Wir haben ein modernes SIEM mit UEBA und SOAR. Sind wir damit nicht abgesichert?

UEBA und SOAR verbessern die Detection-Tiefe und reduzieren Alert-Fatigue. Aber auch UEBA arbeitet mit gelernten Mustern: Was nicht ins gelernte Verhaltensmodell passt, wird auffällig — was ins Modell passt, nicht. Eine zweite Sicht auf der Netzwerk-Ebene ergänzt diese Logik. Und unabhängig davon, wie gut die Detection ist: Sie beantwortet nie die Frage, welche Lücken offen sind, ohne dass sie heute angegriffen werden. Diese Frage beantwortet nur ein Pentest.

Was unterscheidet AEGYS von einem klassischen SIEM-Projekt?

AEGYS Monitor ist eine Plattform-Capability, geliefert als Service. Klassische SIEM-Implementierungen sind Projekte mit monatelanger Integration und eigenem SOC-Team. AEGYS Monitor liefert kontinuierliche und sofortige Detection-Sicht ohne Implementierungsphase: Hardware vor Ort, asset-basierte Subscription, Auswertung in Deutschland. Gemeinsame Bewertung statt eigenem SOC.

Wir haben eine MDR/SOC-Anbindung. Hilft uns das?

Ein guter MDR-Service erhöht die Reaktionsfähigkeit deutlich. Die Detection-Logik des MDR basiert allerdings auch auf Patterns, Datenquellen und Konfiguration. Eine unabhängige zweite Sicht — bewusst außerhalb des MDR-Stacks — beantwortet die Frage „sehen die das wirklich alles?" und ist gerade beim Wechsel oder bei Vertragsverlängerung eines MDR-Anbieters wertvoll. Auch hier gilt: Detection ist reaktiv. Pentest beantwortet die andere Hälfte.

Brauchen wir AEGYS Monitor kontinuierlich oder reicht ein punktueller Einsatz?

Standard ist der kontinuierliche Betrieb mit asset-basierter Subscription — er liefert eine laufende Sicht, ohne dass Sie ein eigenes SIEM-Projekt aufsetzen müssen. Ein punktueller Einsatz als Reality-Check ist häufig der Einstiegsweg: vor einem Audit, nach einem Vorfall oder bei einem konkreten Verdacht. Welche Variante zu Ihrer Situation passt, klären wir im Erstgespräch.

Was passiert, wenn der Monitor etwas findet?

Sie erhalten eine strukturierte Auswertung mit Befund, Einordnung und konkreten nächsten Schritten. Auf Wunsch arbeiten wir direkt mit Ihrem internen Team oder externen IR-Partner. Die Reaktion bleibt in Ihrer Verantwortung — wir liefern die belastbare Faktenbasis, auf der entschieden werden kann.

Brauchen wir AEGYS Pentest zusätzlich zum Monitor?

Beide adressieren unterschiedliche Fragen: Der Monitor zeigt, was tatsächlich passiert (laufende Aktivität), der Pentest zeigt, was möglich wäre (Angriffspfade). Sie schließen die Detection-Lücke aus unterschiedlichen Richtungen. Viele Käufer kombinieren beides — gerade unter NIS2, das beide Aspekte fordert: kontinuierliche Wirksamkeitsbewertung und nachweisbare Penetrationstests. Welche Kombination zu Ihrer Situation passt, klären wir im Erstgespräch.

ARTIKEL · SIEM-DETECTION-LÜCKEN

Heißt „kein Alert" wirklich „kein Vorfall"?

Klassische Detection-Setups sehen einen Bruchteil der relevanten Angriffstechniken. Moderne Plattformen schließen einen Großteil dieser Lücke. Aber selbst perfekte Detection bleibt reaktiv — sie sieht, was passiert. Sie sieht nicht, was möglich wäre.

