Network Detection and Response (NDR): Bedrohungserkennung im Netzwerk
Network Detection and Response (NDR) analysiert Netzwerkverkehr mittels ML, Verhaltensanalyse und Threat Intelligence um Bedrohungen zu erkennen die Endpoint-Lösungen umgehen. NDR-Lösungen (Darktrace, ExtraHop, Vectra AI, Cisco Secure Network Analytics) erkennen: Command-and-Control-Traffic, laterale Bewegung, Daten-Exfiltration, verschlüsselte Malware. Integration in XDR-Plattformen und SOC-Workflows.
Inhaltsverzeichnis (7 Abschnitte)
Network Detection and Response (NDR) ist eine Sicherheitskategorie die Netzwerkverkehr in Echtzeit analysiert um Angriffe zu erkennen die Endpoint-Schutzlösungen umgehen. Während EDR (Endpoint Detection and Response) den einzelnen Rechner überwacht, sieht NDR den gesamten Netzwerkverkehr - und erkennt damit Angriffsmuster die keine Malware auf Endpoints erfordern (Living-off-the-Land, Pass-the-Hash, laterale Bewegung über legitime Protokolle).
Warum NDR neben EDR?
Endpoint-Lösungen haben strukturelle Erkennungslücken. Die folgende Übersicht zeigt, welche Angriffstechniken EDR und NDR jeweils abdecken:
| Angreifer-Technik | EDR erkennt? | NDR erkennt? |
|---|---|---|
| Malware auf Endpoint | ja | indirekt |
| Fileless-Malware (LOL) | manchmal | via Netzwerk |
| Pass-the-Hash (kein Malware) | selten | NTLM-Muster |
| Lateral Movement (WMI) | manchmal | Protokoll-Analyse |
| C2 über HTTPS | schwer | JA3-Fingerprint, Timing |
| DNS-Tunneling | selten | DNS-Traffic-Analyse |
| Daten-Exfiltration | manchmal | Volume + Destination |
| Kompromittiertes IoT-Gerät | kein Agent | Netzwerkverhalten |
| BYOD ohne EDR | kein Agent | Netzwerkverhalten |
| Insider-Threat | schwer | Verhaltensbaseline |
NDR deckt damit blinde Flecken ab die EDR strukturell nicht sehen kann. Der optimale Ansatz kombiniert EDR + NDR + SIEM (XDR-Ansatz).
NDR-Architektur und Datenquellen
NDR-Systeme beziehen ihre Daten aus drei Hauptquellen:
Raw Packet Capture (PCAP): Vollständige Paket-Analyse inkl. Payload. Bietet die höchste Erkennungstiefe, erfordert aber erheblichen Speicherbedarf (meist nur letzte 24-48h). Idealfall: Taps auf Core-Switches und Internet-Gateway.
NetFlow/IPFIX/sFlow: Nur Metadaten (IP, Port, Bytes, Pakete, Zeitstempel) ohne Payload. Datenschutzfreundlicher und skaliert auf sehr große Netzwerke. Quellen sind Switches und Router (Cisco, Juniper) sowie Cloud-Umgebungen (AWS VPC Flow Logs).
Network-Sensor/SPAN-Port: Kopie des Netzwerkverkehrs an einen passiven Sensor. Der Sensor analysiert den Traffic und korreliert Ereignisse ohne den produktiven Netzwerkfluss zu beeinflussen.
Entscheidend bei der Sensor-Platzierung ist der Ost-West-Traffic (interner Verkehr zwischen Systemen), der bei Lateral Movement eine größere Rolle spielt als der Nord-Süd-Traffic zur Internet-Grenze. Ohne internen Sensor bleiben laterale Bewegungen unsichtbar.
Erkennungsmethoden
NDR-Systeme kombinieren mehrere Erkennungs-Engines:
Signaturbasierte Erkennung nutzt bekannte Malware-Netzwerkmuster (Suricata/Snort-Rules), C2-IP- und Domain-Listen sowie malware-spezifische Payload-Patterns. Sie hat eine niedrige False-Positive-Rate, ist aber blind für unbekannte Bedrohungen.
Machine-Learning und Verhaltensanalyse erstellt in einer Lernphase von 14-30 Tagen eine Baseline des normalen Verhaltens und erkennt dann Abweichungen. Typische Erkennungsszenarien sind Beaconing (regelmäßige Check-ins mit festem Zeitintervall und Jitter), DNS-Tunneling (ungewöhnlich lange Subdomain-Namen mit hoher Entropie) sowie Lateral Movement (ungewöhnliche SMB/WMI-Verbindungen zwischen Workstations).
JA3/JA3S TLS-Fingerprinting: Der TLS-Handshake enthält im Client-Hello charakteristische Informationen (Cipher-Suiten, Extensions), aus denen ein MD5-Hash gebildet wird. Malware-Familien haben charakteristische JA3-Fingerprints - Cobalt Strike Beacon beispielsweise einen bekannten Hash - womit die Erkennung auch bei verschlüsseltem Traffic funktioniert.
JARM (Aktives TLS-Fingerprinting): Server antworten auf TLS-Probes charakteristisch. C2-Frameworks wie Metasploit und Cobalt Strike haben bekannte JARM-Fingerprints, die NDR zur Blockierung nutzen kann.
