Bericht

SANS-Umfrage 2025 zu Erkennung und Reaktion

Blinde Flecken, Automatisierungslücken und der Wandel hin zu KI-gestützter Verteidigung

Die diesjährige Umfrage von SANS Detection & Response zeigt eine angespannte Sicherheitslage. 

  • Eine übermäßige Abhängigkeit von EDR am Endpunkt schafft neue blinde Flecken.  
  • Die Automatisierung breitet sich weiter aus, aber das Vertrauen bleibt gering.  
  • SOC-Teams sehen sich mit steigenden Fehlalarmen, Fachkräftemangel und verschärften Vorschriften konfrontiert. 

Erfahren Sie, warum die Erkennung früher in der Kill Chain erfolgen muss, welche Art von Verhaltensanalyse implementiert werden muss und wie KI Analysten ergänzen, aber nicht ersetzen sollte. 

Diesen Bericht teilen

Wichtigste Ergebnisse

Die Daten von SANS 2025 decken zunehmende Lücken auf, die durch endpunktlastige Sicherheitsmaßnahmen, steigende Komplexität, „
“ und inkonsistenten Informationsaustausch verursacht werden.

89%

EDR bleibt ein „Alleskönner“-Tool

Eine starke Fokussierung auf Endpunkte lässt Perimeter und Cloud-Zugänge weitgehend ungeschützt, was zu Lücken bei der Erkennung nach einer Kompromittierung führt (
).

73%

Falsch-positive Ergebnisse nehmen zu

Falsch-positive Ergebnisse überfordern SOC-Teams, die ohnehin schon unter Personalmangel leiden.

13%

Rückgang bei der Einführung vollständiger Automatisierung 

Obwohl 90 % automatisierte Erkennungstools verwenden, vertraut nur ein Bruchteil auf vollautomatische Reaktionen.

Endpoint spots

EDR bietet erst dann Transparenz, wenn bösartige Dateien den Endpunkt erreichen. Unternehmen übersehen Bedrohungen im Frühstadium am Perimeter, in der Cloud und entlang der Dateiübertragungswege.

Hohe Akzeptanz,
Geringe Umsetzung

SOC-Teams haben oft kein Vertrauen in die Automatisierung, weil die Tools sich nicht in die Arbeitsabläufe der Mitarbeiter integrieren lassen. Eine effektive Automatisierung muss das menschliche Urteilsvermögen ergänzen, korrelieren und priorisieren – und nicht ersetzen.

Regulatorischer Druck verändert Zusammenarbeit

Nur 37 % geben Erkennungsregeln extern weiter, obwohl NIS2 und DORA Unternehmen dazu verpflichten, Vorfälle und IOCs zu melden.

Warum dieser Bericht wichtig ist

Die Umfrage zeigt, welche architektonischen Änderungen erforderlich sind, um die SOC-Fähigkeiten weiterzuentwickeln.
Erfahren Sie, wo Sie Ihre Erkennungspipelines modernisieren und wie Sie die Arbeitslast reduzieren und gleichzeitig die Genauigkeit verbessern können.

Analysten werden von Lärm überlagert

Teams müssen Verhaltens-Sandboxing und maschinelles Lernen zur Suche nach ähnlichen Bedrohungen einsetzen.

Die Komplexität wächst schneller als das Fachwissen

Entdecken Sie die Auswirkungen von Multicloud-Fragmentierung und Integrationslücken auf die Sicherheit.

KI muss menschliche Talente ergänzen

Sicherheitsteams benötigen Abfragen in natürlicher Sprache, automatisierte IOC-Extraktion und ähnlichkeitsbasierte Bedrohungskorrelation.

Stärken Sie Ihre Erkennungsstrategie

Holen Sie sich den vollständigen SANS-Umfragebericht und erfahren Sie, wie Sie blinde Flecken reduzieren, die Kapazität Ihrer Analysten skalieren und eine mehrschichtige Erkennungs-Pipeline einführen können.

Den Bericht herunterladen