unten zur Appliance.Ihr NetzwerkQuelleSwitch / Routerläuft unverändertZielunverändertSpiegelkopie(SPAN / TAP)Applianceliest nur mit
Passive Erfassung — der Datenfluss bleibt unberührt.

Während Ihr Dienstleister noch das Angebot für ein SIEM-Projekt schreibt, sehen Sie mit AEGYS Pulse bereits, was in Ihrem Netzwerk läuft.

Kein Rollout. · Keine Agenten. · Keine Firewall-Regeln. · Anschließen — und es läuft.

SIEM-Projekt: Wochen bis Monate. AEGYS Pulse: Minuten.SIEM-PROJEKTPlanungLizenzenIntegrationSchulungWochen bis MonateAEGYS PULSEAnschließen ✓Minuten
Vom Auspacken bis zur ersten Sicht: Minuten statt Monate.
02

Erfassen

Was AEGYS Pulse sieht — und was nicht

Sobald die Appliance angeschlossen ist, erfasst sie kontinuierlich Verbindungs-Metadaten: Quell- und Zielsysteme, Volumen, Protokolle, Ports, Zeitstempel. Standardmäßig werden ausschließlich Metadaten erfasst — keine vollständigen Paketinhalte.

Eine erweiterte Erfassung mit Deep Packet Inspection oder PCAP ist technisch möglich, aber optional und nur nach ausdrücklicher Vereinbarung. Welcher Erfassungsmodus passt, ist eine bewusste Entscheidung pro Einsatz, nicht ein fester Zustand.

Die erfassten Metadaten werden verschlüsselt an die AEGYS-Auswertungsumgebung in Deutschland übertragen. Wo Ihre Daten konkret liegen, beschreiben wir gleich im nächsten Abschnitt.

03

Einordnen

Aus Aktivität wird eine Entscheidung

Sie sehen nicht isolierte Logeinträge, sondern Zusammenhänge: Welche internen Systeme kommunizieren mit welchen externen Zielen? Gibt es ungewöhnliche laterale Bewegungen? Findet Kommunikation statt, die nicht zum normalen Betriebsbild passt?

Die Auswertung kombiniert Verhaltensanalyse mit kuratierter Threat Intelligence. Auf Wunsch besprechen wir die Ergebnisse gemeinsam mit Ihrem Team — strukturiert, klar, ohne Interpretationsspielraum.

Das Ergebnis ist keine Datenmenge, sondern eine belastbare Einschätzung der aktuellen Lage.

Datenfluss

Erfassung beim Kunden. Auswertung in Deutschland.

Die Auswertung von AEGYS Pulse läuft in Deutschland, in unserem Rechenzentrum.
Was das bedeutet:

Erfassung beim Kunden

AEGYS Pulse steht in Ihrem Netzwerk und erfasst passiv die Netzwerk-Kommunikation, ohne Eingriff in produktive Systeme.

Verschlüsselte Übertragung

Die erfassten Metadaten werden verschlüsselt an unsere Auswertungsumgebung übertragen. Standard: TLS-gesicherte ausgehende Verbindung von der Appliance zur AEGYS-Plattform.

Auswertung in Deutschland

Die Verarbeitung erfolgt ausschließlich in unserer Auswertungsumgebung in Deutschland. Keine Übertragung in Drittstaaten. Keine Hyperscaler-Cloud — AWS, Azure, Google Cloud sind nicht beteiligt.

Diese Architektur ist ein bewusster Kompromiss: Die Auswertung profitiert von kontinuierlich gepflegten Threat-Feeds, Verhaltens-Modellen und der gemeinsamen Sicht über mehrere Kundenumgebungen. Die Daten verlassen aber nie Deutschland — und nie europäisches Recht.

Beim KundenIn der AEGYS-Auswertungsumgebung (Deutschland)
Appliance (Hardware)Verbindungs-Metadaten zur Auswertung
Netzwerk-Erfassung (passiv)Strukturierte Bewertung und Verlauf
Konfiguration der ApplianceAktualisierte Threat Intelligence und Modelle

Vollständige Details zur Datenverarbeitung, zum Auftragsverarbeitungsvertrag (AVV) und zur DSGVO-Konformität stellen wir auf Anfrage zur Verfügung.

