Thought Leadership
Die zunehmende Geschwindigkeit und Komplexität moderner Cyberangriffe stellt Sicherheitsabteilungen weltweit vor große Herausforderungen.
Gleichzeitig wachsen die Datenmengen, die analysiert werden müssen, während qualifizierte Fachkräfte knapp bleiben. Vor diesem Hintergrund setzt Sophos auf ein neues Betriebsmodell für Sicherheitszentren, bei dem Künstliche Intelligenz einen Großteil der Routineaufgaben übernimmt und menschliche Experten sich auf komplexe Analysen konzentrieren.
Wie das Unternehmen mitteilt, schützt sein Managed-Detection-and-Response-Dienst (MDR) inzwischen rund 40.000 Kunden weltweit. Im Vergleich zum Vorjahr entspricht das einem Wachstum von 39 Prozent.
Wenn KI die erste Verteidigungslinie bildet
Klassische Security Operations Center (SOC) geraten angesichts der heutigen Bedrohungslage zunehmend an ihre Grenzen. Während Cyberkriminelle bereits intensiv KI einsetzen, müssen Unternehmen ihre Verteidigungsstrategien ebenfalls weiterentwickeln.
Sophos hat deshalb seine Sicherheitsarchitektur grundlegend umgestaltet. In dem sogenannten agentischen SOC übernimmt KI die Bearbeitung großer Mengen von Sicherheitsereignissen. Menschliche Analysten greifen vor allem dort ein, wo Erfahrung, Kontextwissen und strategische Entscheidungen gefragt sind.
Möglich wird dies über die Plattform Sophos Central, die Daten aus verschiedenen Sicherheitsbereichen wie Endpunkten, Firewalls, Identitätsmanagement, Cloud-Diensten, Netzwerken und E-Mail-Systemen zusammenführt. Dadurch entsteht ein gemeinsames Lagebild, das automatisierte und manuelle Reaktionen miteinander verbindet.
Millionen Sicherheitsereignisse pro Tag
Die Zahlen aus dem ersten vollständigen Betriebsjahr verdeutlichen die zunehmende Automatisierung im Sicherheitsbetrieb.
Nach Angaben von Sophos werden täglich mehrere zehn Millionen Erkennungen verarbeitet. Die Systeme filtern Fehlalarme heraus, korrelieren relevante Informationen und leiten nur tatsächlich kritische Vorfälle weiter.
Besonders bemerkenswert: Mehr als die Hälfte aller MDR-Fälle wurde vollständig automatisiert abgeschlossen. Konkret konnten 52 Prozent der Sicherheitsvorfälle ohne menschliches Eingreifen bearbeitet werden. Die zugrunde liegenden KI-Systeme agieren dabei innerhalb klar definierter Regeln und werden kontinuierlich von Analysten überwacht und angepasst.
Auch die Reaktionsgeschwindigkeit steigt deutlich. Für automatisiert bearbeitbare Vorfälle benötigt das System durchschnittlich lediglich 89 Sekunden vom Erkennen eines Problems bis zur vollständigen Gegenmaßnahme.
Mensch und Maschine arbeiten Hand in Hand
Trotz des hohen Automatisierungsgrades sind menschliche Experten weiterhin ein unverzichtbarer Bestandteil moderner Cybersicherheit.
Das Unternehmen unterscheidet dabei zwischen zwei Betriebsmodellen: Beim „Human-on-the-Loop“-Ansatz überwachen Analysten automatisierte Prozesse und greifen nur bei Bedarf ein. Beim „Human-in-the-Loop“-Modell bleiben Menschen aktiv in Entscheidungen eingebunden, etwa bei neuartigen Angriffsmethoden oder sicherheitskritischen Situationen mit potenziell hohen geschäftlichen Auswirkungen.
Dadurch können sich Sicherheitsexperten verstärkt auf Aufgaben wie Threat Hunting, forensische Untersuchungen, strategische Beratung und die Weiterentwicklung der KI-Systeme konzentrieren.
Sicherheitswissen aus 40.000 Kundenumgebungen
Ein weiterer Vorteil des Modells liegt im gemeinsamen Lernen der Plattform. Erkenntnisse aus einem Sicherheitsvorfall können unmittelbar in die Schutzmechanismen aller angeschlossenen Kundenumgebungen einfließen.
Unternehmen jeder Größe profitieren dadurch – vom Mittelstand bis zum internationalen Großkonzern – von derselben Bedrohungsintelligenz und denselben automatisierten Abwehrmechanismen.
Das Unternehmen plant, das agentische Betriebsmodell in den kommenden Jahren auf weitere Teile seines Produktportfolios auszuweiten. Dazu gehören unter anderem die engere Verzahnung von XDR- und SIEM-Funktionen, neue KI-basierte Werkzeuge für Kunden sowie zusätzliche Beratungsangebote für Unternehmen ohne eigene Sicherheitsleitung.
Die Entwicklung zeigt, dass sich Security Operations Center zunehmend von rein personell betriebenen Sicherheitsabteilungen zu hybriden Systemen entwickeln, in denen KI und menschliche Experten gemeinsam für die Erkennung und Abwehr von Cyberbedrohungen verantwortlich sind.
