Developer Team
AI  | 25 Jun 2026

Security Anomaly Agent – KI-gestützte Angriffserkennung

Vom Alert-Overload zu klaren Security Insights

Porträt von Dorothee Haensch
Dorothee Haensch
Inhalte:

Viele Security Operations Teams kennen die Situation nur zu gut: Jeden Morgen warten hunderte neue Warnmeldungen. Ein Großteil davon stellt sich später als Fehlalarm heraus. Gleichzeitig bleibt die Unsicherheit, ob sich zwischen tausenden scheinbar unkritischen Ereignissen bereits die ersten Hinweise auf einen echten Sicherheitsvorfall verbergen.


Mit der zunehmenden Verlagerung von Applikationen, Daten und Identitäten in die Cloud wächst auch die Menge der Sicherheitsdaten rasant. besonders in Azure-Umgebungen entstehen täglich Millionen von Logeinträgen aus Identitätsdiensten, Anwendungen, Firewalls, Netzwerken und Cloud-Services.


Mehr Daten bedeuten jedoch nicht automatisch mehr Sicherheit – ganz im Gegenteil: Je größer die Datenmenge, desto schwieriger wird es, relevante Muster zu erkennen und echte Bedrohungen von alltäglichem Systemrauschen zu unterscheiden. Genau an diesem Punkt gewinnt moderne Security Anomaly Detection zunehmend an Bedeutung.

Warum klassische SIEM-Regeln oft nicht mehr ausreichen

SIEM-Systeme bilden die zentrale Datendrehscheibe vieler Security-Architekturen. Sie erfassen Sicherheitsereignisse aus unterschiedlichsten Quellen, vereinheitlichen die Datenbasis und stellen Zusammenhänge zwischen einzelnen Ereignissen her. Das schafft die notwendige Transparenz für Security-Teams.


Das Problem entsteht allerdings dort, wo Angriffe bewusst so gestaltet werden, dass sie bestehende Regeln umgehen: Cyber-Kriminelle wissen heute genau, welche Schwellenwerte viele Unternehmen definiert haben. Statt tausender Login-Versuche innerhalb weniger Minuten verteilen sie ihre Aktivitäten über Tage oder Wochen. Anstelle einer einzelnen auffälligen Quelle nutzen sie hunderte verschiedene IP-Adressen. Der Grund: Viele kleine Ereignisse, die für sich genommen harmlos wirken, lassen oft nicht direkt auf einen größeren Angriff schließen.


Für regelbasierte Systeme ist genau das eine große Herausforderung: Was isoliert betrachtet unauffällig erscheint, kann im Gesamtkontext bereits auf einen laufenden Angriff hindeuten.


Hinzu kommt ein weiteres Problem: Die meisten Security-Teams verfügen nicht über unbegrenzte Ressourcen. Während die Zahl der Security Events kontinuierlich steigt, bleiben Personalbudgets und Analystenkapazitäten häufig unverändert.


Die Folge: überlastete Teams, hohe False-Positive-Raten und eine zunehmende Alert Fatigue.

Security Anomaly Detection: Auffälligkeiten erkennen, bevor Regeln greifen

Moderne Cybersecurity Monitoring Methoden wie der diva-e Conclusion Security Anomaly Agent, verfolgen einen anderen Ansatz. Anstatt ausschließlich nach bekannten Angriffsmustern zu suchen, analysieren sie kontinuierlich das normale Verhalten innerhalb einer Infrastruktur und identifizieren Abweichungen davon. Dabei geht es nicht um einzelne Ereignisse, sondern um Zusammenhänge.


Beispiel: Ein einzelner Login aus einer ungewöhnlichen Region kann völlig legitim sein. Treten jedoch ähnliche Aktivitäten bei mehreren Benutzerkonten auf, verändern sich Zugriffsmuster oder häufen sich bestimmte Ereignisse über einen längeren Zeitraum, entsteht ein anderes Bild. KI-gestützte Anomalieerkennung hilft also dabei, genau diese Muster sichtbar zu machen.


Dadurch lassen sich nicht nur bekannte Bedrohungen identifizieren, sondern auch neue Angriffstechniken erkennen, für die noch keine festen Regeln oder Signaturen existieren.


Der diva-e Security Anomaly Agent analysiert Azure- und JSON-Logdaten kontinuierlich auf Verhaltensabweichungen. Dabei werden nicht nur einzelne Events, sondern bewertet Zusammenhänge über verschiedene Datenquellen, Benutzerkonten, Systeme und Zeiträume hinweg betrachtet.


Statt ausschließlich auf definierte Regeln zu reagieren, erkennt der Agent Muster, die vom üblichen Betriebsverhalten abweichen und potenziell auf einen Sicherheitsvorfall hindeuten.

Praxisbeispiel: Ein typisches Angriffsszenario in Azure-Umgebungen

Ein international tätiger E-Commerce-Händler betreibt seine gesamte Plattform in Azure und verarbeitet täglich Millionen von Kundenanfragen.

  • Die Infrastruktur erzeugt monatlich mehr als zwei Milliarden Logeinträge.

