foto magnific

Die Bedeutung von Sichtbarkeit in der Netzwerksicherheit kann nicht hoch genug bewertet werden, da viele Unternehmen ihre tatsächliche Geräte- und Systemlandschaft nicht vollständig kennen, was Risiken erhöht.
Moderne Netzwerke bestehen aus IT, OT, IoT und IoMT, was eine vollständige Kontrolle und Erkennung aller Geräte erfordert, zumal viele Geräte nicht verwaltet oder schwer zu patchen sind.
Zero-Trust-Modelle basieren auf Identität, Verhalten und Risiko, wobei die praktische Umsetzung durch visuelle Kommunikationsmodelle und Simulationen unterstützt wird, um Fehlkonfigurationen zu vermeiden.
Honeypots, insbesondere in industriellen Umgebungen, dienen dazu, Angreifer zu täuschen und deren Verhalten zu analysieren, was wertvolle Erkenntnisse für die Sicherheitsforschung liefert.
Künstliche Intelligenz beschleunigt sowohl Angriffe als auch Verteidigungsmaßnahmen, verschärft jedoch die Remediation-Lücke, da Unternehmen Schwierigkeiten haben, entdeckte Schwachstellen zeitnah zu beheben.

Seit über 25 Jahren prägt Forescout die Netzwerksicherheit – und bleibt erfolgreich, weil das Unternehmen Bedrohungen nicht erst bekämpft, wenn sie bereits öffentlich sichtbar werden. In Eindhoven, dem Sitz der Forschungsabteilung Vedere Labs, zeigt das Führungsteam, warum Transparenz, Geschwindigkeit und automatisierte Abwehr heute über die Sicherheit vernetzter IT-, OT-, IoT- und IoMT-Umgebungen entscheiden.

Bei Forescout in Eindhoven wird Cybersicherheit nicht als abstraktes Strategiespiel beschrieben, sondern als Kampf um Sichtbarkeit. Wer mit dem Führungsteam spricht, landet schnell bei einer unbequemen Wahrheit: Viele Unternehmen wissen nicht genau, was in ihren Netzen wirklich aktiv ist. »Sie kennen ihre Server, Notebooks und zentral verwalteten Systeme«, so Sven von Kreyfeld, Teamleiter Systems Engineering CEE und Presales Berater. »Doch sie übersehen Kameras, Steuerungen, Sensoren, Medizingeräte, industrielle Router, alte Windows-Systeme, Schatten-IT und alles, was irgendwann einmal angeschlossen, aber nie sauber erfasst wurde.«

Gerade diese unbekannten oder falsch eingeschätzten Geräte sind das eigentliche Risiko. Denn moderne Unternehmensnetzwerke bestehen nicht mehr nur aus klassischer Informationstechnik. Sie verbinden IT, Betriebstechnik (OT) und Geräte aus dem Internet der Dinge (IoT) zu hochkomplexen Umgebungen. In solchen Strukturen reicht es nicht, einen Endpunkt-Agenten auszurollen und auf vollständige Kontrolle zu hoffen. Viele Geräte lassen sich nicht mit zusätzlicher Software ausstatten, manche dürfen aus betrieblichen Gründen nicht verändert werden, andere tauchen nur kurzzeitig im Netzwerk auf. Forescouts Botschaft ist deshalb klar: Sicherheit beginnt nicht mit Abwehr, sondern mit Erkennen.

Die gefährlichste Lücke ist die unbekannte Infrastruktur

Schnell wird deutlich, wie groß der Abstand zwischen Annahme und Wirklichkeit in vielen Unternehmen ist. »Verantwortliche glauben, sie hätten alles im Griff – tatsächlich sind über 33 Prozent aller Geräte nicht verwaltet und folgen keinerlei Regeln, die das Unternehmen für Netzgeräte festgelegt hat« zitiert von Kreyfeld die jüngste »Blind Spots«-Studie der Vedere Labs. Das Problem ist nicht nur technisch, sondern auch organisatorisch. IT und OT arbeiten vielerorts weiterhin in getrennten Silos, mit eigenen Prioritäten, eigenen Werkzeugen und eigenen Zuständigkeiten.

Für die Sicherheit ist das fatal. Wenn die Informationstechnik nicht weiß, welche Produktionssysteme kommunizieren, und die Betriebstechnik Sicherheitsvorgaben der IT als Risiko für die Verfügbarkeit betrachtet, entsteht genau jener blinde Fleck, den Angreifer suchen. Besonders heikel wird es dort, wo Systeme nicht ohne Weiteres gepatcht werden können. In industriellen Umgebungen kann ein Update Produktionsstillstand, Verzögerungen oder sogar Sicherheitsrisiken im physischen Betrieb auslösen.

