Abstract digital artwork with a flowing wave-like pattern comprised of small green dots that gradually fade into the white background. The wavy design, reminiscent of an SD-WAN backbone, creates a sense of movement and fluidity.

Stille Nacht, fleissige Hacker: Wie NDR Bedrohungen stoppt, wenn Ihr Team offline ist

Marcel Stadler, Product Manager SD-WAN

Für viele Sicherheitsverantwortliche ist die Weihnachts- und Ferienzeit ein Widerspruch. Der Betrieb fährt herunter, die Büros leeren sich, und die Teams können endlich abschalten. Doch während im Unternehmen Ruhe einkehrt, gilt das für Angreifer keineswegs. Ruhe im SOC heisst Hochbetrieb auf Angreiferseite.

Diese Realität macht deutlich, worauf es heute ankommt: Zero Trust bedeutet, man rechnet nicht mit Sicherheit, sondern mit dem Ernstfall. Widerstandsfähigkeit entsteht nicht durch perfekte Prävention, sondern dadurch, Angriffe schnell zu erkennen und wirksam einzudämmen. Genau hier entfaltet Network Detection and Response (NDR) – insbesondere in Kombination mit automatisierten Blockierungsmechanismen – seinen grössten Nutzen, vor allem dann, wenn gerade niemand aktiv eingreift.

Warum Angreifer Feiertage und lange Wochenenden bevorzugen

Angreifer handeln pragmatisch. Sie schlagen dann zu, wenn der Widerstand gering ist und sie möglichst lange unentdeckt bleiben. Feiertage, verlängerte Wochenenden und Nachtstunden bieten dafür ideale Bedingungen:

Weniger Personal, langsamere Reaktionen
SOCs sind oft reduziert besetzt, Eskalationen dauern länger, Entscheidungsträger sind schwer erreichbar.
Ausnahmen und Übergangslösungen
Temporäre Zugriffe, Sonderrechte oder «nur über die Feiertage» gedachte Konfigurationen geraten leicht in Vergessenheit.
Wenig Grundrauschen im Betrieb
Bei geringer Nutzeraktivität fallen ungewöhnliche Bewegungen weniger auf. Angreifer können sich testen, ohne sofort Alarm auszulösen.

Angreifer wissen: Wird ein Vorfall erst am Montagmorgen entdeckt, läuft er womöglich schon seit Freitagabend. Das Ziel ist häufig nicht die schnelle Zerstörung, sondern unauffällige Präsenz.

Der Ernstfall als Ausgangspunkt: Ein notwendiger Perspektivwechsel

Moderne Sicherheitsstrategien haben sich von der Vorstellung verabschiedet, jeden Angriff verhindern zu können. Weder SASE-Architekturen noch Zero-Trust-Programme oder Endpoint-Schutz garantieren absolute Sicherheit gegen Phishing, kompromittierte Identitäten oder Supply-Chain-Angriffe.

Entscheidend ist etwas anderes: Wie schnell wird ein Angriff erkannt?

Denn je länger ein Angreifer unentdeckt bleibt, desto grösser der Schaden:

Erkundung der Umgebung
Ausweitung von Berechtigungen
Laterale Bewegung zu kritischen Systemen
Abfluss sensibler Daten

Deshalb gehen reife Security-Organisationen heute vom Ernstfall aus. Die entscheidende Frage lautet nicht mehr ob etwas passiert, sondern: Wo wird der Angreifer sichtbar, sobald er im Netzwerk ist?

Die Antwort ist klar: bei der lateralen Bewegung.

Warum laterale Bewegung kaum zu verbergen ist

Zugriffswege ändern sich ständig. Phishing-Methoden entwickeln sich weiter, Exploits rotieren, Malware passt sich an. Laterale Bewegung hingegen unterliegt klaren Grenzen. Um voranzukommen, müssen Angreifer mit internen Systemen interagieren.

Und genau das hinterlässt Spuren:

Ungewöhnliche Anmelde- und Authentifizierungsmuster
Verbindungen zwischen Systemen, die normalerweise nichts miteinander zu tun haben
Auffälliger Ost-West-Datenverkehr
Administrative Protokolle ausserhalb des gewohnten Verhaltens

Im Gegensatz zu Angriffen am Perimeter lässt sich laterale Bewegung nur schwer vollständig verschleiern, da sie stark von der jeweiligen Umgebung abhängt. Das macht sie zum idealen Ansatzpunkt für NDR.

