Definition. Sicherheits-Disziplin, die Prozesse, Netzwerk und Datei-Aktivität während der Ausführung beobachtet und bewertet, statt sich auf statische Prüfungen (SAST, Image-Scans) zu verlassen. Typische Bausteine sind eBPF-basierte Sensoren (Falco, Tetragon), syscall-Monitoring und Verhaltensregeln gegen Drift.

Warum relevant. Statische Prüfungen fangen Schwachstellen vor dem Deploy. Runtime Security fängt das, was trotzdem passiert: kompromittierte Images, ungewollte Konfigurations-Drift, Insider-Aktionen und Live-Exploitation von Zero-Days.

Verwandt. Falco, Tetragon, Threat Detection, Container Escape, DevSecOps