Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Startseite Glossar Alert Fatigue
Glossar — ISMS / SOC / Incident Management

Alert Fatigue

Englisch: Alert Fatigue

Zuletzt aktualisiert: Mai 2026
Lesedauer: ca. 8 Minuten

Alert Fatigue (deutsch: Alarm-Müdigkeit) bezeichnet den Zustand, in dem Sicherheitsanalysten eines Security Operations Centers (SOC) durch ein überhoches Volumen an sicherheitsrelevanten Alarmmeldungen, kombiniert mit einer hohen Rate an Fehlalarmen (False Positives), in ihrer Urteilsfähigkeit und Reaktionsfähigkeit dauerhaft beeinträchtigt werden. Der Begriff beschreibt keine technische Fehlfunktion, sondern ein organisatorisches und prozessuales Versagen im Bereich der Ereigniserkennung und Incident-Triage.

Normative Grundlage: ISO/IEC 27035-1:2023 Clause 6 (Detect and Report) + ISO/IEC 27002:2022 Clause 8.16 + NIST SP 800-61 Rev. 3 (April 2025) + BSI IT-Grundschutz DER.1 Edition 2023

Hintergrund und normative Einordnung

Der Begriff Alert Fatigue entstand aus der klinischen Forschung zur Alarm-Überflutung in der Intensivmedizin und wurde ab dem frühen 2000er-Jahrzehnt auf Security Operations Centers übertragen, als automatisierte Intrusion Detection Systeme (IDS) und SIEM-Plattformen (Security Information and Event Management) in Unternehmen Einzug hielten. Mit der Einführung dieser Systeme wuchs das tägliche Alert-Volumen in typischen Enterprise-SOCs auf mehrere tausend Meldungen pro Schicht, ohne dass parallel die Anzahl der Analysten in gleichem Maß stieg. ISO/IEC 27035-1:2023 beschreibt im Prozessschritt Detect and Report (Clause 6) die Anforderung, sicherheitsrelevante Ereignisse vollständig und zeitnah zu erfassen sowie eine initiale Klassifikation und Priorisierung vorzunehmen, bevor sie an das zuständige Incident-Response-Team eskaliert werden. Dieser Klassifikationsschritt ist exakt der Punkt, an dem Alert Fatigue wirkt: Wenn Analysten durch Volumen oder Monotonie abstumpfen, sinkt die Erkennungsqualität, und echte Sicherheitsvorfälle werden als Fehlalarm abgehakt oder gar nicht erst geöffnet. ISO/IEC 27002:2022 Clause 8.16 (Monitoring Activities) formuliert als Leitlinie, dass Monitoring-Werkzeuge Anomalien in Echtzeit melden sollen, und zwar mit einem minimalen Anteil an False Positives. Diese normative Anforderung benennt das strukturelle Problem: Systeme, die zu viele Fehlalarme erzeugen, verfehlen ihren Zweck, weil sie die Erkennungskapazität der Analysten erschöpfen, statt sie zu nutzen.

