Kim Icon
62 Minuten. So lange dauerte es im Schnitt, bis Angreifer sich nach einem erfolgreichen Einbruch lateral durch ein Netzwerk bewegten – das war 2023. Ein Jahr später waren es noch 62 Sekunden. Keine Schreibfehler: Sekunden. Das ist die neue Realität, mit der IT-Sicherheitsteams jeden Tag kämpfen müssen.
Der Begriff klingt nach Actionfilm, beschreibt aber einen sehr nüchternen und besorgniserregenden Vorgang: Als Breakout Time bezeichnen Sicherheitsforscher die Zeitspanne zwischen dem ersten kompromittierten System und dem Moment, in dem sich ein Angreifer erfolgreich durch das restliche Netzwerk bewegt hat – also lateral geworden ist. Die Uhr läuft ab dem Augenblick, in dem das erste Gerät oder Konto übernommen wurde.
CrowdStrike veröffentlicht diese Zahl jährlich im Global Threat Report und die Entwicklung der letzten Jahre ist erschreckend eindeutig: Professionelle Angreifergruppen – staatlich gesponserte ebenso wie organisierte Cyberkriminelle – werden jedes Jahr schneller. Was früher in Stunden gemessen wurde, passiert heute in Minuten oder eben Sekunden.
Mal ehrlich: Welche IT-Abteilung kann realistisch in 62 Sekunden auf einen Alarm reagieren, ihn einordnen, priorisieren und Gegenmaßnahmen einleiten? Die meisten nicht. Das ist kein Versagen der Teams – das ist ein strukturelles Problem, das die gesamte Branche vor neue Fragen stellt.
Wir bei digital-magazin.de haben uns die aktuellen Zahlen und die dahinterliegenden Mechanismen genauer angeschaut – und was wir dabei herausgefunden haben, gibt ernsthaft zu denken.
Hinter der dramatischen Verkürzung der Breakout Times stecken mehrere Entwicklungen, die gleichzeitig eingetreten sind. Das ist kein Zufall – es ist das Ergebnis einer professionellen Industrie, die konsequent optimiert.
Erstens: Automatisierung auf Seiten der Angreifer. Moderne Angriffswerkzeuge führen viele Schritte nach einem erfolgreichen Einbruch automatisch aus. Initial-Access-Broker kaufen Zugänge zu kompromittierten Systemen, spezielle Gruppen übernehmen die laterale Bewegung, wieder andere implementieren die Ransomware. Diese Arbeitsteilung hat die Gesamtdauer von Angriffen massiv verkürzt.
Zweitens: KI auf Seiten der Angreifer. Ja, auch Cyberkriminelle nutzen große Sprachmodelle – für das Verfassen täuschend echter Phishing-Mails in perfektem Deutsch ebenso wie für die schnelle Analyse gestohlener Zugangsdaten. Angriffsskripte werden dynamisch generiert, Schwachstellen automatisch identifiziert.
Drittens: Die Infrastruktur der Angreifer ist gereift. Was früher noch handgemachte Arbeit war, ist heute standardisiert. Command-and-Control-Infrastruktur, Exfiltrationskanäle, Persistenzmechanismen – all das existiert als baukastenartiges Angebot in einschlägigen Foren. Wer einbrechen will, muss das Rad nicht mehr neu erfinden.
Die russische Angreifergruppe, die CrowdStrike als „Fancy Bear“ führt, schaffte in dokumentierten Fällen eine Breakout Time von unter zwei Minuten. Nordkoreanische Gruppen liegen im Schnitt bei etwa neun Minuten. Selbst „normale“ Cyberkriminelle ohne staatliche Unterstützung kommen inzwischen auf unter 30 Minuten.
Hier liegt das eigentliche Problem: Die traditionelle „detect and respond“-Philosophie – warte ab, bis etwas Verdächtiges passiert, dann reagiere – funktioniert bei dieser Geschwindigkeit schlicht nicht mehr. Wenn ein Angreifer in zwei Minuten bereits in drei Systemen sitzt, ist ein Alarm, der nach fünf Minuten ausgelöst wird, zu spät.
Security Operations Center (SOC) arbeiten traditionell mit Alarmen, Tickets und menschlichen Analysten. Dieser Workflow hat eine inhärente Latenz. Vom ersten Alert bis zur ersten menschlichen Entscheidung vergehen in vielen Unternehmen 15 bis 30 Minuten – im besten Fall. Realistisch sind oft deutlich mehr.
Das bedeutet: Die Breakout Time ist in vielen Fällen abgelaufen, bevor ein Mensch überhaupt weiß, dass gerade ein Angriff läuft.
Doch es gibt Ansätze, die helfen. Sie erfordern aber ein Umdenken.
