Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
IL L U M IO P R O D U K T E

NDR vs. Illumio Insights: Erkennung und Eindämmung lateraler Bewegungen in der Hybrid Cloud

David Vance
Senior Competitive Intelligence Manager
Illumio Editorial
18März 2026
23 min. lesen

Seit Jahren dienen Netzwerk-Erkennungs- und Reaktionsplattformen (NDR) als Mikroskop für das Sicherheitsteam.

Sie untersuchen den Netzwerkverkehr auf Paketebene, analysieren das Verhalten in der gesamten Infrastruktur und decken verdächtige Aktivitäten auf, die in komplexen Umgebungen verborgen sind. Wenn etwas schiefgeht, helfen NDR-Tools den Ermittlern, den Hergang zu rekonstruieren.

Diese Funktionalität war sinnvoll, als die meisten Anwendungen in Rechenzentren untergebracht waren und der Datenverkehr über vorhersehbare Netzwerkpfade floss.

Moderne Infrastrukturen funktionieren nicht mehr so.

Anwendungen laufen heute in hybriden Umgebungen, die sich über lokale Systeme, mehrere Clouds, Container, APIs und kurzlebige Workloads erstrecken. Und die Angreifer haben sich dieser Komplexität angepasst.  

Statt den Perimeter anzugreifen, gelangen sie durch gestohlene Zugangsdaten, ungeschützte Dienste oder Fehlkonfigurationen ins Innere. Sobald sie Fuß gefasst haben, beginnt der eigentliche Angriff, wenn sie sich seitlich in der Umgebung ausbreiten.

In diesem Moment reicht es nicht aus, zu verstehen, was gestern geschehen ist. Sicherheitsteams müssen riskante Kommunikationsmuster in Echtzeit erkennen und Angreifer stoppen, bevor diese ihren Zugriff ausweiten können.

Dieser Wandel offenbart die Grenzen der traditionellen NDR. Die heutigen modernen Umgebungen erfordern einen neuen Ansatz zur Erkennung und Eindämmung von Sicherheitsvorfällen.

An dieser Stelle kommt Illumio Insights ins Spiel.

Illumio Insights: Erkennungstechnologie zur Eindämmung von Sicherheitsverletzungen

Illumio Insights verfolgt einen anderen Ansatz bei der Erkennung und Abwehr von Bedrohungen.

Anstatt sich auf die Erfassung von Datenpaketen und die Rekonstruktion des Datenverkehrs nach einem Vorfall zu verlassen, analysiert Insights die Kommunikationsmuster in Echtzeit in der gesamten Umgebung. Es erfasst Flussdaten von Cloud-Plattformen, lokalen Systemen und hybriden Infrastrukturen, um eine Echtzeitkarte der Interaktion von Workloads zu erstellen.

Im Zentrum dieser Funktionalität steht der Illumio AI-Sicherheitsgraph.

Das Diagramm modelliert Beziehungen zwischen Systemen und wertet diese kontinuierlich auf riskante Kommunikationsmuster, verdächtige Verbindungen und Anzeichen lateraler Bewegung aus.  

Dadurch kann Insights Risiken erkennen und priorisieren, bevor Angreifer sie ausnutzen können. Sicherheitsteams können verdächtige Aktivitäten in Echtzeit erkennen, anstatt die Ereignisse später rekonstruieren zu müssen.

Insights vereinfacht auch die Untersuchung.  

Herkömmliche Erkennungsplattformen erzeugen große Mengen an Warnmeldungen, die eine manuelle Analyse erfordern. Innerhalb von Illumio Insights fungiert der Insights Agent als KI-Assistent, der Analysten dabei hilft, sich auf das Wesentliche zu konzentrieren. Es analysiert die Erkennungen, priorisiert die Risiken, ordnet die Ergebnisse den MITRE ATT&CK-Techniken zu und empfiehlt Maßnahmen zur Bekämpfung der Bedrohung.

Der größte Unterschied zeigt sich jedoch nach der Erkennung. Die meisten NDR-Tools beschränken sich auf die Identifizierung von Bedrohungen, während Illumio sich auf deren Eindämmung konzentriert.

