MTTD / MTTR Mean Time to Detect / Recover.

MTTD ist die durchschnittliche Zeitspanne vom Beginn eines Vorfalls bis zu seiner Erkennung. MTTR ist die durchschnittliche Zeitspanne von der Erkennung bis zur Wiederherstellung. Zusammen bilden sie die zentralen operativen Kennzahlen eines SOC und eines Incident-Response-Programms. Branchenbenchmarks liegen im Bereich von Tagen oder Wochen; reife Programme zielen auf Stunden ab.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

MTTD ist die durchschnittliche Zeitspanne vom Beginn eines Vorfalls bis zu seiner Erkennung. MTTR ist die durchschnittliche Zeitspanne von der Erkennung bis zur Wiederherstellung. Zusammen bilden sie die zentralen operativen Kennzahlen eines SOC und eines Incident-Response-Programms. Branchenbenchmarks liegen im Bereich von Tagen oder Wochen; reife Programme zielen auf Stunden ab.

Zwei Kennzahlen, eine Zeitleiste

MTTD und MTTR beschreiben zwei aufeinanderfolgende Abschnitte derselben Vorfallzeitleiste. MTTD umfasst die stille Phase zwischen dem Moment, in dem ein Angreifer erstmals handelt, und dem Moment, in dem Ihr Team erkennt, dass etwas nicht stimmt. MTTR umfasst alles nach diesem Punkt, von der Triage über die Eindämmung und Wiederherstellung bis zu einer bestätigten Rückkehr zum Normalzustand.

Sie gemeinsam zu lesen ist genau der Sinn: ein niedriger MTTD bei hohem MTTR bedeutet, dass Sie Bedrohungen schnell erkennen, aber Schwierigkeiten haben, darauf zu reagieren, während ein hoher MTTD bei niedrigem MTTR bedeutet, dass Sie schnell reagieren, aber erst, wenn der Schaden bereits entstanden ist. Keine der Zahlen ist für sich genommen nützlich, und die eine auf Kosten der anderen zu verbessern hilft selten.

In der Praxis sind dies die Spitzenkennzahlen, die ein SOC an die Geschäftsleitung meldet, weil sie technische Aktivität in eine Sprache übersetzen, die das Geschäft versteht: Wie lange waren wir exponiert, und wie lange haben wir gebraucht, um die Tür zu schließen. Es sind auch die Kennzahlen, um die Aufsichtsbehörden und Rahmenwerke kreisen, selbst wenn sie andere Worte verwenden. Eine Frist zur Meldung einer Verletzung ist im Wesentlichen eine gesetzliche Obergrenze für einen Teil Ihres MTTR, und die Pflicht, Vorfälle zeitnah zu erkennen, ist die Pflicht, den MTTD niedrig zu halten.

Was diese Zahlen tatsächlich bewegt

MTTD wird durch Sichtbarkeit und Feinabstimmung bestimmt. Sie können nicht erkennen, was Sie nicht erfassen, daher ist die Protokollabdeckung über Endpunkte, Netzwerk, Identität und Cloud die Grundlage. Darüber hinaus muss der Erkennungsinhalt abgestimmt werden: zu locker und die Analysten ertrinken in Fehlalarmen und übersehen das echte Signal, zu streng und echte Eindringversuche rutschen durch. Deshalb fließen ein SIEM, eine gute Detection Engineering und Threat Intelligence direkt in den MTTD ein.

MTTR wird durch Prozess und Befugnis bestimmt: dokumentierte Playbooks, die Befugnis, einen Host zu isolieren oder ein Konto zu deaktivieren, ohne auf ein Gremium zu warten, getestete Backups und eingeübte Kommunikation. Die klassische Verbesserung ist hier die Automatisierung über ein SOAR, das die durch manuelle Übergaben verlorenen Minuten beseitigt.

