Anomalieerkennung (Anomaly Detection / Verhaltensbasierte Erkennung)

Anomalieerkennung ist eine Methode der Cybersicherheit, die normales Systemverhalten durch maschinelles Lernen oder statistische Modelle erlernt und bei Abweichungen Alarm schlägt, um Angriffe, Insider-Bedrohungen oder Systemfehler zu identifizieren, auch wenn keine bekannte Malware-Signatur vorliegt. Im Gegensatz zur signaturbasierten Erkennung kann Anomalieerkennung auch Zero-Day-Angriffe und unbekannte Bedrohungen entdecken, erzeugt jedoch ohne sorgfältige Kalibrierung mehr Fehlalarme (False Positives). In IT-Vergaben für SIEM, EDR und NDR sollten Auftraggeber verhaltensbasierte Erkennungskomponenten neben signaturbasierter Erkennung als Anforderung definieren und Tuning-Pflichten sowie False-Positive-Raten als messbare SLA-Größen festlegen.