Illustration Absmeier foto freep

Die anfängliche Euphorie um KI-gesteuerte Security Operations Center (SOC) wich nach zahlreichen Fehlalarmen und Automatisierungsfehlern einer realistischeren Sicht: Über 80 % der Unternehmen berichten, dass generische KI-Lösungen kaum nennenswerte Ergebnisse gebracht haben. Sicherheitsteams bevorzugen mittlerweile erklärbare, assistive KI, die nachvollziehbare Empfehlungen liefert und das menschliche Urteilsvermögen unterstützt, statt Black-Box-Automatisierung, die zu Vertrauensverlust und ineffizienter Arbeit führt. Moderne Plattformen setzen auf KI-Funktionen, die Zusammenfassungen und Berichte transparent mit den zugrunde liegenden Daten verknüpfen, sodass Analysten Entscheidungen nachvollziehen und kontrollieren können – ein Ansatz, der zu schnelleren, klareren und vertrauenswürdigen Sicherheitsmaßnahmen führt.

Vor einem Jahr habe ich beobachtet, wie die Branche das KI-gesteuerte Security Operations Center (SOC) als ultimative Lösung begrüßte. Ende 2025, nach einem Jahr voller KI-Halluzinationen, Fehlalarmen und hochkarätigen Automatisierungsfehlern, hat die Branche ihren Kurs geändert. Die Untersuchungen von McKinsey bestätigen dies: Nach einer Welle von Experimenten geben mehr als 80 % der Unternehmen an, dass ihre generischen KI-Implementierungen keine nennenswerten Ergebnisse gebracht haben [1].

Ich habe beobachtet, dass künstliche Intelligenz (KI) und andere automatisierte Tools in der Cybersicherheit zwar Effizienz versprechen, aber selten für Klarheit oder Vertrauen sorgen. Infolgedessen hat sich die Art und Weise, wie KI und andere automatisierte Tools in der Cybersicherheitsumgebung eingesetzt werden, weiterentwickelt, wobei Teams assistive, erklärbare KI bevorzugen, die sie überprüfen können. Die Diskussion hat sich offiziell von KI-gesteuerten SOCs zu KI-unterstützten Analysten verlagert.

Für diejenigen unter uns, die schon länger in der Sicherheitsbranche tätig sind, sollte diese Hype-Kurve keine Überraschung sein. Wir haben diese Kurve schon einmal gesehen. Erinnern Sie sich daran, als

Threat Intelligence die Sicherheitsprobleme lösen sollte (wirklich – wenn ich die IP-Adresse des Angreifers kenne, kann ich alle Bedrohungen stoppen, oder?)
Cloud-Computing/Cloud-Speicher alle Herausforderungen im Bereich SIEM-Skalierung und Datenmanagement lösen würden.
NoSQL die Probleme bei der Suche und Erkennung lösen würde.
Maschinelles Lernen die Sicherheitsprobleme lösen würde, denn wenn es sich um eine Anomalie handelt, muss es sich doch um einen Bedrohungsakteur handeln, oder?
KI löst sowohl Probleme bei der Erkennung als auch bei der Automatisierung.

Jede Technologie folgt der Hype-Kurve. Es gibt keine Ausnahmen. Das bedeutet, dass es eine »Produktivitätsplateau« gibt, auf dem die Technologie einen realen Platz findet, um Anwendungsfälle zu lösen. Schließlich nutzen wir Threat Intelligence, Cloud-Ressourcen, NoSQL und maschinelles Lernen als Teil unseres Sicherheitsstacks. Auch große Sprachmodelle werden ihren rechtmäßigen Platz finden, an dem sie effektiv eingesetzt werden können.

Wo KI-Versprechen zu Belastungen wurden

Die aktuelle Herausforderung bei der Verwendung von LLM in Sicherheitstools ist die Priorisierung von Automatisierung gegenüber Transparenz. Das System kennzeichnet Aktivitäten als kritisch, und von Analysten wird erwartet, dass sie handeln, ohne zu verstehen, warum. LLMs können sich irren, und wenn dies geschieht, verschwenden Teams Zeit damit, falschen Hinweisen nachzugehen, oder übersehen echte Bedrohungen, die unter schlechten Empfehlungen verborgen sind.

Dies wird zu einem Problem, wenn:

Junior-Analysten die Empfehlungen oder Maßnahmen des LLM nicht überprüfen können.
Die leitenden Mitarbeiter zu sehr ausgelastet sind, um jede Maßnahme der agentenbasierten KI zu überprüfen.
Halluzinationen oder unerklärliche Maßnahmen zu einem Vertrauensverlust führen.

Die Hinwendung zu erklärbarer KI spiegelt wider, was Sicherheitsteams schon immer gesagt haben. Vorhersagen ohne Kontext oder automatisierte Reaktionen, die das menschliche Urteilsvermögen ausschalten, funktionieren einfach nicht. Unternehmen brauchen Systeme, die Erkenntnisse liefern, die Gründe dafür erklären und den Analysten die Entscheidung über das weitere Vorgehen überlassen.

Die Teams müssen weiterhin Störfaktoren ausblenden, Untersuchungen beschleunigen und mit weniger Ressourcen arbeiten. Was sie nicht brauchen, ist ein weiteres Black-Box-Tool, das Entscheidungen trifft, die sie nicht überprüfen oder denen sie nicht vertrauen können. Da weniger als 10 % der Anwendungsfälle für allgemeine KI die Pilotphase überstehen, ist klar, dass die Black-Box-Automatisierung hinter den Erwartungen zurückgeblieben ist. Analysten verlangen nach Systemen, die ihre Arbeit offenlegen, und sie benötigen Tools, die zeigen, wie sie zu einer Schlussfolgerung gekommen sind, welche Daten ihre Entscheidung beeinflusst haben und warum bestimmte Warnmeldungen als kritisch gekennzeichnet wurden.