Deshalb geht es nicht nur um die Frage, ob eine Schwachstelle existiert. Entscheidend ist, welches System betroffen ist, welche Rolle es im Prozess spielt, mit wem es kommuniziert und ob eine direkte Behebung überhaupt möglich ist. Wo ein Patch zu riskant ist, braucht es kompensierende Maßnahmen: Segmentierung, Zugriffsbeschränkungen, engere Überwachung und eine klare Priorisierung nach tatsächlichem Risiko.

Zero Trust muss im Bestand funktionieren

Ein weiterer Schwerpunkt in Eindhoven war die Frage, wie Zero Trust in gewachsenen Unternehmensnetzen praktisch umgesetzt werden kann. Forescout setzt mit einer neuen, Cloud-nativen Lösung auf einen Ansatz, der nicht von statischen IP-Adressen ausgeht, sondern von Identität, Verhalten und Risiko eines Geräts. Diese Kontextdaten werden in visualisierten Kommunikationsmodellen abgebildet, die es Teams ermöglichen, Sicherheitsrichtlinien vor ihrer Umsetzung zu simulieren. So lassen sich Fehlkonfigurationen reduzieren und die Sicherheit operativer Entscheidungen deutlich erhöhen.

Die Herausforderung ist groß. Klassische Segmentierung gilt zwar als Grundlage moderner Sicherheitsarchitekturen, scheitert in der Praxis aber häufig an fragmentierten Werkzeugen. Manche Lösungen sehen nur klassische Informationstechnik, andere sind auf Betriebstechnik spezialisiert. Agentenbasierte Ansätze wiederum versagen bei nicht verwalteten Geräten. Forescout beschreibt daher einen »Visibility-First«-Ansatz: Erst wenn alle Geräte und Kommunikationsbeziehungen sichtbar sind, lassen sich belastbare Richtlinien definieren.

Besonders wichtig ist die Möglichkeit der Simulation von Segmentierungsregeln, bevor diese in Kraft gesetzt werden. Denn eine falsch gesetzte Regel kann in der Produktion gravierende Folgen haben. Wer kritische Kommunikation unterbricht, verbessert nicht die Sicherheit, sondern gefährdet den Betrieb. Zero Trust wird damit nicht als starre Lösung verstanden, sondern als operatives Modell, das nur mit aktueller Transparenz, Risikoanalyse und kontrollierter Umsetzung funktioniert.

Rik Ferguson, VP Security Intelligence, brachte in diesem Zusammenhang eine wichtige begriffliche Trennung auf den Punkt: »Zero Trust ist nicht das Gleiche wie Zero Trust Network Access (ZTNA) – ersteres ist ein elementares Modell, letzteres gibt es als Produkt.« Diese Unterscheidung ist essenziell. »Wer Zero Trust lediglich einkauft, ohne Prozesse, Sichtbarkeit und Verantwortlichkeiten zu berücksichtigen und abzustimmen, bekommt kein Sicherheitsmodell, sondern nur eine weitere technische Insel.«

Honeypots als Sensoren für reale Angriffsmuster

Besonders anschaulich wird die Sicherheitsforschung beim Blick auf die Arbeit der Vedere Labs. Forescouts Experten nutzen nicht nur Telemetriedaten, Malware-Analysen und Schwachstellenforschung, sondern auch realistische Täuschungsumgebungen, die Angreifer anlocken und ihr Verhalten sichtbar machen sollen. So können die Forscher beobachten, wie Kriminelle vorgehen, welche Schwachstellen sie suchen, welche Befehle sie ausprobieren und ob sie »nur« neugierig sind oder tatsächlich versuchen, den Betrieb zu stören.

Einen solchen »Honeypot« betreibt das Vedere Labs seit einigen Jahren in Eindhoven. In diesem Fall erscheint er mit Blick aus dem Internet wie ein echtes Wasserwerk. Es geht also nicht nur um eine einfache Webseite oder eine frei zugängliche Bedienoberfläche. Die Forscher haben eine komplette industrielle Umgebung nachgebildet: mit Steuerungen, Anzeigen, Messwerten, Ventilen, Pumpen, Alarmen, älteren Betriebsdaten und sogar typischen Fehlkonfigurationen, wie sie in realen Anlagen vorkommen können.

