Wie AEGYS Monitor technisch funktioniert — von der Netzwerk-Erfassung bis zur Auswertung. Architektur und Methodik im Detail.
Diese Seite beschreibt die Architektur von AEGYS Monitor. Den autonomen Pentest behandeln wir auf der eigenen Seite → AEGYS Pentest.
AEGYS Monitor unterscheidet sich technisch durch drei bewusste Designentscheidungen. Diese Entscheidungen sind nicht das Ergebnis einer Roadmap — sie sind die Grundlage des Produktversprechens.
Der Monitor arbeitet ausschließlich passiv. Er blockiert nichts, leitet nichts um, verändert keine Konfiguration in Ihrem Netzwerk. Diese Einschränkung ist beabsichtigt: Sie macht den Einsatz risikofrei und ermöglicht den Betrieb auch in produktionskritischen oder OT-Umgebungen, in denen kein anderes Sicherheitswerkzeug Eingriffsrechte erhält.
Die Analyse basiert auf der tatsächlichen Netzwerkkommunikation, nicht auf Logs aus angebundenen Systemen. Damit entfällt die Abhängigkeit von Konfiguration und Verfügbarkeit anderer Datenquellen. Was im Netzwerk passiert, wird unabhängig davon sichtbar, ob es woanders auch protokolliert wurde.
Die erfasste Netzwerk-Aktivität wird verschlüsselt an die AEGYS-Auswertungsumgebung in Deutschland übertragen. Keine Hyperscaler-Cloud — AWS, Azure und Google Cloud sind nicht beteiligt. Keine Übermittlung in Drittstaaten. Souveräne IT-Architektur, vereinbar mit DSGVO, KRITIS und kritischer Infrastruktur.
Diese drei Prinzipien zusammen ergeben ein System, das in wenigen Stunden produktiv ist und keine Vorkonfiguration in Ihrer Umgebung erfordert. Die Architektur ist die Erklärung, nicht das Marketing.
AEGYS Pentest folgt einer anderen Architektur-Logik: aktiv statt passiv, autonom statt regelbasiert, mit bewiesenen Angriffspfaden statt Verbindungs-Beobachtungen.
Pentest-ArchitekturAEGYS Monitor besteht aus mehreren Komponenten, die situationsabhängig zusammenspielen. Welche Komponenten zum Einsatz kommen, hängt vom Anwendungsfall ab — punktueller Reality-Check oder kontinuierlicher Betrieb.
Hardware oder Software-Sensor, passiv ans Netzwerk angeschlossen.
Der Monitor wird über SPAN-/Mirror-Port oder Netzwerk-TAP angebunden. Hardware-Konfiguration richtet sich nach Einsatzgröße: für typische Unternehmensnetzwerke kommt Industrie-PC- oder Server-Hardware zum Einsatz, für höhere Bandbreiten skalierbare Plattformen. In bestimmten Szenarien — etwa bei reinen Software-Tests oder VM-basierten Umgebungen — ist auch der Betrieb auf vom Kunden bereitgestellter Hardware möglich.
Die Konfiguration wird im Erstgespräch entlang der Anforderungen festgelegt: Bandbreite, Anzahl der Anschlusspunkte, gewünschte Erfassungstiefe.
Auf der AEGYS Monitor Appliance, mit verschlüsselter Übertragung in die AEGYS-Plattform.
Der Monitor erfasst Netzwerkverkehr in Echtzeit. Standardbetrieb arbeitet mit Verbindungs-Metadaten (NetFlow-Logik): Quelle, Ziel, Volumen, Protokoll, Port, Zeitstempel. Optional und nach Abstimmung sind tiefere Erfassungsmodi konfigurierbar — von ergänzender Deep Packet Inspection bis zu vollständiger PCAP-Erfassung.
Die erfassten Metadaten werden TLS-verschlüsselt an die AEGYS-Auswertungsumgebung in Deutschland übertragen. Bei Verbindungsunterbrechung puffert der Monitor lokal und überträgt nach Wiederherstellung — ohne Datenverlust.
Hybride Methodik aus drei sich ergänzenden Methoden.
Die Erkennung kombiniert drei Ebenen, die sich gegenseitig stützen: Signatur-Detection für bekannte Angriffe, Verhaltensanalyse für Abweichungen vom Betriebsbild, Threat Intelligence für bekannt schädliche Ziele. Welche Stärken jede Methode hat — und warum keine allein ausreicht — beschreibt die Sektion zur Erkennungs-Methodik.
Strukturierte Darstellung in der AEGYS-Plattform — für die gemeinsame Auswertung.