Konkretes Ergebnis

Konkrete Erkenntnisse aus dem laufenden Betrieb

Die Auswertung ist keine Logsammlung. Es ist eine Sicht auf das, was tatsächlich passiert — als Grundlage für Entscheidungen.

  • Welche internen Systeme aktuell mit dem Internet kommunizieren — und mit welchen Zielen.

  • Verbindungen zu auffälligen oder bekanntermaßen schädlichen Hosts (C2-Indikatoren).

  • Ungewöhnliche laterale Bewegungen zwischen internen Systemen.

  • Datenabflüsse, die im Verhältnis zum normalen Betriebsbild aus dem Muster fallen.

  • Wie sich Aktivität gegenüber dem normalen Betriebsbild verändert — auch nach einem Vorfall.

Nicht nur Daten. Zusammenhänge.

Erkennung

Warum AEGYS Pulse Dinge sieht, die andere übersehen

Diese Kombination aus Verhaltensanalyse und Threat Intelligence ist der Kern von Network Detection and Response (NDR) — die kontinuierliche Erkennung auffälliger Aktivität auf Netzwerkebene. Klassische Detection-Systeme erkennen, was sie kennen. AEGYS Pulse arbeitet ergänzend dazu — mit drei Methoden, die sich gegenseitig stützen.

Signatur-Detection

Was bekanntermaßen ein Angriff ist

Bekannte Angriffsmuster werden direkt erkannt: Exploits, schädliche Protokoll-Anomalien, dokumentierte Malware-Indikatoren, IDS-Signaturen für Protokoll-Exploits. Das ist die schnellste Antwort auf Bedrohungen, deren Muster bereits beschrieben sind — und die Grundlage, auf der die anderen Methoden aufsetzen.

Verhaltensanalyse

Was nicht zum Betriebsbild passt

Während der ersten Stunden eines Einsatzes lernt AEGYS Pulse das normale Kommunikationsverhalten Ihres Netzwerks: welche Systeme miteinander sprechen, welche externen Ziele üblich sind, welche Volumen normal wirken. Auf dieser Basis werden Abweichungen identifiziert — neue externe Ziele, ungewöhnliche laterale Verbindungen, atypische Datenflüsse.

Verhaltensanalyse erkennt auch Aktivitäten, für die noch keine bekannte Signatur existiert. Das ist insbesondere nach gezielten Angriffen relevant, bei denen Angreifer eigene, nicht öffentlich bekannte Infrastruktur nutzen.

Threat Intelligence

Was bekanntermaßen problematisch ist

Parallel zur Verhaltensanalyse läuft ein Abgleich mit kuratierten Threat-Intelligence-Quellen: bekannt schädliche Hosts, Command-and-Control-Server, kompromittierte Endpoints, verdächtige Domains. Erkannt werden Verbindungen zu solchen Zielen — auch wenn sie aus dem normalen Betriebsbild des Netzwerks heraus zunächst unauffällig wirken.

Threat Intelligence zeigt Bedrohungen, die als solche bereits identifiziert sind, aber im normalen Rauschen unentdeckt bleiben würden.

Signatur-Detection ohne Verhaltensanalyse verpasst neue Angriffe. Verhaltensanalyse ohne Signaturen erzeugt zu viel Rauschen. Threat Intelligence ohne beide bleibt theoretisch. Erst die Kombination ergibt eine belastbare Aussage.

Datenmodell

Datensparsamkeit als Standard

Welche Daten erfasst werden, ist eine bewusste Entscheidung pro Einsatz und nicht ein fester Umfang.

ErfassungsmodusWas erfasst wirdWann sinnvoll
Standard (Metadaten)Verbindungs-Metadaten: Quelle, Ziel, Volumen, Protokoll, Port, ZeitstempelKontinuierlicher Pulse-Betrieb, Reality-Check, datenschutzsensible Umgebungen
Erweitert (DPI)Metadaten plus Deep Packet Inspection: Protokoll-Details, ausgewählte HeaderDetailliertere Analyse bei Bedarf, nach ausdrücklicher Vereinbarung
Vollerfassung (PCAP)Vollständige Paket-Mitschnitte für definierte ZeiträumeForensische Analyse nach einem Vorfall, nur nach ausdrücklicher Vereinbarung

Der Erfassungsmodus wird vor dem Einsatz festgelegt und dokumentiert. Standardmäßig arbeiten wir mit Metadaten — eine Erweiterung erfolgt nur dann, wenn der Anwendungsfall es erfordert und Sie es ausdrücklich freigeben.