Konkrete Bedrohungsszenarien
Szenario 1 - Cobalt Strike C2: Ein Cobalt Strike Beacon auf einer kompromittierten Workstation baut HTTPS-Verbindungen zu einer externen IP auf. EDR erkennt den Beacon möglicherweise nicht (LOL-Techniken, Reflective DLL). NDR erkennt: den bekannten JA3-Fingerprint, das Beaconing-Verhalten (HTTPS-Verbindung alle 60s ± 30s Jitter), eine nicht in der Whitelist enthaltene Ziel-IP sowie das für C2 typische geringe aber konsistente Datenvolumen.
Szenario 2 - Lateral Movement via Pass-the-Hash: Ein Angreifer nutzt den Hash eines Domain-Admin und verbindet Workstation-1 per SMB/WMI mit zahlreichen weiteren Hosts. NDR erkennt die Verbindung zu 47 Hosts in 10 Minuten über Port 445, neue Verbindungspaare zwischen Workstations sowie ungewöhnliche NTLM-Authentifizierungen von einem Host zu vielen Zielen.
Szenario 3 - DNS-Exfiltration: Angreifer nutzen DNS-Tunnel für Daten-Exfiltration über sehr lange Subdomain-Namen (z.B. dGhpcyBpcyBzZW5zaXRpdmUgZGF0YQ.exfil.attacker.com). NDR erkennt DNS-Label-Längen weit über dem Durchschnitt, hohe Entropie der Subdomains, unbekannte Domains sowie eine untypische Query-Rate.
Szenario 4 - Kompromittiertes IoT-Gerät: Eine Kamera sendet ungewöhnlich viel Traffic (50 MB/h Upload) an eine externe IP über Port 4444. Da kein EDR-Agent auf IoT-Geräten möglich ist, ist NDR die einzige Erkennungsmöglichkeit.
NDR-Lösungen im Vergleich
Enterprise-Lösungen:
Darktrace setzt auf einen KI-Ansatz ("Self-Learning AI") mit autonomer Response-Funktion (RESPOND), die Angriffe aktiv blockiert. Stärken sind die Anomalie-Erkennung und eine Cloud-Variante; die anfänglich hohe False-Positive-Rate und die Kosten sind Schwächen.
ExtraHop Reveal(x) bietet L7-Protokoll-Analyse (Dekodierung von 70+ Protokollen) und kombiniert NDR mit Packet-Analytics - besonders geeignet für Ost-West-Traffic-Analyse im Rechenzentrum.
Vectra AI (Cognito) verfolgt einen KI-fokussierten Ansatz mit AWS/Azure-Cloud-Support und Integration mit Microsoft Defender sowie CrowdStrike. Stärken sind wenige False Positives und gute Priorisierung.
Cisco Secure Network Analytics (Stealthwatch) ist NetFlow-basiert, skaliert auf sehr große Netzwerke und integriert sich nativ in Cisco-Infrastruktur.
Open-Source / SMB-Lösungen:
Zeek (ehem. Bro) ist ein Framework für Netzwerkanalyse ohne Out-of-the-Box-GUI und die Basis vieler kommerzieller Lösungen. Es ist kostenlos und sehr flexibel, erfordert aber hohen Betriebsaufwand.
Suricata + Elastic Stack kombiniert IDS/IPS mit SIEM-Visualisierung über Elasticsearch und Kibana. SELKS (Stamus Networks) bietet eine vorkonfigurierte Community-Edition für schnellen Einstieg.
NDR in XDR-Plattformen
XDR (Extended Detection and Response) integriert EDR, NDR, Cloud Security, E-Mail Security und Identity in einer Plattform.
Microsoft Sentinel + Microsoft Defender for Network nutzt Traffic Analytics aus Azure VPC Flows und Network Watcher für Azure-Ressourcen, korreliert mit Defender for Endpoint-Daten.
CrowdStrike Falcon + Falcon LogScale bietet mit der Falcon Network Detection-Komponente Korrelation zwischen Endpoint- und Netzwerkdaten für eine bessere Angriffskette.
Palo Alto Networks Cortex XDR kombiniert Network Threat Intelligence mit EDR über physische und virtuelle Netzwerk-Sensoren.
NDR-zu-SOAR-Automatisierung: Ein Alert wie "Beaconing von Workstation-47" löst ein SOAR-Playbook aus, das automatisch die Workstation isoliert, ein Ticket erstellt, den Analysten alarmiert, die C2-IP in der Firewall blockiert, eine Reputation-Abfrage der C2-IP durchführt und eine Timeline aller Verbindungen der letzten 7 Tage erstellt.
Implementierungs-Roadmap
Phase 1 (Woche 1-2): Baseline
- Sensor am SPAN-Port des Core-Switch platzieren
- NetFlow von Firewall und Router aktivieren
- 14-30 Tage normalen Traffic aufzeichnen
- Erste Alerts kategorisieren (False Positive vs. True Positive)
Phase 2 (Woche 3-4): Tuning
- False Positives identifizieren und ausschließen
- Whitelists für bekannte legitime Services und Update-Server erstellen
- Thresholds für Alert-Auslösung anpassen
- Verantwortliche für NDR-Alert-Bearbeitung definieren
Phase 3 (Woche 5-8): Integration
- NDR-Alerts ans SIEM forwarden und Korrelationsregeln erstellen
- Threat Intelligence Feeds einbinden (MISP, kommerzielle TI)
- NDR in SOAR für automatische Response-Aktionen integrieren
- Runbooks und Playbooks für häufige Alert-Typen erstellen
Phase 4: Ongoing
- Wöchentliches Alert-Review
- Aktives Threat-Hunting auf Basis von NDR-Daten
- Coverage-Review für neue Netzwerksegmente
- Quartalsweiser NDR-Health-Check (False-Positive-Rate, Alert-Volumen)
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