Veröffentlicht: 1. März 2026 · 8 Min. Lesezeit · AEGYS Redaktion

Eine Frage, die viele Sicherheitsverantwortliche kennen

Wer in einem mittelständischen Unternehmen oder Konzern für IT-Sicherheit verantwortlich ist, kennt diese Situation: Das SIEM läuft. Logs kommen rein. Use-Cases sind definiert. Die Konsole zeigt grün. Und trotzdem stellt sich eine leise Frage — meistens spätestens vor dem nächsten Audit: Heißt „kein Alert" wirklich „kein Vorfall"?

Die Frage ist nicht paranoid. Sie ist berechtigt. In den letzten Jahren haben mehrere unabhängige Analysen bestätigt, dass die Lücke zwischen „das SIEM hat nichts gemeldet" und „es ist nichts passiert" in vielen Organisationen größer ist, als gemeinhin angenommen.

Dieser Artikel erklärt, woher die Lücke kommt, warum sie auch mit moderner Detection-Technologie nicht vollständig zu schließen ist — und welche zweite Frage Sie zusätzlich beantworten müssen, wenn Sie wirklich wissen wollen, wie sicher Sie sind.

Was die Zahlen sagen

Die CardinalOps-Analyse 2025 hat über 4.000 produktive SIEM-Detection-Rules in mehreren großen Unternehmen ausgewertet und mit dem MITRE-ATT&CK-Framework abgeglichen. Das Ergebnis: Im Durchschnitt deckten die untersuchten SIEMs rund 21% der MITRE-Techniken mit aktiven Detection Rules ab. Das bedeutet im Umkehrschluss: Etwa 79% der bekannten Angreifer-Techniken würden in diesen Umgebungen nicht zu einem Alarm führen, selbst wenn sie technisch einwandfrei ausgeführt würden.

21% abgedeckte Techniken79% nicht abgedeckt

Quelle: CardinalOps State of SIEM Detection Risk Report, 2025 — basierend auf der Analyse von 4.000+ produktiven Detection Rules

Eine zweite Zahl ergänzt das Bild: Laut dem BSI-Lagebericht 2025 hat fast die Hälfte der KRITIS-Betreiber in Deutschland kein durchgängiges System zur Angriffserkennung im Einsatz. In Unternehmen unterhalb der KRITIS-Schwelle ist die Lage noch deutlicher.

Bevor wir tiefer einsteigen, eine ehrliche Einordnung. Diese Zahlen beziehen sich auf klassische SIEM-Setups. Moderne Sicherheitsplattformen mit Built-in-Capabilities — Netzwerk-Detection, Verhaltens-Analytics, Identity-Detection und KI-gestützte Korrelation — decken einen deutlich größeren Teil der Angriffstechniken ab. Doch auch sie haben eine prinzipielle Grenze, auf die wir gleich kommen.

Woher die 79% wirklich kommen

Die Coverage-Lücke ist kein Versehen, sondern Ausdruck mehrerer struktureller Eigenschaften des klassischen Detection-Ansatzes selbst. Fünf davon sind besonders relevant.

Detection Rules werden manuell gepflegt

Jede Detection Rule muss geschrieben, getestet, gegen False Positives optimiert und dauerhaft gepflegt werden. Bei mehr als 600 dokumentierten Techniken im MITRE-ATT&CK-Framework und sich täglich verschiebenden Bedrohungslagen ist eine vollständige Abdeckung in der Praxis weder machbar noch wirtschaftlich. Jede Organisation trifft — bewusst oder unbewusst — eine Auswahl. Das, was nicht ausgewählt wurde, wird nicht erkannt.

Was nicht geloggt wird, kann nicht erkannt werden

Ein klassisches SIEM kann nur das auswerten, was bei ihm ankommt. Viele relevante Datenquellen — Drucker, IoT-Geräte, OT-Komponenten, ältere Server, Cloud-Workloads in Unter-Tenants — sind in vielen Umgebungen nicht angebunden. Was diese Geräte erleben, sieht das SIEM nicht. Punkt.