In der deutschen und europäischen Compliance-Landschaft hat Alert Fatigue durch NIS-2 (Richtlinie EU 2022/2555) erhebliche regulatorische Relevanz erhalten. Artikel 21 NIS-2 verpflichtet wesentliche und wichtige Einrichtungen zur Implementierung von Konzepten und Verfahren bezüglich der Risikoanalyse und Sicherheit für Informationssysteme sowie zur Erkennung von Anomalien. Artikel 23 NIS-2 schreibt eine Erstmeldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden vor. Diese 24-Stunden-Frist ist nur einzuhalten, wenn die Erkennungs- und Triage-Prozesse im SOC effektiv funktionieren, was bei ausgeprägter Alert Fatigue strukturell gefährdet ist. BSI IT-Grundschutz DER.1 Edition 2023 adressiert den gleichen Sachverhalt auf Baustein-Ebene: Anforderung DER.1.A1 verlangt, dass geeignete Melde- und Alarmierungsverfahren etabliert und dokumentiert werden. DER.1 benennt ausdrücklich das Risiko, dass eine fehlerhafte Alarmierungskonfiguration häufige Fehlalarme erzeugt, sodass echte sicherheitsrelevante Ereignisse nicht zeitnah erkannt werden. NIST SP 800-61 Rev. 3 (April 2025), strukturiert nach dem NIST Cybersecurity Framework 2.0, ordnet die Erkennungs- und Analyseaktivitäten den CSF-Funktionen Detect (DE.CM: Continuous Monitoring) und Respond (RS.AN: Incident Analysis) zu und empfiehlt explizit den Einsatz von SIEM- und SOAR-Systemen, um das Alert-Volumen zu reduzieren und Ressourcen auf echte Bedrohungen zu fokussieren. Für Organisationen, die ihre SOC-Prozesse normkonform strukturieren möchten, bietet SECURAM im Rahmen der ISO 27001 Beratung und Zertifizierung eine strukturierte Begleitung vom Use-Case-Tuning bis zur ISMS-Integration.

Normative Bezüge:

ISO/IEC 27035-1:2023 Clause 6 (Detect and Report) ISO/IEC 27002:2022 Clause 8.16 (Monitoring Activities) BSI IT-Grundschutz DER.1 Edition 2023

Vorgehen in der Praxis

Die Bekämpfung von Alert Fatigue folgt einem vierstufigen Prozess, der technische Kalibrierung, prozessuale Strukturierung und organisatorische Maßnahmen verbindet. BSI IT-Grundschutz DER.1 und ISO/IEC 27035-1:2023 bilden die normative Grundlage für jeden dieser Schritte.

1
Baseline-Bestimmung der Alert-Volumina Vor jeder Optimierung steht die Messung. Das SOC erhebt über einen repräsentativen Zeitraum (mindestens vier Wochen) die tägliche Alert-Anzahl je Datenquelle (Firewall, EDR, SIEM-Use-Cases, IDS) sowie die initiale False-Positive-Rate (FPR) je Kategorie. NIST SP 800-92 empfiehlt die Differenzierung zwischen rohen Log-Ereignissen, korrelierten SIEM-Alerts und eskalationsfähigen Incidents als drei getrennte Messebenen. ISO/IEC 27002:2022 Clause 8.16 fordert, eine Baseline normaler Netzwerk- und Nutzeraktivität zu definieren, bevor Alarmschwellen konfiguriert werden. Ohne gemessene Baseline ist jede Tuning-Aktion ein Schuss ins Dunkle und produziert neue Fehlkonfigurationen.
2
Use-Case-Tuning zur FPR-Reduzierung Im zweiten Schritt werden die SIEM-Erkennungsregeln (Use Cases) systematisch überarbeitet. Je Use Case wird geprüft: Wie hoch ist die FPR der letzten 30 Tage? Gibt es bekannte Benign-Auslöser (z.B. Vulnerability-Scanner, Backup-Dienste), die in eine Allowlist aufgenommen werden können? Lässt sich die Schwelle anpassen, ohne echte Angriffe zu maskieren? ISO/IEC 27002:2022 Clause 8.16 verlangt, dass Monitoring-Werkzeuge fähig sein müssen, die Überwachungsintensität anzupassen. BSI IT-Grundschutz DER.1 warnt vor fehlerhafter Alarmierungskonfiguration als direkte Ursache von Alert Fatigue. Ziel ist eine FPR unter 20 Prozent je Use Case als Orientierungsgröße.
3
Triage-Prozess und SLA-Definition Parallel zum technischen Tuning wird ein dokumentierter Triage-Prozess eingeführt. ISO/IEC 27035-1:2023 Clause 6 (Detect and Report) beschreibt die Erstbewertung als obligatorischen Prozessschritt: Jedes Ereignis wird nach Schweregrad, Geschäftsauswirkung und Dringlichkeit klassifiziert. ISO/IEC 27002:2022 Clause 5.25 adressiert explizit die Entscheidung, ob ein Ereignis als Vorfall einzustufen ist. Je Schweregrad-Klasse werden verbindliche Reaktionszeiten (SLAs) definiert: Critical innerhalb von 15 Minuten eskaliert, High innerhalb von zwei Stunden, Medium innerhalb von 24 Stunden. Diese SLAs sind Grundvoraussetzung zur Einhaltung der NIS-2-Meldepflicht (Erstmeldung binnen 24 Stunden nach Artikel 23).
4
SOC-Skalierung und Automation per SOAR Im vierten Schritt werden repetitive Triage-Aufgaben durch SOAR-Plattformen (Security Orchestration, Automation and Response) automatisiert. NIST SP 800-61 Rev. 3 empfiehlt explizit, SIEM- und SOAR-Systeme einzusetzen, um Rauschen zu reduzieren und Ressourcen zu priorisieren, sowie Alerts, Ticketing und Informationsaustausch zu automatisieren. Playbooks übernehmen Erstbewertungen bei bekannten Alert-Typen, reichern Meldungen mit Kontextdaten an (Asset-Kritikalität, Threat Intelligence) und eskalieren oder schließen automatisch. Parallel werden organisatorische SOC-Schutzmaßnahmen etabliert: Schichtrotierende Analyst-Teams, verbindliche Pausen, regelmäßige Debrief-Runden. Rotation verhindert kognitive Erschöpfung als Primärursache von Alert Fatigue und ist in Organisationen mit mehrschichtigem SOC-Betrieb strukturell zu verankern.

