Agentic AI hat sich 2025 schnell zu einem der meistdiskutierten Begriffe im Bereich Cybersicherheit entwickelt. Doch was zeichnet Agentic AI nun konkret aus und welche Unterschiede bestehen zu einer grundlegenden Automatisierung oder zu verbesserten Assistenten? Experten für MXDR bringen Licht ins Dunkel.
Für diejenigen, die Agentic AI effizient und zielführend im Bereich Security nutzen möchten, ist es wichtig, über Schlagworte hinauszugehen und die Funktionsweise ins Blickfeld zu rücken. Dabei sollten nach Ontinue, der Experte für Managed Extended Detection and Response (MXDR), fünf Kernmerkmale im Fokus stehen, die Agentic AI wirklich agentisch machen.
- Autonome Aufgabenausführung – nicht nur Automatisierung
Agentic AI geht weit über einfache regelbasierte oder Supervised-Learning-Modelle hinaus. Sie führt End-to-End-Aufgaben aus, ohne dass für jeden Schritt explizite Anweisungen durch Menschen erforderlich sind. Mögliche Beispiele sind:
- das Sammeln von Daten aus mehreren Systemen (etwa Identität, Endpunkt, Cloud oder Log-Quellen)
- die Formulierung von Hypothesen auf der Grundlage von Kontextanalysen
- die Validierung dieser Hypothesen durch eine aktive Untersuchung
- das Vorschlagen oder Einleiten von Maßnahmen auf der Grundlage von Schlussfolgerungen
Während herkömmliche KI oft menschliche Eingaben erfordert oder innerhalb enger, deterministischer Arbeitsabläufe funktioniert, arbeitet Agentic AI eher wie ein Junior-Analyst, der Initiativen ergreifen kann. Sie ist zielorientiert und situationsbewusst.
- Multi-Agent-Zusammenarbeit und Rollenspezialisierung
Ein charakteristisches Merkmal fortschrittlicher Agentic AI ist der Einsatz mehrerer spezialisierter Agenten, die zusammen auf ein gemeinsames Ergebnis hinarbeiten. Anstelle eines monolithischen Modells unterteilen agentenbasierte Systeme den Untersuchungsprozess häufig in einzelne Rollen, etwa:
- Datenerfassungs-Agenten
- Korrelations-Agenten
- Risikobewertungs-Agenten
- Narrative Zusammenfassungs-Agenten
Jeder Agent erfüllt seine Rolle unabhängig, trägt jedoch zu einem kollektiven Untersuchungsprozess bei. Dies spiegelt die Struktur eines menschlichen SOC-Teams wider, in dem die Arbeitsteilung eine komplexere und skalierbare Analyse ermöglicht.
- Kontextuelle Folgerungen und Hypothesentests
Agentic AI erkennt nicht nur Muster, sondern stellt auch Schlussfolgerungen an. Bei der Untersuchung eines Brute-Force-Anmeldeversuchs beispielsweise identifiziert ein agentisches System nicht nur fehlgeschlagene Logins. Es bewertet, ob das Muster zu einem tatsächlichen Angriff oder einer falsch konfigurierten Anwendung passt, indem es historische Verhaltensweisen, IP-Reputation, Geolokalisierung und Authentifizierungsmethoden miteinander vergleicht.
Dieses Vorgehen ist hypothesengetrieben: Die agentische KI fragt sich: »Was könnte dieses Signal erklären? Welche Daten benötige ich, um diese Erklärung zu bestätigen oder zu widerlegen?« Mit einem solchen Ansatz werden Untersuchungen von einer reaktiven Alarmüberprüfung in eine proaktive Erkennung verwandelt.
- Kontinuierliches Lernen und Feedback-Schleifen
Viele Systeme, die behaupten, KI-gestützt zu sein, sind nach ihrer Bereitstellung statisch. Echte Agentic AI hingegen ist darauf ausgelegt, sich weiterzuentwickeln. Sie erfasst das Feedback von Analysten, erfolgreiche (oder fehlgeschlagene) Aktionen und neue Bedrohungsinformationen, um das zukünftige Verhalten zu verfeinern.
Dies umfasst sowohl die überwachte Verstärkung (Human-in-the-Loop) als auch die nicht überwachte Musteranpassung. Agentische Systeme werden mit der Zeit intelligenter, passen ihre Logik an die jeweilige Kundenumgebung an und reagieren auf neue Bedrohungen, ohne dass ein manuelles Retraining erforderlich ist.