Regel-basierte Erkennung versus Verhalten

Klassische SIEM-Detection arbeitet mit definierten Mustern: bekannte Indikatoren, signaturartige Bedingungen, Schwellwerte. Verhaltensauffälligkeiten — ein Server, der plötzlich mit einem ungewöhnlichen Ziel kommuniziert; ein Account, der Zugriffe in einer ihm fremden Tageszeit zeigt — fallen oft durch. Moderne Plattformen mit Built-in-UEBA verbessern das Bild deutlich, sind in mittelständischen SIEM-Implementierungen aber selten produktiv im Einsatz.

Alert Fatigue verschiebt die Wahrnehmung

Ein produktives SIEM erzeugt in größeren Umgebungen häufig fünfstellige Alert-Zahlen pro Woche. Ein erheblicher Teil davon sind False Positives oder bekannte Hintergrundsignale. Die Folge: Echte Detections gehen statistisch in der Masse unter oder werden routinemäßig unterdrückt. Das ist kein Versagen des Analysten — es ist eine Folge der Skalierung.

Konfigurations-Drift im Lauf der Zeit

Eine SIEM-Implementierung, die im Jahr eins der Inbetriebnahme gut abgestimmt war, ist im Jahr drei nicht mehr derselbe Schutz. Use-Cases veralten, neue Systeme werden eingeführt ohne in den Detection-Plan integriert zu werden, Verantwortlichkeiten wechseln. Wer das SIEM nicht jährlich überprüft, läuft mit einer Konfiguration, die der aktuellen Realität nicht mehr entspricht.

Was Detection-Lücken in der Praxis bedeuten

Der IBM Cost of a Data Breach Report 2025 misst eine Kennzahl, die direkt mit der Coverage-Frage zusammenhängt: die durchschnittliche Verweildauer eines Angreifers im Netzwerk bis zur Entdeckung liegt in der aktuellen Erhebung bei 241 Tagen. Knapp acht Monate, in denen Aktivität läuft, ohne dass jemand sie bemerkt.

Diese Zahl ist deshalb so eindringlich, weil sie nicht aus einer Anbieter-Studie stammt, sondern aus der größten unabhängigen Vorfalls-Analyse der Branche. Sie sagt nichts über die Qualität einzelner SIEMs — aber sie zeigt, was passiert, wenn Detection-Lücken sich mit normaler Geschäftstätigkeit überlagern. Die Aktivität ist da. Sie ist messbar. Sie wird nur nicht gemessen.

Auch perfekte Detection bleibt reaktiv

Selbst eine moderne Sicherheitsplattform, die alle aktuellen Detection-Methoden kombiniert — Verhaltens-Analytics, Threat Intelligence, Multi-Source-Korrelation, KI-gestützte Triage — hat eine prinzipielle Grenze. Sie sieht, was passiert. Sie sieht nicht, was möglich wäre.

Das klingt selbstverständlich. Ist es aber nicht. Detection-Plattformen schaffen leicht ein trügerisches Bild: „Es passiert nichts Auffälliges" wird interpretiert als „es gibt keine offenen Lücken". Tatsächlich heißt „es passiert nichts" nur: „es gibt heute keinen Angreifer, der unsere Lücken ausnutzt." Die Lücken sind weiterhin da. Sie warten.

Wer wirklich wissen will, wie sicher er ist, kann nicht nur fragen: Was passiert? Er muss auch fragen: Was wäre möglich? Diese zweite Frage beantwortet kein Detection-Tool. Sie beantwortet nur ein Pentest — und zwar einer, der die heutige Konfiguration des Netzwerks autonom durchläuft, nicht einer, der vor zwölf Monaten von einem Pentester an einem definierten Stichtag durchgeführt wurde.

Zwei Werkzeuge, zwei Richtungen

AEGYS adressiert beide Fragen mit zwei eigenständigen Werkzeugen.

AEGYS Monitor

Was tatsächlich passiert.