Abgrenzung

Wo AEGYS Pulse nicht passt

Eine ehrliche Liste. Wenn Sie eine der folgenden Aufgaben lösen müssen, ist AEGYS nicht das richtige Werkzeug:

  • Kein Echtzeit-Schutz

    AEGYS Pulse blockiert keine Angriffe und ersetzt keine Firewall, kein Intrusion-Prevention-System.

  • Kein Endpoint-System

    Die Appliance selbst liest Netzwerkverkehr, keine Endpoint-Aktivität — dafür ist EDR zuständig. AEGYS baut kein eigenes EDR, kann Ihre bestehende Endpoint-Lösung aber als zusätzliche Quelle einbinden und mit der Netzwerksicht zusammenführen.

  • Kein SIEM-Implementierungs-Projekt

    Klassische SIEM-Implementierungen sind kunden-individuelle Projekte: Use Cases werden für die spezifische Umgebung geschrieben, Log-Anbindung wird einzeln konfiguriert, ein dediziertes SOC-Team wird aufgebaut. Die Appliance liefert dieselben Plattform-Capabilities als Standard-Service: vorkonfigurierte Detection-Logik, Standard-Anbindung, gemeinsame Auswertung mit dem AEGYS-Team. Wer ein kunden-individuelles Implementierungs-Projekt sucht, ist bei einem klassischen SIEM-Anbieter besser aufgehoben.

  • Keine Schwachstellen-Bewertung

    Was einem Angreifer in Ihrer Umgebung möglich wäre, zeigt der → AEGYS Pentest, nicht AEGYS Pulse.

AEGYS Pulse zeigt, was im Netzwerk tatsächlich passiert — kontinuierlich, unabhängig, ohne Projekt. Zugleich ist der AEGYS Pulse der Einstieg in eine offene Plattform, die Ihre bestehenden Sicherheitssysteme einbindet und aufwertet, statt sie zu ersetzen.

Pulse Einsatz-Modi

Reality-Check oder kontinuierliche Sicht

Aus der Funktionsweise ergeben sich zwei typische Einsatz-Modi. Welcher passt, hängt von Ihrer Situation ab.

Reality-Check · Einstiegsweg

Punktuelle Auswertung

AEGYS Pulse wird für einen definierten Zeitraum eingesetzt — typischerweise Tage bis Wochen. Im Anschluss erhalten Sie eine strukturierte Auswertung als Entscheidungsgrundlage. Daten werden nach Ihren Vorgaben gelöscht. Die Appliance wird wieder entfernt — oder bleibt für den Weiterbetrieb.

Typische Anlässe: nach einem Sicherheitsvorfall, bei einem konkreten Verdacht, vor einem Audit oder als jährlicher Plausibilitätscheck.

Standard

Kontinuierliche Sicht — Subscription

AEGYS Pulse bleibt im Netzwerk. Auswertungen erfolgen in einem mit Ihnen vereinbarten Rhythmus. Die Subscription ist asset-basiert berechnet, jederzeit beendbar — ohne langfristige Vertragsbindung.

Geeignet für Organisationen, die eine kontinuierliche zweite Sicht auf ihr Netzwerk wollen, ohne ein eigenes SIEM-Projekt aufzusetzen.

Häufiger Verlauf in der Praxis: Reality-Check als Einstieg → Auswertung zeigt offene Fragen → Übergang in den kontinuierlichen Betrieb. Welche Variante passt, klären wir im Erstgespräch.

Ablauf

Vom Erstgespräch bis zur laufenden Auswertung

Eine vertikale Timeline mit fünf Stationen — bewusst ohne harte Tagesangaben, weil Netzwerke und Anlässe sich unterscheiden.

  1. 01

    Erstgespräch

    15 Minuten am Telefon. Wir verstehen die Situation und prüfen gemeinsam, ob AEGYS für Ihren Fall sinnvoll ist. Wenn nicht, sagen wir das.