MTTD im Vergleich zu MTTR auf einen Blick
AspektMTTD (Erkennen)MTTR (Wiederherstellen)
ZeitfensterVom Vorfallbeginn bis zur ErkennungVon der Erkennung bis zur vollständigen Wiederherstellung
LeitfrageWie lange waren wir blind?Wie lange bis zur Eindämmung und Wiederherstellung?
Wichtigste HebelProtokollabdeckung, Erkennungsabstimmung, Threat IntelligencePlaybooks, Automatisierung, Handlungsbefugnis, Backups
WerkzeugeSIEM, EDR, BedrohungserkennungSOAR, IR-Runbooks, Wiederherstellungswerkzeuge
Schwerpunkt des VerantwortlichenDetection Engineering und MonitoringIncident Response und Betrieb

Wie die Kennzahlen in Standards und Benchmarks auftauchen

Rahmenwerke schreiben in der Regel keinen bestimmten MTTD- oder MTTR-Zielwert vor, weil die richtige Zahl von der Organisation und der Bedrohung abhängt. Was sie verlangen, ist die Fähigkeit und die Messung. Die ISO/IEC 27035 legt den Lebenszyklus des Vorfallmanagements fest, den diese Kennzahlen quantifizieren. Die NIST-Leitlinien zur Vorfallbehandlung gliedern Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung in eigenständige Phasen, was genau die Struktur ist, auf der MTTD und MTTR aufsetzen.

Die ENISA und nationale Behörden wie die ANSSI vermitteln dieselbe operative Botschaft: früh erkennen, schnell reagieren und in der Lage sein, dies nachzuweisen. Regulatorische Regime fügen harte externe Fristen hinzu, etwa die Meldefenster für Verletzungen nach der DSGVO und die Meldepflichten für Vorfälle nach NIS2 und DORA, die einen Teil Ihrer Reaktionszeit von einem Leistungsziel in eine Compliance-Anforderung verwandeln.

Benchmarks für beide Kennzahlen liegen branchenweit tendenziell unangenehm hoch, oft im Bereich von Tagen oder Wochen für die Erkennung, während reife Programme Stunden anstreben. Einem veröffentlichten Benchmark hinterherzujagen ist jedoch der falsche Instinkt. Der Wert von MTTD und MTTR liegt in den Trendlinien, die Ihnen gehören: messen Sie sie konsequent, beobachten Sie die Richtung über Quartale hinweg und verknüpfen Sie die Bewegung mit konkreten Investitionen in Sichtbarkeit, Feinabstimmung und Automatisierung. Eine ehrlich definierte und stetig sinkende Zahl ist weit mehr wert als ein schmeichelhafter Einzelwert.

Frequently asked questions

01Was ist der Unterschied zwischen MTTD und MTTR?

MTTD (mean time to detect) ist die durchschnittliche Zeit vom Beginn eines Vorfalls bis zu seiner Erkennung. MTTR (mean time to recover) ist die durchschnittliche Zeit von der Erkennung bis zur vollständigen Wiederherstellung. MTTD misst, wie lange Sie blind waren; MTTR misst, wie lange es dauerte, einzudämmen und wiederherzustellen.

02Wofür steht MTTR?

In einem Sicherheitskontext bedeutet MTTR meist mean time to recover oder mean time to respond, die Spanne von der Erkennung bis zu einer verifizierten Rückkehr zum normalen Betrieb. Dasselbe Akronym wird in der Zuverlässigkeitstechnik auch für mean time to repair verwendet, daher lohnt es sich, die Definition zu bestätigen, bevor man Zahlen vergleicht.

03Was ist ein guter MTTD und ein guter MTTR?

Es gibt kein universelles Ziel. Branchenbenchmarks liegen oft im Bereich von Tagen oder Wochen für die Erkennung, während reife Programme Stunden anstreben. Die nützlichere Frage ist, ob Ihre eigenen, konsequent gemessenen Zahlen im Lauf der Zeit nach unten tendieren.

04Wie reduziert man MTTD und MTTR?

Senken Sie den MTTD mit breiterer Protokollabdeckung, besserer Erkennungsabstimmung und Threat Intelligence, die ein gut betriebenes SIEM speist. Senken Sie den MTTR mit dokumentierten Playbooks, getesteten Backups, klarer Handlungsbefugnis und Automatisierung über ein SOAR, um manuelle Verzögerungen zu beseitigen.

05Schreiben Vorschriften bestimmte MTTD- oder MTTR-Werte vor?

Die meisten Rahmenwerke verlangen die Fähigkeit, zu erkennen und zu reagieren, statt einer festen Zahl. Allerdings setzen die Meldefristen für Verletzungen nach der DSGVO und die Meldepflichten für Vorfälle nach NIS2 und DORA faktisch gesetzliche Obergrenzen für Teile Ihrer Reaktionszeit.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.