Eine kontinuierliche Sicht auf die reale Netzwerkaktivität. Der Monitor erkennt Auffälligkeiten direkt auf der Netzwerk-Ebene und kombiniert Verhaltens-Analytics, Threat Intelligence und KI-gestützte Korrelation. Geliefert als Service mit Hardware vor Ort und Auswertung in Deutschland.

AEGYS Pentest

Was möglich wäre.

Eine autonome Demonstration der Angriffspfade in Ihrer Umgebung. Statt zu warten, ob ein Angreifer offene Lücken findet, beweist der Pentest in Stunden, welche Pfade tatsächlich begehbar wären. Vor einem Audit, vor einer Cyberversicherungs-Prüfung oder als regelmäßige Bestandsaufnahme.

Beide Werkzeuge zusammen schließen die zentrale Lücke jeder Detection-Strategie — die laufende Aktivität (Monitor) und die latenten Angriffsmöglichkeiten (Pentest).

Wie sich das Liefermodell unterscheidet

AEGYS ist eine moderne Sicherheitsplattform — geliefert als Service, nicht als Projekt.

Klassische SIEM-Implementierungen sind Projekte: Lizenzkauf, monatelange Integration, Use-Case-Engineering, dauerhaftes Tuning, oft mit eigenem SOC-Team. Wer das sucht — kunden-individuelles Engineering, dediziertes SOC-Team, mehrmonatiger Aufbau — bleibt bei einem etablierten SIEM-Anbieter besser aufgehoben.

AEGYS Monitor liefert kontinuierliche Detection-Sicht ohne Implementierungsphase: Hardware vor Ort, asset-basierte Subscription, Auswertung in Deutschland. Gemeinsame Bewertung statt eigenem SOC. Der Pentest läuft autonom — keine wochenlangen Pentester-Engagements, kein Skript, keine Disruption im laufenden Betrieb.

Take-Away in vier Sätzen

„Kein Alert" heißt nicht „kein Vorfall". Klassische SIEM-Konfigurationen decken im Branchenschnitt nur etwa 21% der relevanten Angriffstechniken ab. Was nicht im Detection-Plan steht, wird nicht erkannt.
Moderne Sicherheitsplattformen schließen einen Großteil dieser Coverage-Lücke durch Built-in-Detection auf der Netzwerk-, Verhaltens- und Identitätsebene. AEGYS Monitor ist eine solche Plattform — geliefert als Service, mit Auswertung in Deutschland.
Aber: Detection ist immer reaktiv. Sie sieht, was passiert — nicht, was möglich wäre. Wer wirklich wissen will, wie sicher er ist, muss beide Fragen beantworten.
Die zweite Frage — was wäre einem Angreifer möglich? — beantwortet nur ein autonomer Pentest. Beide Werkzeuge zusammen ergeben die vollständige Sicht.

Reality-Check für Ihr Netzwerk

Sie wissen jetzt, dass die Lücke existiert. Hat Ihr Netzwerk welche?

Dieser Artikel beschreibt die strukturelle Lücke allgemein. Ob Ihre eigenen Systeme blinde Flecken haben, klären Sie in zwei Minuten — mit dem Netzwerk-Check.

Netzwerk-Check starten2 Minuten Erstgespräch vereinbaren

Der Check ist kostenlos und sofort. Das Erstgespräch dauert 15 Minuten — kein Sales-Call.

Häufige Fragen

Häufige Fragen zu SIEM-Detection-Lücken

Über den Autor

Achim Kraus

Co-Founder & CTO bei AEGYS

Achim hat für die größten Cybersecurity-Unternehmen komplexe Sicherheitsprojekte umgesetzt. Mit AEGYS bringt er diese Erfahrung dorthin, wo sie konkret gebraucht wird: zu Sicherheitsteams, die nach einem Vorfall oder bei einem Verdacht eine belastbare Antwort brauchen — ohne dass dafür ein neues Projekt aufgesetzt werden muss.

Zur ausführlichen Bio