- Menschliche Zusammenarbeit ohne menschliche Abhängigkeit
Der vielleicht wichtigste Punkt ist, dass Agentic AI nicht darauf abzielt, Menschen zu ersetzen – sie unterstützt sie vielmehr. Das heißt, sie übernimmt die repetitiven und datenintensiven Teile von Untersuchungen, sodass sich Menschen auf die Beurteilung, Eskalation und Lösung fokussieren können.
Im Gegensatz zu älteren Automatisierungslösungen ist Agentic AI auch nicht auf Menschen angewiesen, um Kontextlücken zu füllen oder vage Warnmeldungen zu interpretieren. Wenn die KI einen Vorfall an einen menschlichen Analysten weiterleitet, stellt sie Folgendes bereit:
- vollständige Untersuchungsschritte
- eine Argumentation
- Sicherheitslevels für die Ergebnisse und mögliche Einschränkungen
- Next-Best-Action-Vorschläge
Auf diese Weise wird die Lösungsfindung und -umsetzung beschleunigt.
»Agentic AI ist keine Funktion, sondern ein Framework für die Entwicklung intelligenter, anpassungsfähiger und kollaborativer Systeme. Im Bereich von Sicherheitsmaßnahmen ermöglicht uns dieser Ansatz endlich, das Skalierungsproblem zu adressieren, das seit jeher eine Herausforderung für traditionelle MDR-Lösungen darstellt: zu viele Warnmeldungen und zu wenige Analysten«, erklärt Theus Hossmann, Chief Technology Officer bei Ontinue. »Indem wir Maschinen in die Lage versetzen, selbstständig zu urteilen, zusammenzuarbeiten und zu handeln, können wir die Untersuchungszeit verkürzen, mehr Bedrohungen ohne menschliche Engpässe beseitigen und Verteidigern tiefere Einblicke in Echtzeit bieten. Mit Agentic AI stehen wir am Anfang eines neuen Kapitels in SecOps – eines, in dem KI nicht nur reaktiv, sondern wirklich agentisch ist.«
Welche Maßnahmen sollten ergriffen werden, bevor man KI-Agenten in der Cybersecurity einsetzt?
Gute Gegenmaßnahmen müssen Identität, Zugriff, Prozess‑Design, Plattform‑Härtung, Überwachung und Governance gleichzeitig adressieren. Ziel: Nutzen von KI‑Agenten sichern, Missbrauchs‑ oder Betriebsrisiken minimieren und Wiederherstellbarkeit gewährleisten.
Identitäten und Zugriffskontrollen
- Agenten als eigene Identitäten:
Jede Agent‑Instanz erhält ein eindeutiges, auditierbares Konto statt gemeinsamer Service‑Accounts.
- Kurzlebige Credentials und Delegation:
Verwende kurzlebige Tokens (OAuth/OIDC, AWS STS etc.) oder Just‑In‑Time (JIT)‑Zugriffsdelegation, damit Langzeit‑Geheimnisse nicht auf Geräten liegen.
- Principle of Least Privilege:
Vergib nur die minimal nötigen Rechte pro Use‑Case; teste Rechte mit »canary« Accounts, die absichtlich eingeschränkt sind.
- RBAC und Scope‑Beschränkung:
Rollenbasierte Zugriffskontrolle mit fein granularen Scopes (z. B. nur Leserechte für Erkennung, Schreibrechte nur nach Freigabe).
- Credential Vaulting:
Alle Secrets in einem geprüften Secrets‑Store (HashiCorp Vault, Azure Key Vault) mit strikter Zugriffskontrolle und Aufbewahrungslogik.
KPIs: Prozent Agenten mit kurzlebigen Tokens; Anteil Agenten mit Least‑Privilege (Target ≥ 90 %).
Just‑In‑Time, Just‑Enough, Menschen in der Schleife
- JIT‑Privilegien für kritische Aktionen:
Agenten fordern temporär höhere Rechte an, nur nach validierter Genehmigung.
- Mensch‑in‑der‑Schleife‑Modus:
Standard: Agenten erzeugen Empfehlungen; kritische Remediations‑Schritte (Netzwerk‑Isolierung, Kontosperrung, Produktivänderung) benötigen explizite menschliche Bestätigung.
- Graduierte Automatisierung:
Stufenmodell — Beobachtung → Vorschlag → Teilautomatisch (niedrigriskant) → Vollautomatisch (nur getestete Playbooks).
