Warum Israels graphbasierter Cyber-Ansatz NIS2 strukturell voraus ist – und was Europa daraus lernen muss

Der europäische Cybersecurity-Diskurs folgt bis heute einem impliziten Grundsatz: Sicherheit beginnt mit dem Incident. Angriffe werden entdeckt, klassifiziert, gemeldet und bearbeitet. Mit der NIS2-Richtlinie wurde dieses Paradigma regulatorisch präzisiert und organisatorisch verfestigt. Verschärfte Meldepflichten, klar definierte Reaktionsfristen und die persönliche Haftung des Managements erhöhen zweifellos die Qualität der Incident Response.

Was NIS2 jedoch nicht hinterfragt, ist der Ausgangspunkt dieser Logik.

In hochvernetzten, cloudbasierten und identitätsgetriebenen IT-Ökosystemen entscheidet sich Sicherheit nicht im Moment des Alarms, sondern Wochen oder Monate zuvor – in Architekturentscheidungen, Berechtigungsmodellen und impliziten Vertrauensannahmen. Genau hier setzt ein Ansatz an, der im israelischen Cybersecurity-Ökosystem früh entwickelt und systematisch operationalisiert wurde: Incident Prediction. Nicht als Ersatz für Incident Response, sondern als vorgelagerte Steuerungs- und Entscheidungslogik, die den Möglichkeitsraum erfolgreicher Angriffe bereits vor ihrem Eintritt begrenzt.

„Left of Bang“ – warum Zeit der entscheidende Sicherheitsfaktor ist

In der militärischen und nachrichtendienstlichen Logik bezeichnet Left of Bang den Zeitraum vor dem Ereignis – jene Phase, in der Bedrohungen noch antizipiert, gelenkt oder neutralisiert werden können. Sicherheit entsteht dort nicht durch Reaktion, sondern durch frühe strukturelle Erkenntnis über Fähigkeiten, Absichten und mögliche Handlungsräume des Gegners.

Übertragen auf den Cyberraum bedeutet das: Klassische Incident Response beginnt definitionsgemäß erst dann, wenn ein Angreifer bereits operiert. Selbst bei optimaler Detection verbleibt eine Dwell Time, die ausreicht, um Systeme zu kartieren, Berechtigungen auszuweiten, Cloud-Ressourcen zu kompromittieren oder Persistenzmechanismen zu etablieren. Der Schaden entsteht nicht trotz, sondern innerhalb dieser Zeitspanne.

Prädiktive Sicherheitsansätze verschieben den Fokus deshalb nach links – weg vom Ereignis selbst, hin zu den strukturellen Bedingungen des Ereignisses: Architekturen, Identitäten, Vertrauensannahmen und Abhängigkeiten, die einen Angriff überhaupt erst möglich machen.

Ökonomisch ist dieser Unterschied fundamental. Die Kosten erfolgreicher Ransomware-, Supply-Chain- oder APT-Angriffe steigen nicht linear, sondern exponentiell – mit Ausbreitung, Stillstandszeit, regulatorischer Eskalation und Reputationsschaden. Maßnahmen nach dem Vorfall begrenzen Schäden. Maßnahmen vor dem Vorfall verhindern ihre Entstehung.

Was Incident Prediction wissenschaftlich tatsächlich bedeutet

In Forschung und Praxis wird Incident Prediction seit Jahren untersucht – etwa unter Begriffen wie Cyber Incident Forecasting, Attack Graph Analysis oder Probabilistic Risk Modeling. Auffällig ist dabei die Nüchternheit belastbarer Arbeiten: Seriöse Studien distanzieren sich ausdrücklich von der Vorstellung, konkrete Angriffe zeitlich oder ereignisscharf „vorhersagen“ zu können.

Der wissenschaftliche Konsens ist eindeutig: Prediction ist nur dann sinnvoll, wenn sie auf realen, überprüfbaren Strukturen basiert. Modelle, die ausschließlich auf Event-Korrelation, Anomalieerkennung oder kontextlosen KI-Patterns beruhen, erzeugen statistische Eleganz – liefern jedoch keine verlässliche Grundlage für operative Entscheidungen.

Vorhersagekraft entsteht erst dort, wo Identitäten, Berechtigungen, Systemabhängigkeiten und Expositionen als zusammenhängendes System modelliert werden. Nicht das einzelne Ereignis ist entscheidend, sondern die Frage, unter welchen strukturellen Bedingungen ein Angriff mit hoher Wahrscheinlichkeit erfolgreich wäre.

Der eigentliche Paradigmenwechsel lautet daher nicht „bessere Detection“, sondern:
vom Event zur Struktur.