ISO/IEC 27002:2022 Clause 8.16 und BSI DER.1 Edition 2023 erfordern, dass Alarmschwellen regelmäßig überprüft und an das aktuelle Risikoprofil angepasst werden; ein Use Case ohne dokumentierten Review-Zyklus ist eine unerfüllte Norm-Anforderung.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu Alert Fatigue
False Positive Rate (FPR) Technische Kennzahl: Anteil der Alarme, die keinen echten Sicherheitsvorfall darstellen, bezogen auf alle ausgelösten Alarme einer Erkennungsregel. Die FPR ist die messbare Ursache, Alert Fatigue ist die resultierende Auswirkung auf Analysten und Prozesse. Eine hohe FPR ist notwendig, aber nicht hinreichend; entscheidend ist das Zusammenwirken mit hohem absolutem Alarmvolumen und fehlenden Automatisierungs- und Triage-Prozessen.
Anomalie Eine Abweichung vom definierten Normalverhalten eines Systems, Netzwerks oder Nutzers, erkannt durch statistische Baselines oder Verhaltensmodelle. Anomalieerkennung ist ein technisches Detektionsverfahren, das Grundlage von SIEM-Use-Cases ist. Alert Fatigue entsteht erst dann, wenn aus Anomalieerkennung ein ungefilterter Alert-Strom wird, der Analysten ohne Priorisierung oder Kontext erreicht. Anomalie ist damit ein vorgelagertes Konzept auf der Sensor-Ebene, Alert Fatigue ein nachgelagertes Problem auf der Prozess- und Personenebene.
Sicherheitsvorfall Ein bestätigtes Ereignis, das Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen verletzt oder zu verletzen droht (ISO/IEC 27000:2018 Clause 3.31). Ein Sicherheitsvorfall ist das Zielobjekt des gesamten Erkennungs- und Triage-Prozesses. Alert Fatigue beschreibt die Gefährdung, dass echte Sicherheitsvorfälle im Alert-Rauschen übersehen werden. Die Grenze zwischen Ereignis und Vorfall ist die Kernfrage der Triage nach ISO/IEC 27002:2022 Clause 5.25.