NDR: Wachsam, wenn sonst Ruhe herrscht

Network Detection and Response analysiert den Netzwerkverkehr kontinuierlich, erstellt Verhaltensprofile und erkennt Abweichungen in Echtzeit. Gerade ausserhalb der Bürozeiten zeigt sich der strategische Wert von NDR besonders deutlich.

Transparenz dort, wo Angreifer agieren

Klassische Sicherheitslösungen konzentrieren sich auf den Nord-Süd-Verkehr – also darauf, was ins Netzwerk hinein- oder hinausgeht. NDR richtet den Blick nach innen, dorthin, wo sich Angreifer nach dem Einbruch bewegen.

So werden sichtbar:

Verdächtige Peer-to-Peer-Kommunikation
Missbrauch von Zugangsdaten innerhalb des Netzwerks
Aufklärungsaktivitäten, die sonst unter dem Radar bleiben

Gerade in hybriden, SASE-geprägten Umgebungen schliesst NDR damit entscheidende blinde Flecken.

Verhalten statt starrer Regeln

Gerade nachts oder an Feiertagen ist es riskant, sich allein auf bekannte Signaturen zu verlassen. Moderne Angreifer nutzen legitime Werkzeuge und bewegen sich zunächst scheinbar unauffällig.

NDR schaut deshalb auf Verhalten:

Warum greift dieses Konto plötzlich auf Systeme zu, die es bisher nie genutzt hat?
Weshalb beginnt eine interne Workload, das Netzwerk zu scannen?
Warum verhält sich ein Server auf einmal wie ein Endgerät?

Solche Auffälligkeiten werden automatisch erkannt, ohne menschliches Zutun.

Zeit gewinnen, Schaden begrenzen

Ob laterale Bewegung nach Minuten oder erst nach Tagen entdeckt wird, macht einen gewaltigen Unterschied:

Ein einzelnes kompromittiertes System statt vieler
Kein Zugriff auf besonders schützenswerte Ressourcen
Kein grossflächiger Datenabfluss

Frühe Erkennung reduziert technische, finanzielle und regulatorische Folgen erheblich.

Wenn Erkennung sofort zur Reaktion wird

Erkennen allein reicht nicht, schon gar nicht mitten in der Nacht oder an Feiertagen.

In Kombination mit automatisierten Blockierungsmechanismen kann NDR unmittelbar reagieren:

Verdächtige Verbindungen werden unterbrochen
Betroffene Systeme isoliert
Command-and-Control-Kommunikation gestoppt

So entsteht ein Sicherheitsnetz, das sofort greift und wertvolle Zeit verschafft, bis das Team wieder übernimmt.

NDR als sinnvolle Ergänzung zu SASE

Für Organisationen mit SASE-Strategie ist NDR kein Ersatz, sondern eine konsequente Ergänzung. Während SASE Zugriffe absichert und Richtlinien durchsetzt, liefert NDR:

Eine unabhängige Sicht auf das tatsächliche Netzwerkgeschehen
Transparenz jenseits reiner User-to-App-Flows
Ein Sicherheitsnetz für den Fall, dass identitätsbasierte Kontrollen versagen

Gerade bei lateraler Bewegung – also dort, wo der grösste Schaden entsteht – schliesst NDR eine entscheidende Lücke.

Stille Nacht muss kein Risiko sein

Angreifer werden ruhige Phasen weiterhin ausnutzen – an Feiertagen, nachts und am Wochenende. Das ist Realität. Entscheidend ist, wie gut Organisationen darauf vorbereitet sind.

Wer vom Ernstfall ausgeht, laterale Bewegung in den Fokus rückt und auf NDR mit automatisierter Reaktion setzt, stellt sicher, dass:

Angriffe früh erkannt werden
Bedrohungen automatisch eingedämmt werden
Geschäftsrisiken minimal bleiben – auch wenn niemand erreichbar ist

Stille Nacht muss nicht gefährlich sein. Mit der richtigen Transparenz bleibt das Netzwerk wach, selbst wenn alle anderen schlafen.

Lassen Sie die Komplexität
hinter sich

Sie möchten auch von der Open Systems SASE Experience profitieren? Unsere Experten helfen Ihnen gern weiter.

Kontakt

SASE Experience

NETZWERKDIENSTE

Sicherheitsdienste

BRANCHEN

ANWENDUNGSFALL

RESSOURCEN

UNTERNEHMEN

KARRIERE

PARTNER

Stille Nacht, fleissige Hacker: Wie NDR Bedrohungen stoppt, wenn Ihr Team offline ist

Warum Angreifer Feiertage und lange Wochenenden bevorzugen

Der Ernstfall als Ausgangspunkt: Ein notwendiger Perspektivwechsel