Vom Event zur Struktur – der technische Paradigmenwechsel

Klassische SOC- und SIEM-Modelle sind eventzentriert. Logs werden gesammelt, angereichert und korreliert, um Abweichungen vom Normalzustand zu erkennen. Das Ergebnis sind Alerts, deren Aussagekraft maßgeblich von Regelwerken, Signaturen und kontinuierlichem Tuning abhängt. Sicherheit wird dabei retrospektiv interpretiert – als Reaktion auf bereits eingetretene Ereignisse.

Prädiktive Sicherheitsmodelle verfolgen einen grundlegend anderen Ansatz. Sie arbeiten graphbasiert und modellieren IT-Umgebungen als zusammenhängende Strukturen aus Identitäten, Berechtigungen, Systemen, Cloud-Ressourcen, Daten und deren Abhängigkeiten. Sicherheit wird damit nicht länger als Ereignis, sondern als Eigenschaft der Architektur verstanden.

Angreifer denken nicht in Events, sondern in Pfaden:
Einstieg → laterale Bewegung → Privilegieneskalation → Ziel.

Incident Prediction beantwortet daher nicht primär die Frage „Was ist passiert?“, sondern: „Welche Angriffswege sind realistisch möglich – und welche davon führen mit hoher Wahrscheinlichkeit zu kritischen Assets?“

Israel als systemischer Frühindikator

Der israelische Cybersecurity-Markt gilt nicht zufällig als einer der frühesten Treiber prädiktiver Sicherheitsmodelle. Viele Architekten, Entwickler und Gründer entstammen sicherheitsrelevanten Elite-Einheiten wie der Unit 8200, in denen Früherkennung, Musteranalyse und Antizipation operativer Alltag sind.

Diese Denklogik wurde nicht schlicht auf den zivilen Markt übertragen, sondern konsequent in kommerziell einsetzbare Sicherheitsarchitekturen übersetzt. Incident Prediction ist in Israel kein isoliertes Produktmerkmal, sondern das Zusammenspiel komplementärer Fähigkeiten – von struktureller Angriffspfad-Analyse über kontinuierliche Expositionsbewertung bis hin zu präemptiver Durchsetzung.

Israel fungiert damit weniger als Vorbild einzelner Tools, sondern als systemischer Frühindikator für Sicherheitsmodelle, die unter realem Bedrohungsdruck entwickelt, erprobt und skaliert wurden – lange bevor vergleichbare Konzepte in Europa regulatorisch diskutiert wurden.

Praktische Umsetzung prädiktiver Sicherheit

Attack Path Management – Vorhersage realer Angriffswege

Attack-Path-Modelle bilden Unternehmensumgebungen als dynamische Graphen ab, bestehend aus Identitäten, Berechtigungen, Systemen, Cloud-Ressourcen und deren Abhängigkeiten. Entscheidend ist nicht, dass eine Schwachstelle existiert, sondern ob und wie sie Teil eines realistischen Angriffswegs ist.

XM Cyber gilt hier als Referenz. Die Plattform simuliert kontinuierlich reale Angriffsszenarien und beantwortet eine zentrale operative Frage:
Wenn ein Angreifer an Punkt A eindringt – welche kausale Kette ermöglicht ihm den Zugriff auf ein Crown Jewel?

Die Vorhersage liegt nicht im Zeitpunkt oder der Art des Angriffs, sondern in der Offenlegung seiner logischen Notwendigkeit. Ein Angriffspfad ist strukturell möglich – oder er ist es nicht.

Ein entscheidender Faktor für Europa: XM Cyber ist Teil des Schwarz-Ökosystems. Über Schwarz Digits / STACKIT stehen souveräne Betriebsmodelle zur Verfügung. Damit wird graphbasierte Angriffspfad-Analyse erstmals vollständig NIS2-, KRITIS- und DSGVO-anschlussfähig im deutschen Rechtsraum.

Cymulate ergänzt diesen Ansatz durch kontinuierliche Breach-&-Attack-Simulationen. Getestet wird nicht, ob Kontrollen existieren, sondern ob sie unter realistischen Angriffstechniken tatsächlich versagen würden.

SentinelOne – autonome Durchsetzung prädiktiver Sicherheitsentscheidungen

Während graphbasierte Modelle die strukturellen Bedingungen eines Angriffs sichtbar machen, stellt sich die entscheidende Frage: Wie werden diese Erkenntnisse operativ wirksam, bevor ein Incident entsteht?