- Kontextsensitive Freigaben:
Autorisierungsregeln berücksichtigen Zeit, Risikoprofil, Herkunfts‑IP und parallele Alerts vor Freigabe.
KPIs: Anteil automatisierter Aktionen mit Mensch‑Freigabe; Errors prevented by human approvals.
Sichere Playbooks, Modell‑Governance und Explainability
- Sorgfältig geprüfte Playbooks:
Alle automatischen Playbooks durchlaufen Code‑Review, Security‑Review und Test‑Szenarien (Unit, Integration, Chaos‑Tests).
- Kontrollierte Modell‑Updates:
Modell‑Retraining und Prompt‑Änderungen nur über Change‑Control mit Canary‑Deployments und A/B‑Vergleich.
- Explainability‑Logging:
Jede Empfehlung muss Begründung, Datenbasis (z. B. Indikatoren/Logs) und Konfidenz‑Score liefern; diese Infos werden im Ticket/Case protokolliert.
- Rollback‑Mechanismen:
Für jede automatisierte Aktion gibt es präzise Rücksetz‑Playbooks und Fail‑Safe‑Checks.
KPIs: Anzahl fehlerhafter automatischer Aktionen; Zeit bis Rollback.
Plattformhärtung und sichere Entwicklung
- Secure‑by‑Design:
Agentenplattformen mit Hardened‑Baseline (Container Security, WAF, API‑Gateway, Network ACLs).
- Secure SDLC:
Threat Modeling, SAST/DAST, Dependency‑Scanning, Geheimnis‑Scans im CI/CD.
- Isolationsprinzip:
Laufzeitisolation (Sandboxing) für Agenten, keine direkte Ausführung von Shell‑Befehlen auf Produktions‑Hosts ohne Gateway.
- API‑Security:
Ratenbegrenzung, Input‑Sanitization, Strict Content‑Validation, Monitoring auf ungewöhnliche Patterns.
- Penetration‑Tests & Red‑Team:
Regelmäßige Tests, inklusive Attack‑Paths, Model Poisoning‑Szenarien und lateral movement über Agenten.
KPIs: Anzahl kritischer Findings pro Test; Zeit bis Remediation.
Monitoring, Auditierung und Forensik
- Umfassende Telemetrie:
Alle Agent‑Aktionen, Entscheidungs‑Inputs, API‑Calls und Credential‑Requests werden unveränderlich (WORM) geloggt.
- Real‑Time Detection:
SIEM/EDR korreliert Agent‑Telemetry mit Threat‑Feeds; Alerts für anomale Agentenaktivität (z. B. plötzliche Rechteanfrage, ungewöhnliche API‑Nutzung).
- Audit Trails und Revisionssicherheit:
Vollständige, signierte Audit‑Logs mit Hash‑Kette; Aufbewahrung gemäß Compliance.
- Forensik‑Playbook:
Vorgefertigte Schritte zur Isolierung eines kompromittierten Agenten, Erfassung von Artefakten und Wiederherstellung.
- Drift‑Monitoring:
Erkennung von Modell‑Drift, Performance‑Änderungen und Anomalien in Input‑Distributions (Hinweis auf Data Poisoning).
KPIs: MTTD/MTTR für Agent‑Anomalien; Vollständigkeitsrate der Telemetrie.
Governance, Prozesse und Vendor‑Due‑Diligence
- Policy‑Framework für Agenten:
Richtlinien zu Einsatzbereichen, Privilegien, Data‑Handling, Privacy und Audit.
- Vendor‑Assessments:
Sicherheitsbewertungen, Pen‑Test‑Berichte, SLAs, offene Disclosure‑Regeln; vertragliche Anforderungen zu Geheimnismanagement und Patch‑Fenstern.
- Change‑Control und Approval‑Boards:
Änderungen an Agenten, Playbooks oder Modellparametern nur nach formalem Review.
- Training und Rollenverständnis:
SOC‑Analysten, Incident‑Responder und DevOps geschult im Umgang, Limitations‑Awareness und Troubleshooting von Agenten.
- Kontinuierliche Überprüfung:
Vierteljährliche Risiko‑Reviews, jährliche Audits und Policy‑Updates.
KPIs: Anzahl geprüfter Vendoren; Aktualität der Playbooks; Abschlussrate der Trainings.
Welche Probleme können beim Einsatz von KI-Agenten in der Cybersicherheit (SOC) entstehen?