Erkenntnisse werden nicht als Alert-Stream ausgegeben, sondern als strukturierte Auswertung der relevanten Verbindungen und Auffälligkeiten. Auf Wunsch besprechen wir die Auswertung gemeinsam mit Ihrem Team — strukturiert, klar, ohne Interpretationsspielraum.
Die Auswertungs-Plattform läuft ausschließlich in Deutschland.
AEGYS Pentest besteht aus eigenen Komponenten — Pentest-Engine, Angriffsmodelle, Pfad-Auswertung. Andere Architektur, andere Logik.
Pentest-KomponentenVom Netzwerk-Tap bis zur Bewertung — der Datenfluss in vier Schritten.
SPAN-Port oder TAP liefert Netzwerkverkehr an den Monitor. Passive Mitlese-Verbindung, keine aktive Beteiligung am Datenfluss.
Eingehende Pakete werden auf dem Monitor in Verbindungs-Metadaten überführt: Flow-Records, optional ergänzt um Deep Packet Inspection. Strukturierung nach konfiguriertem Erfassungsschema.
Die normalisierten Daten werden TLS-verschlüsselt an die AEGYS-Auswertungsumgebung in Deutschland übertragen. Eine ausgehende Verbindung vom Monitor zur Plattform — mehr nicht.
In der Auswertungsumgebung kombiniert die Detection-Logik die drei Methoden zu einer strukturierten Bewertung der relevanten Erkenntnisse. Die Auswertung steht Ihnen und Ihrem Team strukturiert zur Verfügung.
Kein Schritt erfordert eine Konfiguration in Ihrer Infrastruktur. Kein Schritt verändert Ihre Netzwerktopologie. Eine ausgehende Firewall-Freigabe vom Monitor zur Plattform genügt.
Klassische Detection-Systeme arbeiten meist mit einer Methode. AEGYS Monitor kombiniert drei — weil keine allein ausreicht.
Signatur-Detection
Bekannte Angriffsmuster werden direkt erkannt: Exploits, schädliche Protokoll-Anomalien, dokumentierte Malware-Indikatoren, IDS-Signaturen für Protokoll-Exploits. Das ist die schnellste Antwort auf Bedrohungen, deren Muster bereits beschrieben sind — und die Grundlage, auf der andere Detection-Methoden aufsetzen können.
Verhaltensanalyse
Während der ersten Stunden eines Einsatzes lernt AEGYS Monitor das normale Kommunikationsverhalten Ihres Netzwerks: welche Systeme miteinander sprechen, welche externen Ziele üblich sind, welche Volumen normal wirken. Auf dieser Basis werden Abweichungen identifiziert — neue externe Ziele, ungewöhnliche laterale Verbindungen, atypische Datenflüsse. Verhaltensanalyse erkennt auch Aktivitäten, für die noch keine Signatur existiert.
Threat Intelligence
Parallel zur Verhaltensanalyse läuft ein Abgleich mit kuratierten Threat-Intelligence-Quellen: bekannt schädliche Hosts, Command-and-Control-Server, kompromittierte Endpoints, verdächtige Domains. Erkannt werden Verbindungen zu solchen Zielen — auch wenn sie aus dem normalen Betriebsbild des Netzwerks heraus zunächst unauffällig wirken.
Signatur-Detection ohne Verhaltensanalyse verpasst neue Angriffe. Verhaltensanalyse ohne Signaturen erzeugt zu viel Rauschen. Threat Intelligence ohne beide bleibt theoretisch. Erst die Kombination ergibt eine belastbare Aussage.
AEGYS Pentest folgt einer anderen Methodik: autonome Angriffspfade statt Detection-Modelle, bewiesene Machbarkeit statt Verbindungs-Beobachtung.
Pentest-MethodikAEGYS Monitor ist auf Datensparsamkeit ausgelegt. Welche Daten erfasst werden, ist eine bewusste Entscheidung pro Einsatz und nicht ein fester Umfang.
| Erfassungsmodus | Was erfasst wird | Wann sinnvoll |
|---|---|---|
| Standard (Metadaten) | Verbindungs-Metadaten: Quelle, Ziel, Volumen, Protokoll, Port, Zeitstempel | Kontinuierlicher Monitor-Betrieb, Reality-Check, datenschutzsensible Umgebungen |
| Erweitert (DPI) | Metadaten plus Deep Packet Inspection: Protokoll-Details, ausgewählte Header-Informationen | Detailliertere Analyse bei Bedarf, nach ausdrücklicher Vereinbarung |
| Vollerfassung (PCAP) | Vollständige Paket-Mitschnitte für definierte Zeiträume | Forensische Analyse nach einem Vorfall, nur nach ausdrücklicher Vereinbarung |
Der Erfassungsmodus wird vor dem Einsatz festgelegt und dokumentiert. Standardmäßig arbeiten wir mit Metadaten — eine Erweiterung erfolgt nur dann, wenn der Anwendungsfall es erfordert und Sie es ausdrücklich freigeben.