Hier übernimmt SentinelOne die exekutive Rolle. Die Plattform steht für KI-gestützte Endpoint- und XDR-Sicherheit, die nicht primär auf Signaturen oder retrospektiver Klassifikation beruht, sondern auf verhaltensbasierter Prävention: Ausführungslogik, Prozessketten, Speicherinteraktionen und laterale Bewegungsmuster werden in Echtzeit bewertet – auch bei bislang unbekannten Angriffstechniken.

Im prädiktiven Kontext fungiert SentinelOne damit als Durchsetzungsebene: Angriffspfade werden nicht nur identifiziert, sondern an den kritischen Übergängen unterbrochen, sobald ein Angreifer versucht, sie praktisch zu nutzen. Privilegienmissbrauch, verdächtige laterale Bewegung oder anomal ausgeführte Prozesse können autonom erkannt, isoliert und – abhängig von Policy und Betriebsmodell – kontrolliert zurückgesetzt werden.

SentinelOne zieht Reaktion damit zeitlich vor die Schadensphase: Ziel ist nicht „Incident Handling“, sondern die Reduktion von Dwell Time und Ausbreitungsfenster auf ein Minimum, bevor kritische Assets erreicht werden.

Souveränität & Haftungsfähigkeit: SentinelOne im Schwarz-Digits-/STACKIT-Kontext

Für den deutschen und europäischen Markt wird dieser Ansatz erst dann strategisch nutzbar, wenn er souverän und auditierbar betrieben werden kann. Durch die Einbettung in Schwarz Digits / STACKIT wird SentinelOne im europäischen Rechtsraum verankert – und adressiert damit zentrale Anforderungen regulierter Organisationen:

• Datenhoheit: Hosting und Verarbeitung sicherheitsrelevanter Daten in deutschen/EU-Rechenzentren (abhängig vom gewählten Betriebsmodell).
• DSGVO-Konformität: Privacy by Design durch Fokus auf technische Telemetrie- und Metadaten statt Inhaltsdaten.
• NIS2-/KRITIS-Tauglichkeit: Prüfbarkeit, Auditierbarkeit und Governance-Fähigkeit als Bestandteil eines dokumentierten Risikomanagements.

Im Zusammenspiel mit XM Cyber entsteht so eine „Left-of-Bang“-Architektur mit geschlossener Wirkungskette: strukturelle Vorhersage und Priorisierung auf der einen Seite, autonome präemptive Durchsetzung auf Endpoint- und Workload-Ebene auf der anderen. Vorhersage und Handlung greifen damit nahtlos ineinander – technisch leistungsfähig, regulatorisch belastbar und als Sorgfaltsnachweis für das Management verwertbar.

Threat Intelligence & Exposure Management – externe Frühindikatoren

Incident Prediction endet nicht an der Netzwerkgrenze. Ein wesentlicher Bestandteil prädiktiver Sicherheitsarchitekturen ist die frühzeitige Erkennung externer Angriffsvorbereitungen – also jener Aktivitäten, die einem technischen Eindringen zeitlich vorausgehen.

Cyberint adressiert genau diese Phase. Durch die kontinuierliche Analyse von Darknet-Foren, Leak-Marktplätzen, Phishing-Infrastrukturen und vorbereiteten Command-and-Control-Strukturen werden Angriffsabsichten sichtbar, bevor sie operationalisiert werden. Die Vorhersage basiert dabei nicht auf Indikatoren eines laufenden Angriffs, sondern auf Indikatoren der Vorbereitung: Credential-Handel, Zielselektion, Infrastrukturaufbau. Der entscheidende Mehrwert liegt im Zeitgewinn – und damit in der Möglichkeit, präemptiv zu reagieren, statt auf erste technische Kompromittierung zu warten.

Wiz überträgt das strukturierte, graphbasierte Denken konsequent auf Cloud-Umgebungen. Fehlkonfigurationen, überprivilegierte Identitäten, exponierte Services und Datenzugriffe werden nicht isoliert bewertet, sondern zu zusammenhängenden Risiko- und Angriffspfaden korreliert. Prediction bedeutet hier nicht die Bewertung einzelner Findings, sondern die Identifikation jener Kombinationen aus Exposition, Identität und Berechtigung, die einen realistischen Einbruchs- oder Eskalationspfad ermöglichen.

In der Gesamtschau erweitern Threat Intelligence und Exposure Management die prädiktive Perspektive nach außen: Sie machen sichtbar, wann ein Angriff vorbereitet wird und wo er unter den aktuellen strukturellen Bedingungen mit hoher Wahrscheinlichkeit erfolgreich wäre. Damit schließen sie eine Lücke, die rein interne Sicherheitsmodelle systembedingt nicht abdecken können.