Genau diese Details machen den Honeypot glaubwürdig. »Ein Angreifer soll den Eindruck bekommen, er habe es mit einer echten, schlecht geschützten Anlage zu tun«, so Daniel dos Santos, Leiter der Vedere Labs. »Erst dann beginnt er zu scannen, sich einzuloggen, Funktionen zu testen oder Einstellungen zu verändern. Für uns als Forscher öffnet sich dadurch ein wertvoller Blick auf das tatsächliche Verhalten der Angreifer.«

Der Nutzen liegt also nicht darin, einen spektakulären Angriff zu provozieren. Entscheidend ist, was sich daraus lernen lässt: Welche Systeme werden zuerst gesucht? Welche Standardpasswörter werden versucht? Welche Protokolle fallen Angreifern auf? Und wie bewegen sie sich weiter, wenn sie einmal Zugriff erhalten haben?

An einen besonders gut dokumentierten Fall erinnert sich dos Santos dann doch: »Angreifer meldeten sich mit Standardzugangsdaten an der Bedienoberfläche des Wasserwerk-Honeypots an. Anschließend verunstalteten sie die Oberfläche, störten den simulierten Prozess, manipulierten Werte und versuchten, ihre Spuren zu verschleiern. Für Betreiber echter Anlagen ist genau das relevant: Solche scheinbar einfachen Schwächen kommen in gewachsenen Industrieumgebungen weiterhin vor und können dort ernste Folgen haben.«

Vedere Labs stützt diese Forschung auf eine große Datengrundlage: mehr als 19 Millionen überwachte Geräte, mehr als 39 Milliarden eindeutige Datenpunkte, über 6500 Hersteller und mehr als 2300 Betriebssystemversionen. Hinzu kommen Bedrohungsdaten aus mehr als 900 Millionen Angriffen, mehr als 100.000 Malware-Proben, mehr als 100 Leak-Seiten von Ransomware-Gruppen und über 20 beobachtete Command-and-Control-Typen. Bedrohungsforschung ist also alles andere als punktuelle Laborarbeit, sondern kontinuierliche Auswertung eines hochgradig heterogenen Ökosystems.

Künstliche Intelligenz beschleunigt beide Seiten

Als Einrichtung für die IT-Sicherheitsforschung haben die Vedere Labs einen starken Fokus auf Entwicklungen und Rollen von Künstlicher Intelligenz (KI). Dabei wird in Eindhoven nicht der übliche Marketingoptimismus gepflegt. Die Diskussion vor Ort war deutlich nüchterner: KI verändert Angriffe und Verteidigung gleichzeitig, aber sie löst nicht automatisch die Grundprobleme der Cybersicherheit.

Rik Ferguson formulierte es mit Blick auf aktuelle Entwicklungen rund um Anthropic und das Projekt »Glasswing« drastisch: »Künstliche Intelligenz hat soeben die Schwachstellenentdeckung auf den Kopf gestellt. Innerhalb von nur zwölf Monaten stieg die Erfolgsquote künstlicher Intelligenz bei der Schwachstellenforschung von 55 auf 100 Prozent – das zeigt die aktuelle Forschung zum Thema: ›KI-Security-Testing: Agenten machen den Sprung vom Assistenten zum autonomen Hacker‹ der Forescout Research – Vedere Labs.«

Noch bedeutsamer ist, dass KI-Systeme Zero-Day-Schwachstellen in bereits geprüfter Software fanden, die sowohl konventionelle Tools als auch menschliche Experten zuvor jahrelang übersehen hatten. Fergusons Schlussfolgerung: »Agenten auf KI-Basis werden die Spielregeln der Schwachstellenforschung komplett verändern.«

KI verschärft die Remediation-Lücke

Für Verteidiger ist das eine ambivalente Nachricht. Einerseits lassen sich Analysen beschleunigen, Muster schneller erkennen und Risiken besser priorisieren. Andererseits wächst die Menge der Funde schneller, als viele Unternehmen sie beheben können. Ferguson verweist hier auf die Remediation-Lücke: »Hersteller können Systeme nicht selbst patchen, sondern nur Patches bereitstellen. Die Umsetzung liegt bei den Betreibern. Wenn diese bereits heute mit den bis dato bekannten Schwachstellen im Rückstand sind, verschärft KI die Lage erheblich.

