Warum KI‑Security Netzwerksichtbarkeit braucht

Netzwerktelemetrie & Observability Warum KI‑Security Netzwerksichtbarkeit braucht

07.04.2026 Von Agnes Panjas 3 min Lesedauer

Anbieter zum Thema

Logo_WatchGuard_Color_Vector_HighRes.jpg ()

WatchGuard Technologies GmbH

Fortinet Deutschland GmbH

Impossible Cloud GmbH

Hybrid-Cloud-Umgebungen sind voller Blind Spots: East-West-Traffic läuft lateral, Verschlüsselung tarnt Attacken – und die KI-Security fischt meist im Trüben. Der Ausweg? Deep Observability und Netzwerktelemetrie, damit KI nicht zur gefährlichen Blackbox wird.

Immer mehr Unternehmen setzten bei der Überwachung hochkomplexer Hybrid-Cloud-Umgebungen auf KI-Unterstützung. Doch die Tools brauchen echten Durchblick, um wirklich eine Hilfe zu sein. (Bild: Canva / KI-generiert) — Immer mehr Unternehmen setzten bei der Überwachung hochkomplexer Hybrid-Cloud-Umgebungen auf KI-Unterstützung. Doch die Tools brauchen echten Durchblick, um wirklich eine Hilfe zu sein.
(Bild: Canva / KI-generiert)

KI steckt längst in der operativen IT‑Security, von Bedrohungserkennung über Incident Investigation bis hin zu Compliance-Überprüfungen – die Einsatzmöglichkeiten der Technologie sind vielfältig. Das größtes Problem der KI-Nutzung bleibt jedoch meist unsichtbar: In den komplexen Netzwerken von heute gibt es viele Blind Spots. Um Einblicke in diese Blind Spots zu bekommen, setzt Ali Moniri, Technical Lead EMEA bei Gigamon, auf Netzwerktelemetrie und Deep Observability.

Ali Moniri, Technical Lead EMEA bei Gigamon(Bild: Polar Studio (www.polar-studio.de)) — Ali Moniri, Technical Lead EMEA bei Gigamon
(Bild: Polar Studio (www.polar-studio.de))

KI-Sichtbarkeit braucht mehr als Logs

Frühe Projekte mit KI-gestützten Analysen für Sicherheit und Leistung haben sich hauptsächlich auf Logs und Events gestützt. Diese sind zwar nützlich, zeigen jedoch nur, was die Systeme melden, und nicht, was tatsächlich auf der Netzwerkebene vor sich geht. Diese Unterscheidung ist allerdings besonders wichtig, da es längst zum Standard-Repertoire von Cyberkriminellen gehört, die Meldungen von Logs und Endpoint-Detection-Systemen zu manipulieren.

Das Problem: In Umgebungen, die sich heute über Rechenzentren, Clouds, virtuelle Maschinen und Container erstrecken, gibt es eine Vielzahl von Aktivitäten, die über den Horizont von Logs hinausreichen. Als Beispiele nennt Moniri beispielsweise sogenannten „East-West-Traffic“, der sich lateral zwischen Hosts und Workloads bewegt. Zudem kann auch verschlüsselte Kommunikation riskante Aktivitäten verschleiern. Auch DNS- und TLS-Aktivitäten würden häufig einen Hinweis auf Bedrohungen im Frühstadium geben.

Ohne Einblick in den fließenden Traffic muss KI mit unvollständigen, mitunter irreführenden Datensätzen arbeiten, wodurch Angriffe übersehen werden können, wenn sie sich geschickt ins Log‑Rauschen einfügen.(Bild: Canva / KI-generiert) — Ohne Einblick in den fließenden Traffic muss KI mit unvollständigen, mitunter irreführenden Datensätzen arbeiten, wodurch Angriffe übersehen werden können, wenn sie sich geschickt ins Log‑Rauschen einfügen.
(Bild: Canva / KI-generiert)

Ohne Einblick in den fließenden Traffic ist KI darauf angewiesen, mit unvollständigen, manchmal sogar irreführenden Datensätzen zu arbeiten. Dies kann dazu führen, dass Angriffe nicht erkannt werden, wenn sie sich nur gut genug ins Log-Rauschen einfügen. Andererseits können auch übertriebene Warnmeldungen ausgegeben werden, wenn Systeme auf Teilinformationen überreagieren. Dies kostet letztlich Zeit, da Teams manuell rekonstruieren müssen, was tatsächlich passiert ist.

Netzwerktelemetrie: Offene Motorhaube für KI-Anwendungen

Für Moniri liegt die Lösung dieser Probleme in der Sichtbarmachung der genannten blinden Flecken, die mithilfe von Netzwerktelemetrie aufgedeckt werden können. Netzwerktelemetrie liefere direkte, kontinuierliche Messdaten aus sämtlichen Netzwerkbereichen — physisch, virtuell, in der Cloud und in Containerumgebungen. So wird sichtbar, welche Systeme und Anwendungen miteinander kommunizieren, wohin Datenströme abfließen, welche Protokolle und Anwendungen genutzt werden und wo sich ungewöhnliche Traffic‑Muster oder Anomalien zeigen.

Ein Cocktail aus KI, Observability und KI sorgt für mehr Durchblick in komplexen IT-Landschaften. (Bild: Midjourney / KI-generiert)

Deep Observability: Datenaufbereitung für KI

Allerdings sind die mittels Netzwerktelemetrie erfassten Rohdaten noch nicht für die Massenverarbeitung durch KI-Lösungen aufbereitet. Hier kommt eine Deep Observability Pipeline ins Spiel: In dieser kann der Netzwerkverkehr analysiert und in strukturierte, angereicherte Telemetriedaten umgewandelt werden, die KI-gestützte Systeme tatsächlich verwenden können. Der Datenverkehr wird somit klassifiziert, kontextualisiert und in Metadaten überführt, die reales Verhalten widerspiegeln, statt auf Annahmen zu basieren. Dazu zählen beispielsweise:

die Anwendungsidentität selbst bei manipulierten Ports,

DNS-Muster mit Hinweisen auf Tunneling oder Command‑and‑Control

der TLS‑Status, einschließlich schwacher Verschlüsselung und fehlerhafter Zertifikate.

Ergänzt wird dies durch Leistungsindikatoren auf Netzwerk‑ und Anwendungsebene, Verbindungen zu verdächtigen Zielen und verschlüsselten Traffic, der gegen Sicherheits‑ oder Compliance‑Vorgaben verstößt.

Anstatt fragmentierte Logs mühsam zusammenzuführen, erhält die KI Zugang zu einem konsistenten, vertrauenswürdigen und angereicherten Datensatz, der sämtliche Daten in Bewegung beschreibt.

Ali Moniri, Technical Lead EMEA bei Gigamon

Netzwerktelemetrie: Mehrwert über Security hinaus

Auf diese Weise können aus dem Netzwerk abgeleitete Anwendungsmetadaten auch zu einem Multiplikator für bestehende Tools werden. Moniri zufolge ist Netzwerktelemetrie über die IT-Security hinaus wertvoll: Dank der bereitgestellten Informationen können KI-Systeme die Performance Netzwerk-, Anwendungs- und Infrastruktur-Ebenen hinweg analysieren und somit auch bei drohenden Leistungsproblemen Alarm schlagen.

Sichere Netzwerke, gerade in komplexen Hybrid- und Multi-Cloud-Umgebungen, sind ohne Deep Observability kaum zu realisieren. (Bild: © – Levin – stock.adobe.com)

(ID:50797200)

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.