Typische Fehler und wie ihr sie vermeidet

  • Datenquellen ohne definierten Use Case aktivieren: Viele Organisationen onboarden neue Datenquellen (z.B. Cloud-Workloads, IoT-Sensoren, neue SaaS-Produkte) in die SIEM-Plattform, ohne validierte Erkennungsregeln zu erstellen. Das Ergebnis ist ein rohes Event-Volumen ohne Kontext. ISO/IEC 27002:2022 Clause 8.16 fordert, zunächst eine Baseline normaler Aktivität zu definieren, bevor Anomalien erkannt werden können. Ohne diese Baseline erzeugt jede neue Datenquelle primär Rauschen und erhöht die kognitive Last der Analysten, ohne den Erkennungswert proportional zu steigern.
  • SOC ohne strukturierte Schichtrotation und Pausenplanung betreiben: Kognitive Ermüdung ist die psychologische Grundlage von Alert Fatigue. Analysten, die ohne verbindliche Rotationsregeln am gleichen Monitor-Arbeitsplatz verbleiben, entwickeln Desensibilisierungseffekte gegenüber Alarmen, die statistisch meist keine echten Vorfälle darstellen. BSI IT-Grundschutz DER.2.1 Edition 2023 fordert ein funktionsfähiges Incident-Management mit klaren Rollen und Verantwortlichkeiten; implizit darin enthalten ist die organisatorische Verpflichtung, die Handlungsfähigkeit des Incident-Response-Teams dauerhaft sicherzustellen. Schichtpläne ohne Pausenregelung verletzen diese Anforderung strukturell.
  • Alert-Volumina nicht messen und dokumentieren: Wer Alert Fatigue nicht misst, kann sie nicht beheben. Ohne kontinuierliche Erfassung von Alert-Volumen, FPR je Use Case und Eskalationsquote fehlt die Grundlage jeder Tuning-Entscheidung. ISO/IEC 27002:2022 Clause 8.16 und NIST SP 800-92 (Log Management) setzen beide voraus, dass Organisationen ihre Monitoring-Infrastruktur kennen und steuern. BSI DER.1 Edition 2023 verlangt dokumentierte Alarmierungsverfahren, was implizit die regelmäßige Auswertung von Alarmierungsereignissen einschließt. Ohne Messbarkeit ist jede Aussage über den Zustand der Erkennungsfähigkeit eine Annahme, keine Tatsache.
  • Eskalations-SLAs ohne Prüfbarkeit definieren: Viele SOC-Prozessdokumentationen enthalten Reaktionszeitfristen ohne technisches Tracking. NIS-2 Artikel 23 schreibt eine Erstmeldung erheblicher Sicherheitsvorfälle binnen 24 Stunden vor. Diese Frist ist rechtlich verbindlich und setzt voraus, dass die Eskalationskette vom ersten Alert bis zur Vorfallsbestätigung funktioniert und dokumentiert ist. Eskalations-SLAs, die nicht im Ticketing-System hinterlegt und regelmäßig ausgewertet werden, sind regulatorisch wertlos und geben dem SOC-Management ein falsches Sicherheitsgefühl.

Relevanz im regulatorischen Kontext

Alert Fatigue ist kein rein operatives, sondern ein regulatorisch adressiertes Thema. NIS-2 (Richtlinie EU 2022/2555) verpflichtet wesentliche und wichtige Einrichtungen in Artikel 21 Absatz 2 zur Implementierung von Cybersicherheitsmaßnahmen zur Erkennung von Anomalien und in Artikel 23 zur Meldung erheblicher Sicherheitsvorfälle in einem dreistufigen Prozess: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Diese Fristen sind nur einzuhalten, wenn die Triage-Prozesse und Eskalationswege im SOC keine durch Alert Fatigue bedingten Verzögerungen aufweisen. BSI IT-Grundschutz DER.1 Edition 2023, Anforderung DER.1.A1, verlangt dokumentierte Alarmierungsverfahren und benennt fehlerhaft konfigurierte Alarmierung als konkretes Risiko, das die Erkennungsfähigkeit untergräbt.