  • Gleichzeitig sind die Ressourcen im Security-Team, das täglich mehrere hundert Security Alerts bewerten muss, begrenzt.

  • Trotz eines etablierten SIEM-Systems verbringen die Mitarbeitenden einen erheblichen Teil ihrer Arbeitszeit mit der Analyse von Warnmeldungen, die sich im Nachhinein als unkritisch herausstellen.


Der Angriff beginnt unscheinbar und anfangs fällt nichts Besonderes auf.


Ein fehlgeschlagener Login aus Spanien, einige Stunden später ein weiterer Versuch aus Kanada. Am nächsten Tag Anmeldeaktivitäten aus Südamerika und Osteuropa.


Jedes einzelne dieser Ereignisse wirkt zunächst unauffällig: Kein Benutzerkonto überschreitet definierte Schwellenwerte, keine IP-Adresse erzeugt eine auffällige Anzahl von Anfragen, kein einzelnes Ereignis löst einen kritischen Alarm aus.


Was das Security-Team zu diesem Zeitpunkt noch nicht erkennt: Ein Angreifer führt bereits einen groß angelegten Credential-Stuffing-Angriff durch.


Die Aktivitäten werden bewusst über mehrere Wochen verteilt. Unterschiedliche Regionen, verschiedene Benutzerkonten und wechselnde IP-Adressen sorgen dafür, dass klassische Regelwerke keinen eindeutigen Zusammenhang erkennen.


Während die einzelnen Login-Versuche für das SIEM zunächst unauffällig erscheinen, kann unser Security Anomaly Agent bereits erste Veränderungen im Gesamtbild identifizieren und erkennt bereits, dass sich Login-Muster bestimmter Benutzergruppen schleichend verändern.

Wie der Security Anomaly Agent die Zusammenhänge sichtbar macht

Der Security Anomaly Agent analysiert Azure- und JSON-Logdaten kontinuierlich in Echtzeit. Anstatt jedes Ereignis isoliert zu betrachten, bewertet die Lösung Verhaltensmuster übergreifend und erkennt Abweichungen vom normalen Betriebsverhalten.


Dabei durchläuft jedes Ereignis mehrere Analysephasen:

  1. Datenaufnahme
    Logdaten aus Azure Monitor, Entra ID, Firewalls, Anwendungen und weiteren Quellen werden zentral verarbeitet.

  2. Verhaltensanalyse
    Der Agent lernt typische Aktivitätsmuster von Benutzern, Anwendungen und Systemen kennen.

  3. Anomalieerkennung
    Abweichungen vom Normalverhalten werden automatisch identifiziert.

  4. Korrelation
    Einzelne Ereignisse werden übergreifend miteinander verknüpft.

  5. Priorisierung
    Zusammenhängende Ereignisse werden zu wenigen relevanten Security Incidents verdichtet.


Dadurch entsteht aus einer Vielzahl einzelner Logeinträge ein klar priorisierter Sicherheitsvorfall, der unmittelbar durch das Security-Team bewertet werden kann. In unserem oben enannten Use Case identifiziert die Analyse mehrere Auffälligkeiten gleichzeitig:

  • eine schleichende Veränderung im Login-Verhalten verschiedener Benutzergruppen

  • steigende Anmeldeversuche von bislang unbekannten Standorten

  • ungewöhnliche zeitliche Muster auf, die bisher nicht beobachtet wurden


Für einen einzelnen Analysten wären diese Zusammenhänge nur mit erheblichem manuellen Aufwand erkennbar gewesen. Der Security Anomaly Agent korreliert die Ereignisse jedoch automatisch.


Dabei fließen Informationen aus unterschiedlichen Quellen zusammen:

  • Azure Entra ID Logs

  • Azure Monitor Daten

  • Application Logs

  • Netzwerkereignisse

  • Authentifizierungsprotokolle

  • Weitere strukturierte JSON-Logdaten


Was zunächst wie viele unabhängige Einzelereignisse aussieht, verdichtet sich zu einem klar erkennbaren Angriffsmuster. Der potenzielle Sicherheitsvorfall kann dadurch frühzeitig priorisiert und an das Security-Team weitergeleitet werden.

Von Milliarden Logeinträgen zu wenigen relevanten Incidents

Einer der größten Herausforderungen moderner SOCs ist nicht die Erkennung von Ereignissen, sondern deren Priorisierung. Viele Unternehmen sammeln enorme Mengen an Daten, kämpfen jedoch gleichzeitig mit einer Flut an Security Alerts.


Dadurch verbringen Analysten oft mehr Zeit mit der Bewertung von Meldungen als mit der eigentlichen Incident Response.


Der Security Anomaly Agent adressiert genau dieses Problem: Anstatt tausende einzelne Warnungen zu erzeugen, werden zusammengehörige Ereignisse automatisch konsolidiert und priorisiert.


Das Ergebnis: Mehrere tausend einzelne Login-Ereignisse in wenigen relevanten Sicherheitsvorfällen, die unmittelbar untersucht werden können.