Wie dies in der Praxis aussieht

Die Prinzipien sind recht einfach. Jede KI-gestützte Erkenntnis sollte auf zugrunde liegende Daten zurückgeführt werden können, jede Zusammenfassung sollte überprüfbar sein und jede Empfehlung sollte den Kontext enthalten, den Analysten benötigen, um sicher handeln zu können.

Dies ist der Ansatz, den wir bei der Entwicklung der KI-gestützten Funktionen in Version 7.0 unserer Plattform verfolgt haben. Die Graylog-Plattform umfasst nun die folgenden Funktionen:

Die Dashboard-Zusammenfassung konzentriert sich auf wesentliche Informationen, indem sie in einfacher Sprache Zusammenfassungen der Vorgänge in den Protokolldaten erstellt. Anstatt Dutzende von Widgets zu scannen, um Trends zu verstehen, erhalten Analysten klare Übersichten, die das Wesentliche hervorheben. Die Zusammenfassung ist direkt mit den zugrunde liegenden Abfragen und Daten verknüpft. Analysten können Details aufrufen, Quellen überprüfen und genau verstehen, warum die KI etwas als wichtig gekennzeichnet hat.

Von der KI erstellte Untersuchungsberichte wandeln Rohdaten in strukturierte, schrittweise Zusammenfassungen um. Diese Berichte enthalten:

Zeitleisten, die den Verlauf von Vorfällen abbilden
Priorisierte nächste Schritte zur Behebung
Beweisspuren, die Analysten überprüfen und bearbeiten können

Die KI ersetzt nicht das Urteilsvermögen der Analysten. Sie beschleunigt den Prozess der Organisation von Erkenntnissen, sodass Teams schneller von der Erkennung zur Reaktion übergehen können.

Frameworks, die Kunden die Kontrolle darüber geben, welche KI-Modelle sie verwenden, sind wichtig für Datenschutz, Compliance und Vertrauen. Anstatt Teams an proprietäre Systeme zu binden, ermöglichen Ansätze wie das Model Context Protocol Unternehmen, ihre eigenen Modelle einzubringen, seien es kommerzielle LLMs oder domänenspezifische Modelle, die auf ihren Daten trainiert wurden. Diese Frameworks setzen eine strenge Governance durch und stellen sicher, dass KI-Interaktionen innerhalb der Benutzerberechtigungen und Lizenzkontrollen bleiben. Analysten können Fragen in natürlicher Sprache stellen und erhalten verifizierte Daten ohne Halluzinationen zurück.

Der wichtige Mentalitätswandel

Der Trend zu erklärbarer KI steht für eine umfassendere Erkenntnis. Sicherheitstools sollten das Fachwissen von Analysten ergänzen.

KI ist am nützlichsten, wenn sie:

sich wiederholende Arbeiten reduziert
Muster aufzeigt, die Menschen möglicherweise übersehen
chaotischen Daten Struktur verleiht

Sie versagt jedoch, wenn sie:

versucht, Entscheidungen autonom zu treffen
den Entscheidungsprozess verschleiert
menschliches Urteilsvermögen aus kritischen Arbeitsabläufen entfernt

Dieser Wandel erfordert, dass Anbieter aufhören, zu viel zu versprechen. Derzeit sind autonome SOCs für die meisten Unternehmen nicht realistisch. Realistische Erwartungen an KI sind, dass Junior-Analysten schneller triagieren können, sodass sich Senior-Teams auf komplexe Untersuchungen konzentrieren können und sichergestellt ist, dass jede Entscheidung durch überprüfbare Beweise gestützt wird.

Sicherheitsteams brauchen KI, der sie vertrauen und die sie kontrollieren können. Das bedeutet, dass KI in jedem Schritt erklärbar sein muss, von den Erkenntnissen aus dem Dashboard über Untersuchungsberichte bis hin zu den Modellen, für deren Einsatz sich Unternehmen entscheiden. Das Ergebnis sind schnellere Untersuchungen, weniger Störgeräusche und Sicherheitsmaßnahmen, die auf Klarheit statt auf Vermutungen basieren.

Andy Grolnick, CEO vom SIEM-Sicherheitsanbieter Graylog

Grolnick verfügt über mehr als dreißig Jahre Erfahrung im Aufbau und in der Führung wachstumsstarker Technologieunternehmen in den Bereichen Unternehmenssoftware, Sicherheit und Storage. Sein Fokus hochwertige Produkte bereitzustellen sowie den Kundenerfolg und eine starke Unternehmenskultur zu fördern sind sein Erfolgsrezept.

[1] https://www.mckinsey.com/capabilities/quantumblack/our-insights/seizing-the-agentic-ai-advantage

4117 Artikel zu „KI Cybersicherheit“

News | IT-Security | Künstliche Intelligenz

So ticken KI-Agenten für Cybersicherheit wirklich

21. Februar 2026

Immer mehr Security Operation Centers (SOC) setzen im Kampf gegen Hacker und Downtimes auf die Hilfe künstlicher Intelligenz. KI-Agenten, die wie SOC-Teams miteinander autonom kollaborieren, sind in diesem Zusammenhang die neueste Evolutionsstufe. Ontinue, der führende Experte für Managed Extended Detection and Response (MXDR), wirft einen Blick unter die Haube solcher Multi-Agenten-Systeme. Multi-Agenten-Systeme (MAS), bestehend…