CrowdStrike hat eine Zielmarke definiert: 1 Minute für die Erkennung eines Angriffs, 10 Minuten für eine vollständige Untersuchung, 60 Minuten für die Eindämmung. Die sogenannte 1-10-60-Regel. Klingt machbar? In der Praxis schaffen das nur die bestaufgestellten Sicherheitsorganisationen weltweit.
Eine Studie des Ponemon Institute aus dem Jahr 2024 zeigt: Die durchschnittliche Zeit zur Erkennung eines Einbruchs liegt global bei über 200 Tagen. Ja, Tage, nicht Stunden. Zwischen Einbruch und vollständiger Eindämmung vergehen im Schnitt fast 300 Tage.
Das ist eine erschreckende Lücke. Angreifer haben in diesem Zeitfenster ungestörten Zugang zu Systemen, Daten und Infrastruktur. Sie können Informationen stehlen, Backdoors einrichten, Ransomware vorbereiten – oder einfach still beobachten, was in einem Unternehmen passiert.
Ehrlich gesagt: Viele Unternehmen wissen gar nicht, wie gut oder schlecht sie in diesem Bereich aufgestellt sind. Es gibt keine regelmäßigen Tests, keinen dokumentierten Incident-Response-Prozess, keine klaren Verantwortlichkeiten. Das ist kein Vorwurf – es ist Realität, besonders im Mittelstand.
Das Team von digital-magazin.de hat sich mit Sicherheitsverantwortlichen aus verschiedenen Branchen unterhalten. Das Ergebnis: Die meisten wissen theoretisch, dass sie schneller werden müssen. Die Umsetzung scheitert an Budget, Personal und schlicht an der Komplexität des Themas.
Bevor man über Optimierung reden kann, muss man wissen, wo man steht. Das klingt selbstverständlich, ist aber in der Praxis erstaunlich selten. Wann wurde in Ihrem Unternehmen zuletzt die Mean Time to Detect (MTTD) und die Mean Time to Respond (MTTR) gemessen? Falls die Antwort „nie“ oder „vor drei Jahren“ ist, befinden Sie sich in guter Gesellschaft – aber das ist keine Entschuldigung.
MTTD beschreibt, wie lange es dauert, bis ein laufender Angriff erkannt wird. MTTR misst die Zeit von der Erkennung bis zur vollständigen Eindämmung. Beide Kennzahlen gehören zu den aussagekräftigsten Metriken für den Reifegrad einer Sicherheitsorganisation. Wer sie nicht kennt, stochert im Dunkeln.
Die Messung ist dabei oft komplizierter als gedacht. Viele Unternehmen haben zwar technisch die Fähigkeit, Ereignisse zu loggen, aber keine kohärente Methodik, diese Daten in sinnvolle Kennzahlen zu überführen. Jede SIEM-Plattform, jedes EDR-Tool produziert eigene Daten in eigenem Format. Das Zusammenführen zu belastbaren Aussagen erfordert Arbeit.
Wer KI-gestützte Sicherheitslösungen bereits in seine Abwehrinfrastruktur integriert hat, profitiert hier von automatisierten Korrelationsanalysen, die zumindest die technische Datenlage verbessern. Aber auch KI-Tools müssen kalibriert, trainiert und regelmäßig bewertet werden – sie sind kein Autopilot für die Sicherheitsstrategie.
Eine der wirksamsten – und gleichzeitig am meisten unterschätzten – Maßnahmen ist das regelmäßige Training von Incident-Response-Szenarien. Sogenannte Tabletop-Exercises simulieren einen Angriff ohne echte technische Konsequenzen. Teams besprechen: Was passiert, wenn morgen früh ein Angreifer in unserem ERP-System ist? Wer informiert wen? Wer entscheidet, welche Systeme abzuschalten sind? Wer informiert Kunden und Behörden?
Klingt banal. Ist es aber nicht – denn in der Praxis zeigt sich bei solchen Übungen fast immer: Die Kommunikationswege sind unklar, die Verantwortlichkeiten diffus, Playbooks existieren nicht oder sind veraltet.
Der Vorteil von Tabletop-Exercises: Sie kosten kaum etwas, brauchen keine aufwendige Infrastruktur und können intern durchgeführt werden. Gleichzeitig zeigen sie Schwachstellen auf, bevor sie im echten Angriff fatale Folgen haben.
Einen Schritt weiter gehen Red-Team-Übungen und Penetrationstests, die echte Angreifer simulieren. Wer wissen will, wie schnell sein SOC tatsächlich reagiert, sollte eine spezialisierte Firma beauftragen, einen Angriff durchzuführen – und die Ergebnisse ehrlich auswerten.
Nicht alle Unternehmen sind gleich stark im Visier. Kritische Infrastrukturen – Energieversorger, Krankenhäuser, Wasserwerke – sind Ziele staatlich gesteuerter Angreifer, die mitunter jahrelang unbemerkt in Systemen sitzen, ohne aktiv zu werden. Der Einbruch dient hier nicht dem sofortigen Profit, sondern der strategischen Positionierung.
