Thought Leadership
Täglich prasseln mehrere tausend Alarme auf Security Operations Center (SOC) in Unternehmen ein. Die Mehrzahl davon sind False Positives.
KI verspricht hier zwar Unterstützung. Doch auch sie lässt sich nicht per Knopfdruck umsetzen. KI-as-a-Service liefert Unternehmen einen schnellen, skalierbaren Hebel gegen Alarmmüdigkeit.
Der Nutzen von KI im SOC zeigt sich auf mehreren Ebenen: Durch die Automatisierung repetitiver Aufgaben wie Log-Analyse oder Alarm-Kategorisierung sind Prozesse deutlich effizienter gestaltet und Alarmmüdigkeit geringer. KI-gestützte Systeme erkennen zudem Anomalien schneller und präziser als herkömmliche Verfahren. Gleichzeitig entlastet KI-Analysten, indem sie Routineaufgaben übernimmt und so Freiräume schafft. So lässt sich nicht nur die Identifikation und Priorisierung sicherheitsrelevanter Ereignisse beschleunigen, sondern auch der gezielte Einsatz von Ressourcen verbessern. Letztendlich ist ein KI-gestütztes SOC außerdem leichter skalierbar, da viele Prozesse unabhängig vom Datenvolumen effizient abbildbar sind.
KI bietet also viel Potential, stellt aber gleichzeitig neue Herausforderungen ans Team. Zum einen muss sie in bestehende Prozesse implementiert werden, ohne den Betrieb zu stören oder zu unterbrechen. Einmal implementiert, benötigt die KI ein regelmäßiges und detailreiches Training, damit sie unternehmensspezifisch reagieren und filtern kann. Hierfür braucht es dennoch den Menschen, der die KI nicht nur mit Daten füttert, sondern auch auswertet. Und schließlich geht es darum, dass stets ein Experte anwesend ist, der alle Vorgänge kontinuierlich überwacht und auf Alarme reagiert.
Der Einsatz in der Praxis
KI ist nicht KI. Im SOC stehen dabei vor allem Machine Learning, Deep Learning und Generative KI im Fokus. Diese Technologien arbeiten nicht isoliert, sondern greifen oft ineinander und ergänzen sich je nach Anwendungsfall. Dadurch entsteht ein flexibles Zusammenspiel, das gezielt auf unterschiedliche Aufgaben im SOC zugeschnitten werden kann:
Machine Learning (ML) zur Datenklassifikation
Maschine Learning ist ein Teilgebiet der künstlichen Intelligenz, bei dem Computer aus vorhandenen Daten lernen, um Muster zu erkennen und daraus Vorhersagen oder Entscheidungen abzuleiten – ohne explizite Programmierung. ML-Modelle verbessern sich durch kontinuierliches Lernen mit jeder neuen Datenmenge und Nutzung.
In der IT-Sicherheit kommt diese Fähigkeit beispielsweise bei der Datenklassifikation zum Einsatz. Bedrohungen werden automatisch in Kategorien wie niedrig, mittel oder hoch eingestuft. Analysten können sich damit auf kritische Warnungen konzentrieren, während gleichzeitig die Zahl der False Positives deutlich sinkt. Das verbessert die Qualität der Alarmierung und Ressourcen sind gezielter einsetzbar. Je nach Anwendungsfall kommen dabei verschiedene Lernarten zum Einsatz: Supervised Learning nutzt gelabelte Trainigsdaten etwas für die Erkennung von Malware oder Phishing. Unsupervised Learning arbeitet wiederum mit ungelabelten Daten und erkennt selbstständig Muster, etwa durch Clustering von Logdaten. Auf diese Weise lassen sich zum Beispiel verdächtige Ereignisgruppen und potenzielle Angriffe frühzeitig sichtbar machen.
Ein Haken: Machine Learning ist anfällig für algorithmische und insbesondere menschliche Fehler, da die Qualität der Ergebnisse stets von der Qualität der Eingangsdaten abhängt. Dadurch breiten sich Scheinkorrelation schnell aus und verunreinigen eine große Menge an Ergebnissen. Außerdem ist der Output der Maschine manchmal so komplex, dass eine korrekte Interpretation der Ergebnisse schwierig ist.
Deep Learning (DL) zur Anomalie-Erkennung
Deep Learning geht noch einen Schritt weiter als das klassische maschinelle Lernen. Es handelt sich dabei um ein spezialisiertes Teilgebiet, das mit tief geschichteten künstlichen neuronalen Netzen arbeitet. Diese Netze können komplexe Muster in großen Datenmengen erkennen, analysieren und daraus lernen.Im Gegensatz zu klassischen ML-Methoden, die meist auf vordefinierten Merkmalen basieren, erfasst DL hochkomplexe, nicht-lineare Muster in großen und unstrukturierten Datenmengen eigenständig.
