Securing the highly complex infrastructures of modern organizations against innovative and targeted cybersecurity threats is becoming increasingly challenging. While automated security mechanisms have been significantly improved throughout recent years, they struggle to detect unknown, multi-layered attacks. Only security experts with suitable domain knowledge can surface the respective threats and incidents through in-depth analyses, which makes them an indispensable asset for effective and comprehensive cybersecurity. Therefore, it is necessary to explore how their analysis tasks can be supported and how they can be integrated into cybersecurity activities. Visual Analytics provides a well-established pathway for involving human domain knowledge in complex analytical tasks. However, the body of work applying Visual Analytics to domain problems within cybersecurity is limited and existing work often either lacks visual efficiency or falls short in involving security domain knowledge.
This dissertation sheds light on how Visual Analytics can be leveraged within the cybersecurity domain. As a foundation, the working environment of security experts, formal notions of security-relevant knowledge, and a fundamental iterative process for incident detection are defined. Subsequently, Visual Analytics approaches are leveraged to integrate domain experts into different steps of this process and to support experts’ analytical tasks. First, Visual Analytics is utilized to integrate security experts into identifying imminent threats and help them interpret indicators of compromise. Second, when a threat has been detected, security experts need to be supported in the in-depth forensic analysis of the incident. In a third step, Visual Analytics enables the integration of cybersecurity analysts’ knowledge into threat intelligence, which provides semantic and actionable insights about an incident.
This work provides a baseline to bridge the gap between Visual Analytics and the cybersecurity domain by highlighting how methodically sound visualization designs can support security experts with their complex analytical tasks. Thus, it indicates a way towards more efficient and comprehensive cybersecurity activities in organizations.

Die Sicherung der hochkomplexen Infrastrukturen moderner Unternehmen gegen innovative und gezielte Bedrohungen der Cybersicherheit wird immer schwieriger. Zwar wurden die automatisierten Sicherheitsmechanismen in den letzten Jahren erheblich verbessert, doch können sie unbekannte, vielschichtige Angriffe nur schwer erkennen. Nur Sicherheitsexperten mit entsprechendem Fachwissen können die jeweiligen Bedrohungen und Vorfälle durch eingehende Analysen aufdecken, was sie zu einem unverzichtbaren Faktor für eine effektive und umfassende Cybersicherheit macht. Daher muss untersucht werden, wie ihre Analyseaufgaben unterstützt und in Aktivitäten der Cybersicherheit integriert werden können. Visual Analytics bietet einen gut etablierten Weg, um menschliches Fachwissen in komplexe Analyseaufgaben einzubinden. Allerdings ist die Zahl der Arbeiten, die Visual Analytics auf Problemstellung im Bereich der Cybersicherheit anwenden, begrenzt, und den vorhandenen Arbeiten mangelt es oft entweder an visueller Effizienz oder sie beziehen das Wissen der Sicherheitsdomäne nur unzureichend ein.
Diese Dissertation beleuchtet, wie Visual Analytics im Bereich der Cybersicherheit eingesetzt werden kann. Als Grundlage werden die Arbeitsumgebung von Sicherheitsexperten, formale Begriffe von sicherheitsrelevantem Wissen und ein grundlegender iterativer Prozess zur Erkennung von Vorfällen definiert. Anschließend werden Visual-Analytics-Ansätze eingesetzt, um Domänenexperten in verschiedene Schritte dieses Prozesses zu integrieren und die analytischen Aufgaben der Experten zu unterstützen. Zunächst wird Visual Analytics eingesetzt, um Sicherheitsexperten in die Identifizierung drohender Bedrohungen einzubinden und ihnen bei der Interpretation von Indikatoren für eine Gefährdung zu helfen. Zweitens, wenn eine Bedrohung erkannt wurde, müssen die Sicherheitsexperten bei der eingehenden forensischen Analyse des Vorfalls unterstützt werden. In einem dritten Schritt ermöglicht Visual Analytics die Integration des Wissens von Cybersicherheitsanalysten in Bedrohungsdaten, die semantische und umsetzbare Erkenntnisse über einen Vorfall liefern.
Diese Arbeit bietet eine Grundlage, um die Lücke zwischen Visual Analytics und dem Cybersicherheitsbereich zu schließen, indem sie aufzeigt, wie methodisch fundierte Visualisierungsdesigns Sicherheitsexperten bei ihren komplexen analytischen Aufgaben unterstützen können. Damit zeigt sie einen Weg zu effizienteren und umfassenderen Cybersecurity-Aktivitäten in Organisationen auf.