KI-gestützte Prävention, Deception & Validierung – von Möglichkeit zu Wirksamkeit

Prädiktive Sicherheitsarchitekturen entfalten ihren Mehrwert erst dann vollständig, wenn strukturelle Vorhersage, präventive Erkennung und kontinuierliche Wirksamkeitsprüfung zusammengeführt werden. Prediction darf nicht abstrakt bleiben – sie muss operativ überprüfbar und steuerbar sein.

Deep Instinct adressiert die früheste Phase des Angriffs. Mithilfe tiefenlernender neuronaler Netze wird die Gefährlichkeit von Code anhand seiner strukturellen Eigenschaften bewertet, bevor er ausgeführt wird. Die Vorhersage erfolgt präventiv, signaturlos und unabhängig von bekannten Malware-Familien. Prediction bedeutet hier nicht Reaktion auf Verhalten, sondern Bewertung potenzieller Schadwirkung vor der Ausführung – ein klarer „Left-of-Bang“-Ansatz auf Code-Ebene.

Illusive (Proofpoint) ergänzt diesen Ansatz durch gezielte Deception-Technologien. Künstliche Identitäten, Pfade und Zugangsdaten werden so platziert, dass sie für legitime Nutzer unsichtbar bleiben, für Angreifer jedoch plausibel erscheinen. Sobald ein Angreifer mit diesen Elementen interagiert, wird seine Absicht eindeutig sichtbar. Vorhersage entsteht hier nicht statistisch, sondern durch Intent-Erkennung – der Moment, in dem ein Angriff sich offenbart, noch bevor produktive Systeme betroffen sind.

Cyera überträgt die prädiktive Logik auf die Datenebene. Die Plattform identifiziert sensible und personenbezogene Daten, modelliert Zugriffspfade und bewertet Exfiltrationswahrscheinlichkeiten. Prediction bezieht sich hier auf die Frage, welche Daten unter den aktuellen Berechtigungs- und Architekturbedingungen realistisch abfließen könnten. Dieser daten-zentrierte Ansatz ist explizit DSGVO-relevant, da er Schutzbedarf, Zugriffsmöglichkeiten und Risiken transparent, nachvollziehbar und prüfbar macht.

Pentera schließt den Kreis durch kontinuierliche Sicherheitsvalidierung. Automatisierte Angriffssimulationen zeigen nicht, welche Schwachstellen theoretisch existieren, sondern welche unter realistischen Angriffstechniken tatsächlich ausnutzbar sind. Prediction erfolgt hier über die Wirksamkeitsbewertung getroffener Maßnahmen: Welche Kontrollen halten stand – und welche versagen trotz formaler Existenz?

In der Gesamtschau wird Prediction dadurch messbar, überprüfbar und steuerbar. Sie basiert nicht auf Annahmen oder Versprechen, sondern auf struktureller Analyse, präventiver Erkennung und kontinuierlicher Validierung. Genau diese Kombination unterscheidet prädiktive Sicherheitsarchitekturen von klassischer Detection – und macht sie anschlussfähig für Governance, Audit und Management-Entscheidungen.

NIS2 – wo Prediction die regulatorische Logik ergänzt

Die NIS2-Richtlinie verschiebt Cybersecurity erstmals explizit in die Verantwortung des Managements. Gefordert werden nicht nur technische Maßnahmen, sondern ein nachweisbares, risikobasiertes Sicherheitsmanagement. Was NIS2 dabei implizit voraussetzt, aber nicht konkret operationalisiert, ist die Fähigkeit zur vorgelagerten Entscheidungsfindung.

Genau hier setzen prädiktive Sicherheitsmodelle an.

Statt reaktiver Kennzahlen wie Alert-Volumen, Mean Time to Respond oder Ticket-Abschlussraten liefern sie strukturierte Risikobewertungen: Welche kritischen Geschäftsassets sind unter den aktuellen Architektur-, Identitäts- und Berechtigungsbedingungen realistisch erreichbar? Über welche Angriffspfade? Mit welcher Eintrittswahrscheinlichkeit und welchem potenziellen Impact?

Für Vorstände und Geschäftsführungen entsteht damit erstmals eine steuerungsrelevante Entscheidungsgrundlage. Sicherheit wird nicht mehr über operative Symptome gemessen, sondern über die Reduktion realer Angriffsoptionen. Maßnahmen lassen sich priorisieren, begründen und dokumentieren – nicht technisch abstrakt, sondern kausal nachvollziehbar.