Finanzdienstleister sind attraktiv wegen direkter Geldflüsse. Der Einzelhandel wird wegen Kreditkartendaten angegriffen. Produktionsunternehmen sitzen auf wertvollen Fertigungsgeheimnissen. Und der Mittelstand? Ist oft Sprungbrett für Angriffe auf größere Ziele: Wer nicht direkt an das Zielnetzwerk herankommt, greift Zulieferer und Partner an.
Besonders perfide: Die Breakout Time ist für Angreifer kein Problem, wenn sie sich in einem wenig überwachten Netzwerk bewegen. In kleinen und mittleren Unternehmen ohne eigenes SOC können Angreifer oft tagelang ungestört arbeiten – weil schlicht niemand schaut. Das ist keine Kritik an den IT-Teams dort; es ist ein Ressourcenproblem, das nur durch intelligente Priorisierung und oft durch externe Unterstützung zu lösen ist.
Wer sich fragt, welche konkreten Angriffsmuster in Deutschland am häufigsten zu sehen sind, findet beim BSI fundierte Lageberichte, die jährlich aktualisiert werden. Der aktuelle Bericht beschreibt unter anderem den drastischen Anstieg von Initial-Access-Brokern, also Gruppen, die sich auf das bloße Einbrechen spezialisiert haben und dann Zugänge verkaufen.
Wir bei digital-magazin.de empfehlen gerade mittelständischen Unternehmen: Fangen Sie nicht mit der neuesten KI-Security-Plattform an. Fangen Sie mit den Grundlagen an – einem dokumentierten Incident-Response-Plan, klaren Verantwortlichkeiten und einer regelmäßigen Überprüfung. Das ist weniger glamourös, aber deutlich wirkungsvoller.
Wer zudem verstehen will, wie KI selbst zum Sicherheitsrisiko im eigenen Unternehmen werden kann, sollte sich mit dem Thema Insider-Bedrohung durch KI-Systeme auseinandersetzen – ein Aspekt, der bislang zu wenig Beachtung findet.
Hier ist meine ehrliche Einschätzung: Die Branche neigt dazu, jedes Sicherheitsproblem mit dem nächsten Werkzeug lösen zu wollen. Ein neues EDR hier, ein weiteres SIEM dort, eine KI-Plattform obendrauf. Das Ergebnis: Security-Teams sind mit dutzenden Tools überhäuft, die kaum einer vollständig bedienen kann.
Das Gegenteil ist gefragt. Konsolidierung, klare Prozesse, trainierte Teams. Eine gute Erkennung, die zuverlässig funktioniert, ist wertvoller als zehn mittelmäßige Systeme, die niemand versteht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen aktuellen Leitlinien explizit, Incident-Response-Prozesse zu dokumentieren, zu testen und regelmäßig zu aktualisieren. Nicht als bürokratische Übung, sondern als vitaler Teil der Sicherheitsstrategie.
Wer seine Breakout Time verkürzen will – also die Zeit, die Angreifer brauchen, bis sie sich ausgebreitet haben – muss zunächst seine eigene Reaktionszeit kennen. Und dazu braucht es Messungen, Übungen und Ehrlichkeit gegenüber dem eigenen Sicherheitsniveau.
Die gute Nachricht aus einer anderen Perspektive: Es gibt heute Managed Detection and Response (MDR)-Anbieter, die für Unternehmen ohne eigenes SOC rund um die Uhr überwachen. Das kostet Geld, ist aber im Vergleich zu einem erfolgreichen Ransomware-Angriff mit Datenverlust und Betriebsunterbrechung erheblich günstiger. Was Sicherheit bei der Digitalisierung für Unternehmen wirklich bedeutet, geht weit über Technologie hinaus – es ist eine Frage von Strategie, Kultur und Investition.
62 Sekunden Breakout Time bedeuten nicht, dass Cybersicherheit hoffnungslos ist. Sie bedeuten, dass die alten Antworten auf die neuen Fragen nicht mehr passen. Wer noch mit dem Mindset von 2015 arbeitet – warten bis etwas passiert, dann reagieren – wird verlieren. Wer versteht, dass moderne Sicherheit proaktiv, schnell und automatisiert sein muss, hat zumindest eine Chance.
Die gute Nachricht: Es gibt kein Naturgesetz, das Angreifer schneller macht als Verteidiger. Es gibt nur eine Frage von Ressourcen, Prioritäten und der Bereitschaft, die eigene Sicherheitsorganisation ernsthaft zu testen. Wo stehen Sie heute? Das ist die Frage, die sich jede IT-Führungskraft stellen sollte – und zwar bevor die Antwort durch einen realen Angriff geliefert wird.