Auch Angreifer nutzen KI längst professionell. Kommerzielle Modelle ersetzen zunehmend spezialisierte Untergrundwerkzeuge. Wissen wird in Foren weitergegeben, Einsteiger werden geschult, Prozesse wie Aufklärung und laterale Bewegung lassen sich zunehmend automatisieren. Besonders alarmierend ist die Geschwindigkeit: Der Zugriff auf kompromittierte Systeme wird im Schnitt nach 22 Sekunden weitergegeben, ohne menschliches Zutun. Ferguson fasst den strukturellen Vorteil der Maschine trocken zusammen: »Autonome Systeme langweilen sich nicht – Menschen schon.«

Kontrolle wird zur entscheidenden Sicherheitsressource

Die Gespräche bei Forescout zeigen ein klares Muster: Die zentrale Frage moderner Cybersicherheit lautet nicht mehr, welches einzelne Werkzeug ein Unternehmen einsetzt. Entscheidend ist, ob es seine Infrastruktur versteht, Risiken im Kontext bewerten kann und schnell genug kontrollierte Gegenmaßnahmen ergreift.

Künstliche Intelligenz verstärkt diese Entwicklung. Sie kann Verteidiger entlasten, aber auch Angreifer beschleunigen. Sie kann Schwachstellen finden, aber nicht automatisch Wartungsfenster schaffen, Verantwortlichkeiten klären oder Produktionsrisiken abwägen. Sie kann Entscheidungen vorbereiten, doch die Frage, wann Maschinen autonom handeln dürfen und wann menschliche Kontrolle unverzichtbar bleibt, ist nicht abschließend gelöst.

Für Unternehmen ergibt sich daraus eine unbequeme, aber notwendige Konsequenz: Sie müssen ihre Netzwerke als lebendige, heterogene und riskante Systeme begreifen. Sie müssen Bereiche sinnvoll voneinander trennen, damit sich Angreifer nicht ungehindert ausbreiten können. Außerdem müssen IT-Teams und OT-Teams enger zusammenarbeiten, weil klassische Büro-IT und industrielle Steuerungstechnik längst miteinander verbunden sind.

Die Verteidigung moderner Unternehmensnetzwerke entscheidet sich nicht an der Firewall allein. Sie entscheidet sich vor allem daran, ob Unternehmen sehen, was wirklich in ihren Netzen passiert – und ob sie aus dieser Sichtbarkeit rechtzeitig handlungsfähige Sicherheit machen.

Stefan Mutschler, freier Journalist

Stefan Mutschler ist ein erfahrener freier IT‑Journalist, der seit vielen Jahren für führende Fachmedien über IT‑Security, Infrastruktur, Industrie 4.0 und Digitalisierung berichtet. Seine Beiträge zeichnen sich durch klare Analyse, technische Präzision und praxisnahe Einordnung aus. Als unabhängiger Autor unterstützt er Verlage und Unternehmen dabei, komplexe IT‑Themen verständlich und zielgruppengerecht aufzubereiten.

Blick in den »Showroom« der Vedere Labs. Ein internationales Expertenteam konzentriert sich darauf, Cyberbedrohungen und Schwachstellen bei allen Arten vernetzter Assets besser sichtbar zu machen und konkrete Maßnahmen bereitzustellen, mit denen sich Organisationen wirksam schützen können. Foto: Stefan Mutschler

»Agenten auf Basis künstlicher Intelligenz werden die Spielregeln der Schwachstellenforschung komplett verändern«, so Rik Ferguson, VP Security Intelligence. Foto: Stefan Mutschler

Auf den ersten Blick nur ein wilder Haufen an Geräten und Kabeln – tatsächlich aber das Herz eines der erfolgreichsten Honeypots in Europa, der nach außen wie ein voll funktionstüchtiges Wasserwerk erscheint: Daniel dos Santos, Leiter der Vedere Labs, erklärt Zweck und Funktionsweise der raffinierten Angreiferfalle. Foto: Stefan Mutschler

621 Artikel zu „Netzwerksicherheit“

News | IT-Security | Künstliche Intelligenz | Lösungen | Services

Sichtbarkeit in der Netzwerksicherheit: Vom blinden Fleck zur kontrollierten Abwehr

24. Mai 2026

Die Bedeutung von Sichtbarkeit in der Netzwerksicherheit kann nicht hoch genug bewertet werden, da viele Unternehmen ihre tatsächliche Geräte- und Systemlandschaft nicht vollständig kennen, was Risiken erhöht. Moderne Netzwerke bestehen aus IT, OT, IoT und IoMT, was eine vollständige Kontrolle und Erkennung aller Geräte erfordert, zumal viele Geräte nicht verwaltet oder schwer zu patchen…