Für das SOC bedeutet das:

  • deutlich weniger Alert Noise

  • weniger False Positives

  • schnellere Analyseprozesse

  • klarere Prioritäten


bessere Transparenz über tatsächliche Risiken

Messbarer Mehrwert für Security-Teams

Der Nutzen des Security Anomaly Agents und moderner Threat Detection geht weit über die reine Angriffserkennung hinaus. Im beschriebenen Use Case kann der Angriff deutlich früher identifiziert werden als mit rein regelbasierten Verfahren. Gleichzeitig reduziert sich der manuelle Analyseaufwand erheblich.


Dadurch ergeben sich mehrere Vorteile:

  • schnellere Reaktionszeiten bei Sicherheitsvorfällen

  • höhere Effizienz im Security Operations Center

  • bessere Nutzung vorhandener Personalressourcen

  • höhere Transparenz über kritische Risiken

  • bessere Skalierbarkeit großer Azure-Umgebungen

Warum KI-basierte Anomalieerkennung künftig zum Standard wird

Die Angriffslandschaft verändert sich schneller als traditionelle Regelwerke angepasst werden können. Gleichzeitig wachsen Datenmengen, Cloud-Services und digitale Geschäftsprozesse kontinuierlich weiter. Für Security-Verantwortliche entsteht daraus eine zentrale Frage: Wie lassen sich relevante Bedrohungen erkennen, ohne das SOC mit immer mehr Warnmeldungen zu überlasten?


KI-gestützte Security Anomaly Detection liefert darauf eine überzeugende Antwort. Sie ergänzt bestehende SIEM- und Monitoring-Lösungen um die Fähigkeit, Zusammenhänge zu erkennen, die in der täglichen Datenflut ansonsten verborgen bleiben würden.

Fazit

Moderne Security-Teams stehen vor der Herausforderung, in immer größeren Datenmengen die wirklich relevanten Sicherheitsereignisse zuverlässig zu identifizieren. Klassische regelbasierte Ansätze stoßen dabei zunehmend an ihre Grenzen, da sie vor allem bekannte Muster abdecken, jedoch kaum in der Lage sind, komplexe oder schleichende Angriffsszenarien frühzeitig zu erkennen.


Der Security Anomaly Agent von diva-e Conclusion ergänzt bestehende SIEM- und Monitoring-Strukturen um eine verhaltensbasierte Analyseebene. Dadurch lassen sich Auffälligkeiten früher erkennen, Zusammenhänge automatisch herstellen und Sicherheitsvorfälle gezielt priorisieren. So werden aus einer großen Menge einzelner Ereignisse wenige, klar bewertbare Incidents – und Security-Teams können ihre Ressourcen effizienter und wirkungsvoller einsetzen.

Zum Security Anomaly Agent
Porträt von Dorothee Haensch
Dorothee Haensch

Dorothee Haensch ist seit 2023 als Senior Marketing Manager Teil der diva-e. Als Expertin für Content im Softwarebereich geht sie den Anforderungen unterschiedlicher Industrien auf den Grund und erstellt Inhalte, die Unternehmen dabei helfen, aktuelle Probleme zu lösen und zukünftige Herausforderungen zu meistern.

Alle Artikel ansehen

Das könnte Sie auch interessieren

Energy Consultant
Mehr sehen
AI  | 16 Jun 2026

Was YMYL-Unternehmen in der KI-Suche jetzt beachten müssen

Wer sich heute zu einem medizinischen Produkt oder über Versicherungen informiert oder gar eine größere Investition für sein Eigenheim plant, landet immer seltener zuerst auf einer klassischen Website. Stattdessen beginnen viele Nutzer:innen ihre Recherche direkt in KI-Systemen wie ChatGPT, Gemini oder Perplexity. Die Antworten werden zusammengefasst, priorisiert und in der Regel bereits mit konkreten Empfehlungen und Markennennungen geliefert. Für Unternehmen verändert das die digitale Sichtbarkeit grundlegend. Statt im Google-Ranking um einen Platz unter den Top 10 zu konkurrieren, geht es in KI-Systemen häufig darum, überhaupt zu den zwei oder drei Marken zu gehören, die in einer Antwort genannt oder zitiert werden. 
Anne Brosch Porträt
Anne Brosch
Kollaboration
Mehr sehen
AI Total Experience  | 23 Apr 2026

SAP Joule und die Business Data Cloud

Erfolg hängt heute von Context-Engineering ab – also der Fähigkeit, digitale Strategien und KI-Systeme so zu gestalten, dass sie die richtigen Daten, zum richtigen Zeitpunkt, im richtigen Workflow nutzen. Dieser Blogbeitrag beleuchtet SAPs neusten Innovationen und soll Ihnen praxisnahe Impulse für die nächsten Schritte geben.
Meeting
Mehr sehen
Total Experience AI  | 15 Apr 2026

Salesforce Partner Day Recap

Erfahren Sie die wichtigsten Insights vom Salesforce Partner Day: Warum Marketing Cloud Next mit KI, Data360 und Agentforce Marketing neu definiert.
Portrait Gustav Onken
Gustav Onken