Insights integriert sich direkt in Illumio Segmentation , um netzwerkweite Kontrollmechanismen durchzusetzen, die Angreifer daran hindern, sich lateral im Netzwerk zu bewegen. Sicherheitsteams können kompromittierte Workloads isolieren, riskante Kommunikationswege blockieren und Angreifer daran hindern, ihren Zugriff auszuweiten.

Die Erkennung deckt die Bedrohung auf, die Eindämmung verhindert den Ausbruch.

Wozu wurden NDR-Plattformen entwickelt?

Kernstück jeder NDR-Plattform ist die Deep Packet Inspection (DPI).

Diese Lösungen basieren auf Netzwerksensoren, die den Datenverkehr innerhalb eines Netzwerks in Echtzeit analysieren. Einige Sensoren sind virtuell, andere hingegen physische Geräte, die direkt an die Infrastruktur des Rechenzentrums angeschlossen sind.

Während sich Datenpakete durch das Netzwerk bewegen, erfassen und analysieren NDR-Lösungen diese mit extrem hoher Geschwindigkeit. Sie können den Datenverkehr entschlüsseln, die Nutzdaten untersuchen und jedes Detail des Kommunikationsstroms analysieren.

Die Speicherung jedes einzelnen Datenpakets würde jedoch eine enorme Speicherkapazität erfordern. Dies erfordert von NDR-Plattformen einen anderen Ansatz.

Anstatt den Rohdatenverkehr zu speichern, extrahieren sie wichtige Details über das Geschehen und speichern diese Details als Metadaten. Diese Metadaten werden zu einem durchsuchbaren historischen Datensatz der Netzwerkaktivitäten.

Wenn etwas Verdächtiges passiert, können die Sicherheitsteams zurückgehen und rekonstruieren, was geschehen ist – welche Systeme miteinander kommuniziert haben, welche Daten übertragen wurden und wie sich das Ereignis entwickelt hat.

Diese forensische Fähigkeit ist unglaublich leistungsstark. Für einige Branchen, die auf eigene Rechenzentrumsnetzwerke angewiesen sind, wie beispielsweise das Bankwesen und einige Bundesbehörden, ist dies sogar durch Compliance-Vorschriften vorgeschrieben. Diese Organisationen müssen detaillierte Netzwerkaufzeichnungen zu Untersuchungs- und Compliance- Zwecken führen.

In solchen Umgebungen bieten NDR-Lösungen genau das, was Teams benötigen: einen detaillierten historischen Überblick über die Netzwerkaktivitäten.

Wo die NDR zu kämpfen beginnt

Die Architektur, die NDR-Lösungen so leistungsstark macht, offenbart gleichzeitig ihre Grenzen.

Die meisten NDR-Plattformen wurden speziell für lokale Rechenzentrumsnetzwerke entwickelt. Ihre Sensoren befinden sich innerhalb des Netzwerks und analysieren den Datenverkehr, der durch die physische Infrastruktur fließt.

Dieses Design funktioniert in traditionellen Umgebungen hervorragend. Doch die moderne Infrastruktur sieht ganz anders aus.

Unternehmen betreiben ihre Anwendungen heute in hybriden Umgebungen, die lokale Systeme, mehrere Clouds und Containerplattformen kombinieren.

Und obwohl NDR-Anbieter im Laufe der Jahre Cloud-Unterstützung hinzugefügt haben, handelt es sich bei diesen Funktionen oft um nachträglich hinzugefügte Erweiterungen und nicht um Kernfunktionen des Designs. Daher bleiben ihre größten Stärken im Rechenzentrum.

Das birgt mehrere Herausforderungen.

Die Erkennung von Bedrohungen in der Cloud ist schwächer.

In Cloud-Umgebungen stützen sich NDR-Plattformen typischerweise auf Cloud-Flow-Logs anstatt auf Deep Packet Inspection.

