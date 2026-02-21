Immer mehr Security Operation Centers (SOC) setzen im Kampf gegen Hacker und Downtimes auf die Hilfe künstlicher Intelligenz. KI-Agenten, die wie SOC-Teams miteinander autonom kollaborieren, sind in diesem Zusammenhang die neueste Evolutionsstufe. Ontinue, der führende Experte für Managed Extended Detection and Response (MXDR), wirft einen Blick unter die Haube solcher Multi-Agenten-Systeme.

Multi-Agenten-Systeme (MAS), bestehend aus hochspezialisierten KI-Agenten, die im Verbund miteinander arbeiten, sind vor allem im Cybersecurity-Kontext auf dem Vormarsch. Als integraler Bestandteil mancher KI-basierter SecOps-Plattformen übernehmen sie mittlerweile eigenständig Tier-2- und Tier-3-Incident-Untersuchungen, erstellen detaillierte Analyseberichte und formulieren Handlungsempfehlungen, die menschliche Security-Analysten validieren. Dafür zerlegen MAS komplexe Aufgaben selbstständig in Teilprozesse und replizieren damit die Arbeitsweise eines gesamten SOC-Teams. Der Unterschied: Sie liefern Ergebnisse innerhalb weniger Minuten, wofür menschliche Analysten 30 Minuten bis zu mehrere Stunden benötigen. Ontinue erklärt Schritt für Schritt, wie genau Multi-Agenten-Systeme vorgehen:

Schritt 1: Eine erste Hypothese erstellen

Ähnlich wie ein menschlicher Analyst wertet ein KI-Agent die initial verfügbaren Informationen aus. Dazu gehören beispielsweise ausgelöste Alarme und Meldungen über beteiligte Entitäten, welche IT-Umgebungen betroffen sind sowie aktuell offene oder abgeschlossene Incidents. Auf dieser Basis stellt der Agent eine erste Hypothese auf, was passiert sein könnte.

Schritt 2: Die Untersuchung beginnen

Auf Grundlage der ersten Hypothese entwickelt der KI-Agent einen strukturierten Untersuchungsplan, um den tatsächlichen Vorfall zu rekonstruieren. Im Zuge dessen validiert oder verwirft das Multi-Agenten-System die ursprüngliche Annahme und ergänzt sie bei Bedarf durch neue Hypothesen.

Schritt 3: Das Gedächtnis aktivieren

Zur Erstellung eines effektiven Untersuchungsplans greift das MAS auf frühere Erfahrungen zurück und analysiert proaktiv, wie menschliche Analysten vergleichbare Szenarien bearbeitet haben. Dazu zählen typische Prüfschritte, die Interpretation der damaligen Ergebnisse sowie die Anpassung der Vorgehensweise auf Basis von Zwischenerkenntnissen.

Schritt 4: Die gezielte Investigation durchführen

Zur Umsetzung des Untersuchungsplans setzt der KI-Agent Abfragen, API-Aufrufe und weitere Werkzeuge ein, um belastbare Beweise zu sammeln, die die Hypothese stützen und zur Aufklärung des Sachverhalts beitragen.

Schritt 5: Kontinuierlich reflektieren

Während der Untersuchung reflektiert das Multi-Agenten-System kontinuierlich die gewonnenen Erkenntnisse und verfeinert den Untersuchungsplan bei Bedarf auf Basis neuer Beweise und fortlaufend erlernter Informationen.

Schritt 6: Die vorläufigen Ergebnisse liefern

Sobald ausreichend Evidenz zur Untermauerung eines Szenarios und einer konkreten Hypothese vorliegt, beendet das MAS die Untersuchung. Anschließend erstellt der entsprechende KI-Agent einen detaillierten Bericht mit nachvollziehbaren, reproduzierbaren Ergebnissen sowie einer transparenten Darstellung des Analyseprozesses.

Schritt 7: Die Logik in Echtzeit anpassen

Fortschrittliche Systeme wie der Autonomous Investigator von Ontinue erfassen sowohl explizite Signale (wie das Feedback von Analysten) als auch implizite Signale (wie das Nutzerverhalten), um die zugrunde liegende Logik gezielt an die individuellen und differenzierten Anforderungen unterschiedlicher IT-Umgebungen anzupassen.

»Ohne den Einsatz von KI wären Cybersecurity-Teams heute konstant überlastet«, erklärt Theus Hossmann, Chief Technology Officer bei Ontinue. »Zu viele Sicherheitsvorfälle, zu viele Informationsquellen und zu viel zu beachtender Kontext lähmen Verteidigungsmaßnahmen. KI-Agenten und Multi-Agenten-Systeme schaffen hier massiv Abhilfe, indem sie viele Aufgaben automatisiert übernehmen. Doch auch wenn bis zu 97 Prozent aller Incidents im vergangenen Jahr bei uns bereits ohne menschliches Zutun gelöst werden konnten, werden immer Fälle bleiben, bei denen menschliche Analysten unabdingbar sind.«