Mithilfe von historischen Daten, unterschiedet Deep Learning zwischen regulären und verdächtigen Aktivitäten, was letztendlich die Genauigkeit der Threat Detection verbessert. Dabei analysiert es unterschiedliche Datenarten – von Logdaten bis hin zu Bildmaterial – und unterstützt so die automatische Klassifikation von Angriffen. Ein weiterer wichtiger Baustein ist Natural Language Processing (NLP), das die Auswertung von Texten wie E-Mails ermöglicht, um sicherheitsrelevante Informationen zu identifizieren. Ergänzend dazu hilft die Verhaltensanalyse, Abweichungen im Nutzer- oder Systemverhalten frühzeitig zu erkennen.
Damit DL-Modelle zuverlässig funktionieren, benötigen sie eine große Menge qualitativ hochwertiger Daten. Fehlen diese, kann das Modell ungenaue oder fehlerhafte Ergebnisse liefern. Bei komplexen Antworten ist auch hier fundiertes Fachwissen erforderlich. Zusätzlich sind die Entwicklung und der Betrieb solcher Modelle mit erheblichem Aufwand verbunden – sowohl finanziell als auch personell.
Generative KI (GenAI) für Dokumentation und Reporting
Generative KI ist eine Form künstlicher Intelligenz, die auf Basis großer Datenmengen eigenständig neue Inhalte erzeugt, wie zum Beispiel Texte, Code, Bilder oder Berichte.
Sie kommt in der Cybersicherheit vor allem zur automatisierten Erstellung von Berichten oder Code zum Einsatz. Sie unterstützt Sicherheitsteams bei der schnellen und konsistenten Dokumentation von Vorfällen, der Generierung strukturierter Incident Reports sowie der verständlichen Aufbereitung technischer Logdaten. GenAI erzeugt darüber hinaus realistische Phishing-Beispiele für Trainingszwecke oder schlägt einfache Skripte zur Bedrohungsabwehr vor.
GenAI birgt jedoch auch Risiken. Die erzeugten Inhalte können zum Beispiel fehlerhaft, inkonsistent oder unpräzise sein – sogenannte „Halluzinationen“ – was insbesondere bei sicherheitsrelevanten Analysen ein Risiko darstellt. Zudem besteht die Gefahr von Datenleaks, wenn jemand sensible Informationen unbeabsichtigt in KI-Modelle einspeist. Regulatorische Fragen, mangelnde Transparenz in der Entscheidungsfindung sowie die Notwendigkeit menschlicher Kontrolle machen den verantwortungsvollen Einsatz ebenfalls komplex.
KI-as-a-Service
Die drei Beispiele machen deutlich: Der Einsatz von KI in der Cybersicherheit ist kein Selbstläufer. Für Unternehmen ist die Einführung schnell eine Herausforderung – sei es aufgrund fehlender Fachkräfte, begrenzter Ressourcen oder mangelnder Erfahrung mit komplexen Technologien. Das gilt insbesondere für kleine und mittelständische Unternehmen, deren IT- und Sicherheitsteams bereits mit regulären Aufgaben an ihre Kapazitätsgrenzen stoßen. KI-as-a-Service bietet hier einen pragmatischen Ausweg. Externe Spezialisten vereinen Fachwissen, geeignete Werkzeuge und ein klares Verständnis für den tatsächlichen Bedarf. Das spart Zeit sowie Kosten und entlastet interne Teams, die sich auf ihre Kernaufgaben konzentrieren können.
Mit einem erfahrenen Partner an ihrer Seite können Sicherheitsteams gezielt auf KI-gestützte Sicherheitsservices zugreifen. Dazu zählen unter anderem Security Orchestration, Automation and Response (SOAR) sowie Managed Detection and Response (MDR). Externe Experten setzen KI ein, um sicherheitsrelevante Prozesse zu orchestrieren, Routineaufgaben wie das Anpassen von Firewall-Regeln oder das Verwalten von IP-Adressen zu automatisieren und große Datenmengen in Echtzeit zu analysieren. Dadurch lassen sich Bedrohungen priorisieren, Gegenmaßnahmen schneller einleiten und interne Teams deutlich entlasten. Ergänzend ermöglichen Advanced Threat Hunting und Incident Response eine proaktive Sicherheitsstrategie, um potenzielle Gefahren gezielt zu identifizieren und abzuwehren.
Cybersicherheit ist ein hochkomplexes Feld, das tiefes technisches Verständnis, Erfahrung und kontinuierliche Wachsamkeit erfordert. Für Unternehmen ist es daher sinnvoll, auf die Unterstützung spezialisierter Partner zu setzen. So lässt sich KI effektiv für die Cybersecurity im SOC nutzen.