Flow-Logs ermöglichen Einblicke in die Netzwerkkommunikation. Ihnen fehlen jedoch die Details auf Paketebene, auf die NDR-Plattformen zur Erkennung angewiesen sind.

Dies bedeutet, dass sich die Bedrohungserkennungsfunktionen, die lokal gut funktionieren, oft nicht ohne Weiteres auf Cloud-Umgebungen übertragen lassen.

Für Organisationen, die mit hybrider Infrastruktur arbeiten, entstehen dadurch blinde Flecken.

Die Aufdeckung ist nach wie vor stark ermittlungsintensiv.

Viele NDR-Anbieter haben maschinelles Lernen und KI-Funktionen hinzugefügt, um Anomalien besser erkennen zu können. Sie erfassen das Netzwerkverhalten als Basis und achten auf ungewöhnliche Spitzenwerte oder Abweichungen von normalen Verkehrsmustern.

Wenn etwas Ungewöhnliches passiert, generiert das System eine Warnung. Sobald diese Warnmeldung erscheint, verlagert sich die Verantwortung jedoch wieder auf die menschlichen Analysten.

Die Sicherheitsteams müssen den Vorfall untersuchen, feststellen, ob es sich um eine böswillige Aktivität handelt, und entscheiden, wie darauf zu reagieren ist.

Das Tool bringt das Signal ans Licht, während die eigentliche Arbeit weiterhin vom Menschen geleistet wird.

Der Schwerpunkt liegt weiterhin auf der historischen Analyse.

NDR-Plattformen eignen sich hervorragend, um Teams bei der Untersuchung vergangener Ereignisse zu unterstützen.

Diese Fähigkeit ist wertvoll für forensische Analysen, die Berichterstattung an Aufsichtsbehörden und die Untersuchung nach einem Vorfall.

Doch moderne Angriffe erfolgen schnell. Bis die Teams die Ereignisse rekonstruieren, hat der Angreifer möglicherweise bereits seinen Zugriff auf die gesamte Umgebung ausgeweitet.

Warum nutzen viele Organisationen überhaupt NDR?

Trotz dieser Einschränkungen sind NDR-Tools weiterhin weit verbreitet.

In manchen Umgebungen sind sie erforderlich. Bestimmte Regierungsbehörden und stark regulierte Branchen wie das Bankwesen müssen Deep Packet Inspection einsetzen, um die Compliance-Anforderungen zu erfüllen. Für diese Organisationen ist NDR nicht verhandelbar.

Für andere Organisationen ist NDR einfach das am besten verfügbare Tool zur Erkennung von Netzwerkbedrohungen. Möglicherweise benötigen sie keine vollständige Paketprüfung oder langfristige forensische Aufzeichnungen.  

Was sie wirklich brauchen, ist die Fähigkeit, verdächtige Aktivitäten in ihrem gesamten Netzwerk zu erkennen. In solchen Umgebungen kann eine tiefgreifende Paketprüfung übertrieben sein. Es sammelt enorme Datenmengen und benötigt eine umfangreiche Infrastruktur für den Betrieb.

Dennoch setzen viele Organisationen es ein, weil es keine bessere Alternative gab.

An dieser Stelle kommt Illumio Insights ins Spiel.

Netzwerkerkennung für hybride Umgebungen neu denken

NDR bleibt ein leistungsstarkes Werkzeug für Organisationen, die eine tiefgreifende Paketprüfung und historische forensische Transparenz benötigen. Viele Organisationen agieren heute jedoch in Umgebungen, für deren Schutz NDR nie konzipiert wurde.

Hybride Infrastrukturen, kurzlebige Workloads und Cloud-native Architekturen erfordern einen anderen Ansatz.

Sicherheitsteams müssen riskante Kommunikationsmuster in der gesamten Umgebung erkennen und reagieren, bevor sich Angreifer ausbreiten können.

Illumio Insights bietet diese Funktionalität.

Durch die Kombination von Echtzeit-Erkennung, KI-gestützter Analyse und integrierter Segmentierung hilft es Unternehmen, über die reine Untersuchung hinauszugehen und eine echte Eindämmung von Sicherheitsvorfällen zu erreichen.