KI‑Agenten können SOC‑Abläufe erheblich beschleunigen, zugleich erzeugen sie neue, teils neuartige Risiken — vor allem wenn Identitäten, Privilegien, Integration und Governance nicht von Anfang an bedacht werden.
Hauptprobleme beim Einsatz von KI‑Agenten im SOC
- Agenten‑Identitäten und privilegierte Zugriffe
KI‑Agenten werden zu einer neuen Identitätsklasse mit potenziell weitreichenden Rechten; unklare oder zu großzügige Berechtigungen erlauben unbeabsichtigte Aktionen oder Missbrauch durch Angreifer.
- Fehlende Transparenz und Nachvollziehbarkeit
Agenten treffen autonome Entscheidungen und führen automatisierte Gegenmaßnahmen aus. Ohne nachvollziehbare Entscheidungswege steigen Fehlverhalten, falsch ausgeführte Aktionen und Haftungsfragen.
- False Positives, Overfitting und Vertrauen
Schlechte Trainingsdaten oder fehlende Playbooks führen zu vielen Fehlalarmen, Overfitting auf Trainingsszenarien und damit zu Analystenüberlastung statt Entlastung.
- Integration und Systemkomplexität
Viele Anbieter liefern einzelne Agenten‑Komponenten statt integrierter Systeme; heterogene Agenten können Workflows stören, Interoperabilität verhindern und Kosten/Troubleshooting erhöhen.
- Sicherheitslücken in Agentensoftware
Agenten selbst können Schwachstellen, unsichere APIs oder Geheimnisverwaltungsschwächen enthalten, die Angreifer für laterale Bewegung oder Übernahme nutzen.
- Angriffsvektor »Model Poisoning« und Datenmanipulation
Manipulation von Trainingsdaten oder externen Wissensquellen kann Modellantworten vergiften und damit falsche Entscheidungen provozieren.
- Regulatorische und Compliance‑Risiken
Automatisierte Aktionen gegen personenbezogene Daten oder kritische Infrastruktur können DSGVO‑/Audit‑Risiken und Verantwortlichkeitsfragen aufwerfen, wenn keine klare Governance besteht.
Operative Folgen für den SOC
- Vertrauensverlust und reduzierte Akzeptanz bei Analysten, wenn Agenten inkonsistent oder falsch handeln.
- Erhöhte Angriffsfläche durch zusätzliche Identitäten, Kommunikationskanäle und Integrationspunkte.
- Kosten‑ und Managementaufwand durch Wildwuchs an nicht harmonisierten Agentenlösungen und notwendige Kontrollen.
Praktische Gegenmaßnahmen (Kurzüberblick)
- Identity as first class citizen:
Agenten eindeutige, kurzlebige, minimal‑privilegierte Identitäten geben; Delegationstoken und Zero‑Trust‑Kontrollen einsetzen.
- Strikte Berechtigungs‑ und Lifecycle‑Kontrolle:
Just‑in‑time‑Privilegien, Audit‑Logs, regelmäßige Rezertifizierung und Rollen‑/Policy‑Governance für Agenten.
- Kleine, streng kontrollierte Pilotprojekte:
schrittweise Einführung auf klar definierte Use‑Cases; Messung von MTTD/MTTR und Falschalarmraten.
- Transparente Playbooks und Mensch‑in‑der‑Schleife:
automatisierte Vorschläge zuerst zur Bestätigung; nur geprüfte Playbooks zur autonomen Ausführung freigeben.
- Härtung der Agentenplattform:
sichere Secrets‑/Token‑Stores, Input‑Sanitization, RBAC, API‑Hardening und Pen‑Tests/Red‑Team für Agenten.
- Monitoring, Forensik und Explainability:
umfassendes Telemetry, nachvollziehbare Entscheidungsprotokolle und Rückfall‑/Rollback‑Mechanismen.
- Governance, Vendor‑Due‑Diligence, SLAs:
klare Anforderungen an Anbieter, Identity‑Security‑Kontrollen und vertragliche SLAs für Sicherheit und Support.
Empfehlung kurz
Starte klein, sichere Agenten‑Identitäten und Privilegien zuerst, integriere menschliche Freigaben für kritische Aktionen und verankere Agenten‑Kontrollen in bestehende SOC‑Governance. So realisiert man Effizienzgewinne, ohne neue, schwer beherrschbare Risiken zu schaffen.