Prädiktive Modelle schließen damit die zentrale Lücke der NIS2-Logik: Sie verbinden formale Compliance mit tatsächlicher Wirksamkeit. Im Haftungs- und Prüfungsfall lässt sich nicht nur nachweisen, dass Maßnahmen existierten, sondern warum genau diese Risiken adressiert und andere bewusst akzeptiert wurden. Sicherheit wird damit vom reaktiven Kostenfaktor zur managementfähigen Risikodisziplin.

Warum Europa strukturell zögert

Die langsame Verbreitung prädiktiver Sicherheitsmodelle in Europa ist kein Technologieproblem, sondern ein Governance-Problem. Europäische Cybersecurity ist historisch stark compliancegetrieben. Erfolg wird primär über Nachweisbarkeit definiert: erfüllte Kontrollen, dokumentierte Prozesse, bestandene Audits.

Prädiktive Modelle folgen einer anderen Logik. Sie messen Wirksamkeit statt Formalerfüllung. Sie beantworten nicht die Frage, ob eine Maßnahme existiert, sondern ob eine Architektur unter realistischen Annahmen tatsächlich angreifbar ist. Damit verschieben sie den Fokus von Dokumentation zu Kausalität.

Genau hier entsteht Reibung. Prädiktive Ansätze stellen unbequeme Fragen nach überprivilegierten Identitäten, impliziten Vertrauensannahmen und historisch gewachsenen Architekturentscheidungen. Sie durchbrechen organisatorische Silos und machen Risiken sichtbar, die sich nicht sauber einer einzelnen Zuständigkeit zuordnen lassen.

Gerade deshalb sind sie strukturell überlegen. Nicht, weil sie mehr Daten erzeugen, sondern weil sie Entscheidungen erzwingen, wo klassische Compliance-Modelle lediglich Nachweise sammeln.

Kritische Würdigung – wo Prediction an Grenzen stößt

So leistungsfähig prädiktive Sicherheitsmodelle sind, sie sind kein Allheilmittel. Ohne belastbare Grundlagen entfalten sie keine Wirkung. Saubere Identitätsmodelle, konsistente Berechtigungsstrukturen, funktionierende Patch- und Konfigurationshygiene sowie klare Governance sind keine Kür, sondern Voraussetzung. Fehlen diese, wird Prediction zur Illusion von Kontrolle – Risiken werden sichtbar, aber nicht beherrschbar.

Zudem besteht die Gefahr operativer Übersteuerung. Werden Wahrscheinlichkeiten als Gewissheiten interpretiert, kann präemptives Blocking legitime Geschäftsprozesse beeinträchtigen. Prädiktive Modelle verlangen deshalb nicht nur technische Reife, sondern auch organisatorische Disziplin in der Bewertung und Umsetzung ihrer Ergebnisse.

Schließlich bleibt das Wettrüsten bestehen. Auch Angreifer nutzen KI-gestützte Verfahren und passen ihr Verhalten gezielt an bekannte Erkennungs- und Vorhersagemuster an. Prediction ist daher kein statischer Vorteil, sondern ein kontinuierlicher Anpassungsprozess, der regelmäßige Validierung, Überprüfung und Weiterentwicklung erfordert.

Ihre Stärke liegt nicht im Versprechen vollständiger Sicherheit, sondern in der Fähigkeit, Risiken früher, strukturierter und steuerbarer zu machen – solange ihre Grenzen bewusst reflektiert werden.

Fazit – Steuerung statt Reaktion

Incident Prediction ersetzt Incident Response nicht – sie entlastet sie.

Sie verschiebt Sicherheitsarbeit konsequent nach links, dorthin, wo Entscheidungen wirksam werden, bevor Schäden entstehen. Reaktive Maßnahmen begrenzen den Impact eines Angriffs. Prädiktive Ansätze begrenzen den Möglichkeitsraum, in dem ein Angriff überhaupt erfolgreich sein kann.

Der eigentliche Paradigmenwechsel liegt dabei nicht in einzelnen Technologien, sondern in der Perspektive: Sicherheit wird nicht schneller, sondern steuerbarer. Risiken werden nicht mehr nur behandelt, sondern strukturell gestaltet.

Incident Response reagiert auf die Vergangenheit. Incident Prediction gestaltet den Möglichkeitsraum der Zukunft.

Transparenzhinweis:
Dieser Artikel basiert auf öffentlich zugänglicher Forschungsliteratur, Veröffentlichungen der ENISA sowie unabhängigen Marktanalysen. Er dient der strategischen Einordnung aktueller Cybersecurity-Architekturen und stellt weder eine Produkt- noch eine Anbieterempfehlung dar.