Testen Sie Illumio Insights kostenlos um risikoreiche Kommunikation in Ihrer Umgebung zu erkennen und Angreifer daran zu hindern, sich seitlich auszubreiten.

David Vance
Senior Competitive Intelligence Manager
Illumio Editorial
18März 2026
23 min. lesen
Cyber-Resilienz
Kontaktiere uns
Aktie

Verwandte Artikel

Cloud Detection and Response (CDR) entwickelt sich weiter. Hier kommt Illumio Insights ins Spiel.
IL L U M IO P R O D U K T E

Cloud Detection and Response (CDR) entwickelt sich weiter. Hier kommt Illumio Insights ins Spiel.

Erfahren Sie, wo die Wolkenerkennung und -reaktion an ihre Grenzen stößt und wie Illumio Insights die Echtzeiterkennung und die Eindämmung seitlicher Bewegungen verbessert.

Mehr lesen
Keine Artikel gefunden.
3 Möglichkeiten, wie Sie Ihre kostenlose Testversion von Illumio Insights optimal nutzen können
IL L U M IO P R O D U K T E

3 Möglichkeiten, wie Sie Ihre kostenlose Testversion von Illumio Insights optimal nutzen können

Maximieren Sie das Potenzial Ihrer kostenlosen Illumio Insights-Testversion mit drei praktischen Schritten, um laterale Bewegungen aufzudecken, den Datenverkehr in Hybrid-Clouds zu visualisieren und die Eindämmung von Sicherheitsvorfällen zu beschleunigen.

Mehr lesen
Keine Artikel gefunden.
Erkennen und Eindämmen von Lateral Movement in der Cloud mit Illumio Insights
IL L U M IO P R O D U K T E

Erkennen und Eindämmen von Lateral Movement in der Cloud mit Illumio Insights

Erfahren Sie, wie Illumio Insights laterale Bewegungen in der Cloud erkennt und eindämmt, Angreifer in Echtzeit stoppt und Ihre Sicherheitslage stärkt.

Mehr lesen
Keine Artikel gefunden.
Grenzen der Durchsetzung: 7 Anwendungsfälle jenseits von Ransomware
IL L U M IO P R O D U K T E

Grenzen der Durchsetzung: 7 Anwendungsfälle jenseits von Ransomware

Enforcement Boundaries sind das Schweizer Taschenmesser der Risikominderung. Diese berühmten roten Tools können viel mehr als nur Käse und Äpfel in Scheiben schneiden, und Enforcement Boundaries kann viel mehr als nur Ransomware bekämpfen.

Mehr lesen
Keine Artikel gefunden.
Überwachung und Kontrolle des Cloud-Datenverkehrs verbessert
IL L U M IO P R O D U K T E

Überwachung und Kontrolle des Cloud-Datenverkehrs verbessert

Mit Illumio Core ist Illumio der anerkannte Marktführer in der Zero-Trust-Segmentierung für lokale Rechenzentren und Systeme.

Mehr lesen
Keine Artikel gefunden.
Haben Sie sich in der Datengesamtstruktur verirrt? Verschaffen Sie sich Klarheit mit der granularen Netzwerktransparenz von Illumio
IL L U M IO P R O D U K T E

Haben Sie sich in der Datengesamtstruktur verirrt? Verschaffen Sie sich Klarheit mit der granularen Netzwerktransparenz von Illumio

Erfahren Sie, wie die fortschrittliche Netzwerktransparenz von Illumio versteckte Risiken beleuchtet und Kontext, Klarheit und Kontrolle bietet, um die Komplexität des Netzwerks und blinde Flecken zu durchbrechen.

Mehr lesen
Schutz hochwertiger Vermögenswerte

Erleben Sie Illumio Insights noch heute

Erfahren Sie, wie KI-gestützte Beobachtbarkeit Ihnen hilft, Gefahren schneller zu erkennen, zu verstehen und einzudämmen.
Testen Sie Illumio Insights