ISO/IEC 27001:2022 Clause 9.1 (Monitoring, Measurement, Analysis and Evaluation) verpflichtet ISMS-zertifizierte Organisationen, die Wirksamkeit ihrer Sicherheitsmaßnahmen regelmäßig zu messen und zu bewerten. Die Erkennungsfähigkeit des SOC, ausgedrückt in Metriken wie FPR, Alert-Volumen und MTTD, ist eine zentrale Leistungskennzahl des ISMS. ISO/IEC 27002:2022 Clause 5.24 beschreibt Incident Management Planning als ganzheitlichen Ansatz, der Monitoring, Detection, Classification, Analysis und Reporting umfasst, und macht damit deutlich, dass eine isolierte Betrachtung technischer Systeme ohne Prozess- und Personalebene dem Norm-Anspruch nicht genügt. Organisationen, die eine ISO-27001-Zertifizierung anstreben oder aufrechterhalten, müssen die Handlungsfähigkeit ihres SOC inklusive Alert-Management-Kapazität als messbares ISMS-Ziel verankern.

Häufige Fragen

Wie hoch ist eine akzeptable False-Positive-Rate im SOC?
ISO/IEC 27002:2022 Clause 8.16 gibt keinen numerischen Schwellenwert vor, formuliert jedoch, dass Monitoring-Systeme Alarme mit einem minimalen Anteil an False Positives erzeugen sollen. In der Praxis wird eine FPR unter 20 Prozent je SIEM-Use-Case als Orientierungsgröße verwendet. Jede Organisation muss ihre eigene Toleranzschwelle in Abhängigkeit von SOC-Kapazität, Kritikalität der überwachten Systeme und regulatorischen Anforderungen (insbesondere NIS-2-Meldepflichten) definieren und dokumentieren.
Welche Norm fordert explizit die Reduktion von Fehlalarmen?
ISO/IEC 27002:2022 Clause 8.16 (Monitoring Activities) formuliert normativ, dass Alerting-Systeme Anomalien in Echtzeit melden sollen und dabei mit einem minimalen Anteil an False Positives arbeiten müssen. BSI IT-Grundschutz DER.1 Edition 2023 ergänzt dies auf nationaler Ebene mit der Anforderung, Alarmierungsverfahren so zu konfigurieren, dass häufige Fehlalarme vermieden werden. Beide Normen machen die FPR-Reduzierung zu einer messbaren Compliance-Anforderung, nicht nur zu einer Best Practice.
Was unterscheidet Alert Fatigue von einem technischen Systemausfall?
Ein technischer Systemausfall im Monitoring (z.B. SIEM-Ausfall, unterbrochene Log-Weiterleitung) ist ein klar abgrenzbarer Zustand, der in der Regel automatisch erkannt wird. Alert Fatigue ist ein schleichender, organisatorisch-psychologischer Zustand, der sich über Wochen und Monate entwickelt und sich primär in sinkender Erkennungsqualität, steigenden Bearbeitungszeiten und zunehmendem Analyst-Burnout äußert. ISO/IEC 27035-1:2023 und ISO/IEC 27002:2022 Clause 5.24 adressieren beide Dimensionen: technische Detektionskapazität und prozessuale Handlungsfähigkeit des Incident-Response-Teams.

Quellen & weiterführende Literatur

  1. ISO/IEC 27035-1:2023, Information technology, Information security incident management, Part 1: Principles and process
  2. ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection, Information security controls (insb. Clause 5.24, 5.25, 8.16)
  3. NIST SP 800-61 Rev. 3 (April 2025), Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile
  4. BSI IT-Grundschutz DER.1, Detektion von sicherheitsrelevanten Ereignissen, Edition 2023
  5. NIST SP 800-92, Guide to Computer Security Log Management
  6. BSI IT-Grundschutz DER.2.1, Behandlung von Sicherheitsvorfällen, Edition 2023
  7. NIS-2 Richtlinie (EU 2022/2555), Richtlinie zur Cybersicherheit in der Union