Eine Sicherheits-Plattform, die selbst nicht abgesichert ist, schafft mehr Risiko als sie löst. Daher gehört die Härtung beider Seiten — AEGYS Monitor und Auswertungsumgebung — zur Architektur.
Minimaler Angriffsvektor (Monitor)
Der Monitor kommuniziert ausschließlich ausgehend zur Auswertungsumgebung in Deutschland. Keine eingehenden Verbindungen, keine zusätzlichen Dienste auf der Hardware.
Härtung nach gängigen Standards
Auslieferung mit reduzierter Angriffsfläche: minimale Dienste, eingeschränkte Schnittstellen, dedizierte Management-Schnittstelle.
Verschlüsselte Verbindung
Übertragung zwischen AEGYS Monitor und Auswertungsumgebung ausschließlich TLS-verschlüsselt. Mutual-Auth-Authentifizierung über zertifikatsbasierte Verfahren.
Kontrollierte Updates
Updates des Monitors erfolgen kontrolliert nach Abstimmung mit dem Kunden. Keine automatisierten Auto-Updates ohne Freigabe.
CVE-Behandlung
Bekannte Schwachstellen werden zeitnah adressiert. Detail-Informationen zum Update- und Schwachstellen-Prozess auf Anfrage.
Datenintegrität
Auf Wunsch dokumentierte Löschprozesse nach Abschluss eines Einsatzes, inklusive Nachweis.
Detaillierte technische Informationen zur Härtung, zum Update-Prozess und zur Schwachstellen-Behandlung stellen wir auf Anfrage als Sicherheits-Whitepaper zur Verfügung.
Die AEGYS DATALYTICS AG hat AEGYS Monitor und AEGYS Pentest unter Berücksichtigung deutscher und europäischer Compliance-Anforderungen entwickelt. Die folgenden Punkte stehen im Erstgespräch und im Vertrag im Detail zur Verfügung.
Auftragsverarbeitungsvertrag (AVV) als Standard. Datensparsamkeit durch konfigurierbare Erfassungstiefe. Keine Übermittlung in Drittstaaten.
Verarbeitung ausschließlich in Deutschland — sowohl Monitor-Auswertung als auch Pentest-Engine. Keine Hyperscaler-Cloud — AWS, Azure und Google Cloud nicht beteiligt.
Ausrichtung an gängigen Sicherheitsstandards (BSI-orientiert, ISO-konform). Geeignet für regulierte Umgebungen wie KRITIS, Finanzdienstleister, OT.
AEGYS Monitor und AEGYS Pentest sind als unabhängige, ergänzende Sicht konzipiert — nicht als zentrale Plattform, in die andere Systeme integriert werden müssen. Trotzdem gibt es definierte Anbindungspunkte.
Bestehende SIEM-Systeme
Monitor-Erkenntnisse und Pentest-Berichte können auf Wunsch als zusätzliche Quelle in ein bestehendes SIEM eingespielt werden, ohne dass die SIEM-Konfiguration verändert werden muss.
Incident-Response-Workflows
Monitor-Auswertungen und Pentest-Berichte stehen in strukturierter Form zur Übergabe an IR-Teams oder externe Forensik-Dienstleister bereit.
MSSP-Workflows
Für Security-Partner, die AEGYS für ihre eigenen Kunden einsetzen, ist eine vereinfachte Übernahme der Auswertung in eigene Reporting-Strukturen vorgesehen.
OT- und Produktionsumgebungen
Der Monitor läuft passiv und erzeugt keine Rückwirkung auf produktive Systeme — ideal für OT-Umgebungen, in denen kein anderes Sicherheitswerkzeug Eingriffsrechte erhält. Pentest-Einsätze in OT erfordern abgestimmte Scope-Definition und werden bei Bedarf separat besprochen.
Die Designentscheidungen des Monitors schließen bestimmte Anwendungsfälle aus. Wir benennen diese Grenzen offen, weil sie für die Auswahl des richtigen Werkzeugs entscheidend sind.
Kein aktiver Schutz
Eine passive Architektur kann nicht blockieren oder eingreifen. Schutzmaßnahmen erfordern Firewall, IPS oder EDR.
Keine Endpoint-Sicht
Was auf einzelnen Geräten passiert (Prozesse, Dateien, Speicher), wird nicht erfasst. Dafür ist EDR zuständig.