  2. 02

    Technische Vorbereitung

    Klärung der Details: Anschlusspunkt, Logistik, Termin vor Ort. Sie erhalten eine kurze Vorbereitungs-Checkliste, was wir am Tag des Anschlusses brauchen.

  3. 03

    Anschluss

    Die Appliance wird angeschlossen — ein freier Port am Switch genügt, typischerweise in wenigen Minuten. Das können Sie oder Ihr IT-Dienstleister übernehmen, auf Wunsch begleiten wir es remote. Den passenden Anschlusspunkt haben wir vorab gemeinsam festgelegt.

  4. 04

    Erste Erkenntnisse

    Erste Auffälligkeiten sind innerhalb weniger Stunden sichtbar. Wann eine belastbare Lagebewertung vorliegt, hängt von Netzwerkgröße und Aktivität ab — oft ein bis wenige Tage.

  5. 05

    Auswertung

    Wir besprechen die Erkenntnisse gemeinsam: Was wurde gefunden, wie ist es einzuschätzen, was sind die nächsten Schritte. Im kontinuierlichen Modus wiederholen sich Auswertungen in einem mit Ihnen vereinbarten Rhythmus.

Häufige Fragen

Technische Details auf einen Blick

Noch unsicher?

Sehen Sie in 2 Minuten, ob Ihr Netzwerk blinde Flecken hat

Bevor wir sprechen: Der kostenlose Netzwerk-Check gibt Ihnen in 2 Minuten eine erste Orientierung, wo Ihr Netzwerk blinde Flecken haben könnte — anonym, ohne Dateneingabe.

Netzwerk-Check starten
BEISPIEL-CASE

Was am Ende auf dem Tisch liegt

Ein anonymisiertes Beispiel — so sieht die Auswertung eines Falls aus.

AEGYS DATALYTICSBEISPIEL — ANONYMISIERT

Case 2098 · Verdächtige Prozesskette

Score96
Verdict: True Positive
WasAuslesen von Zugangsdaten
WerHost-A · Benutzer adm-svc
SeverityCritical
StatusNeu
AnalyseDetectionVerlauf
18 ALERTS · NACH ZEIT
  1. 88Score
    Auffällige Eltern-/Kind-Prozesskette11:32
    eine Minute
  2. 67Score
    Ungewöhnlicher ausgehender Datenfluss11:33
    wenige Sekunden
  3. 29Score
    Internes SYN-Flood-Muster11:35
    wenige Sekunden
  4. 12Score
    Fehlgeschlagener interner Verbindungsaufbau11:34
EINORDNUNG IM AUSWERTUNGSTERMIN

Korrelierte Alerts auf einem Host, zu einem Case zusammengefasst. AEGYS macht sichtbar, was zusammenhängt – die Bewertung und nächsten Schritte besprechen wir gemeinsam; sie liegen bei Ihrem IT-Team oder Dienstleister.

„Läuft im Hintergrund, wir merken nichts davon – und genau das war der Punkt. Wir wollten Sicht, ohne uns selbst darum kümmern zu müssen.
21 Tage testen, kostenlos

Wenn Sie wissen wollen, was bei Ihnen wirklich läuft.

Eine passive Appliance, 21 Tage in Ihrem Netz. Ihre IT schließt sie gemeinsam mit uns an, in fünf Minuten. Sie zahlen erst, wenn Sie die Appliance behalten wollen.

21 Tage testen

In 15 Minuten besprechen wir Ihr Setup — dann kommt die Appliance vorbereitet bei Ihnen an.

Mit einem Kunden sprechen

Auf Wunsch vermitteln wir den direkten Austausch mit Unternehmen, die AEGYS bereits einsetzen.

Kein eigenes Security-Team, aber ein IT-Dienstleister?

Der Normalfall. Oft kann Ihr bestehender Dienstleister die laufende Auswertung über AEGYS selbst übernehmen – und falls nicht, übernimmt sie ein Security-Partner. Was passt, klären wir im Erstgespräch.

15-Minuten-Erstgespräch

Sehen Sie selbst, was in Ihrem Netzwerk wirklich passiert.

15 Minuten zur Einordnung — klären, ob AEGYS Pulse, AEGYS Pentest oder beides für Ihre Situation passen. Wenn es nicht passt, sagen wir das.

15 Minuten zur direkten Einordnung.