Kein SIEM-Implementierungs-Projekt
Klassische SIEM-Implementierungen sind kunden-individuelle Projekte: Use Cases werden für die spezifische Umgebung geschrieben, Log-Anbindung wird einzeln konfiguriert, ein dediziertes SOC-Team wird aufgebaut. Der Monitor liefert dieselben Plattform-Capabilities als Standard-Service: vorkonfigurierte Detection-Logik, Standard-Anbindung, gemeinsame Auswertung mit dem AEGYS-Team. Wer ein kunden-individuelles Implementierungs-Projekt sucht, ist bei einem klassischen SIEM-Anbieter besser aufgehoben.
Kein Schutz verschlüsselter Inhalte
Verschlüsselte Inhalte bleiben verschlüsselt. Der Monitor arbeitet auf Verbindungs- und Verhaltens-Ebene, nicht auf Inhaltsebene.
Keine Schwachstellen-Bewertung
Was einem Angreifer in Ihrer Umgebung möglich wäre, zeigt der → AEGYS Pentest, nicht AEGYS Monitor.
Diese Grenzen sind nicht Schwächen — sie sind Konsequenzen der Designentscheidungen. Wer eine Lösung sucht, die auch eine dieser Aufgaben übernimmt, braucht zusätzlich oder stattdessen ein anderes Werkzeug.
Aus den technischen Komponenten ergeben sich vier typische Einsatz-Konstellationen.
Konstellation 01
AEGYS Monitor wird für einen definierten Zeitraum eingesetzt — typischerweise Tage bis Wochen. Im Anschluss wird er entfernt oder verbleibt im Weiterbetrieb. Daten werden nach Vorgabe gelöscht. Sie behalten die Auswertung als Entscheidungsgrundlage. Typisch nach einem Vorfall, bei einem konkreten Verdacht oder vor einem Audit.
Konstellation 02 · Standard
AEGYS Monitor bleibt im Netzwerk. Auswertungen erfolgen in einem mit Ihnen vereinbarten Rhythmus. Asset-basiertes Subscription-Modell, jederzeit beendbar — ohne langfristige Vertragsbindung. Geeignet für Organisationen, die eine kontinuierliche zweite Sicht haben wollen, ohne ein eigenes SIEM zu betreiben.
Konstellation 03
AEGYS Monitor wird durch einen Security-Partner für dessen Kunden eingesetzt. Der Monitor kann für mehrere Kunden seriell verwendet werden. Auswertung und Berichterstattung können in die Workflows des Partners eingebunden werden.
Konstellation 04
AEGYS Pentest wird einmalig mit klarem Scope und Festpreis durchgeführt. Auf Wunsch mit Re-Test nach Behebung. Ohne Subscription, ohne Vertragsbindung. Typisch als Einstieg, vor einem ersten NIS2-Audit, vor einer Versicherungs-Verlängerung oder nach einer größeren IT-Änderung.
Diese Sektion richtet sich an strategische Partner, Investoren und Anbieter komplementärer Technologien.
Kombinierbar mit etablierten Open-XDR-Frameworks.
Ergänzt bestehende Sicherheitsstacks, statt sie zu ersetzen.
Die technische Architektur ist bewusst auf Flexibilität ausgelegt — von kompakter Hardware für punktuelle Reality-Checks bis zu Software-basierten Konfigurationen für VM-Umgebungen. Die hybride Detection-Methodik (Signatur, Verhalten, Threat Intelligence) ermöglicht die Anbindung weiterer Datenquellen oder Analyse-Module ohne Eingriff in die Kernarchitektur.
Partnerschaften bestehen mit etablierten Anbietern aus dem Open-XDR-Umfeld. Die strategische Begleitung erfolgt durch einen Aufsichtsrat aus Wissenschaft (KIT/FZI), kritischer Infrastruktur (NATO Digital Capability), internationaler Threat Research (Symantec/Acronis-Erfahrung) und Cyber-Krisenmanagement.
Für Investoren und strategische Partner stellen wir auf Anfrage zusätzliche Unterlagen zur Verfügung — von technischen Tiefen-Whitepapers bis zu Roadmap-Einsichten. Kontaktaufnahme über das Erstgespräch oder direkt an hallo@aegysdata.com.
Wenn Sie als technischer Verantwortlicher oder strategischer Partner tiefer einsteigen möchten — ob zu Architektur, Erkennungsmethodik, Compliance oder Integrationsmöglichkeiten — sprechen wir gerne mit Ihnen direkt.
15 Minuten. Kein Sales-Call.