KI – welche Rolle spielt sie beim Kampf um IT-Security?

Zunehmender Druck durch Regulierung, Fachkräftemangel und Systemkomplexität – diese Entwicklung rückt nicht nur bei Unternehmen stärker in den Fokus, sondern auch bei Regulierungsbehörden. Investitionen in Cybersicherheit gelten inzwischen als zentrale Voraussetzung für wirtschaftlichen Erfolg. Ein Beispiel dafür ist die europäische NIS2-Richtlinie. Auch die Abhängigkeit von Lieferketten spielt eine wichtige Rolle: Selbst der beste Schutz nützt wenig, wenn ein nicht abgesicherter Lieferant nicht mehr produzieren kann. Für viele Unternehmen ergibt sich daraus ein Dilemma: Der Bedarf an Automatisierung und Digitalisierung führt zu immer komplexeren IT-Systemen – deren Absicherung wird jedoch durch die zunehmende Bedrohungslage und regulatorische Anforderungen immer aufwändiger. Diese Ausgaben werden intern oft als wenig wertschöpfend wahrgenommen.
Und selbst wenn die Notwendigkeit anerkannt ist, fehlt es häufig an qualifiziertem Personal, um Cybersicherheit effektiv umzusetzen.

Eine automatisierte Alarmbewertung ist notwendig
Als global tätiger Technologiekonzern verarbeitet Körber täglich zwischen 500 und 1000 GB sicherheitsrelevanter Daten – darunter Logdaten, Netzwerkpakete oder Nutzeraktionen. Diese Daten müssen kontinuierlich auf Auffälligkeiten analysiert werden. Dafür kommen bei uns seit Jahren KI-basierte Systeme mit maschinellem Lernen zum Einsatz, um durch Mustererkennung potenzielle Angriffe zu identifizieren. Dennoch können – inklusive Fehlalarmen (False Positives) – schnell tausende Alarmmeldungen pro Tag entstehen.
Um die Flut an Warnungen zu bewältigen, ist eine automatisierte Alarmbewertung (Triage) notwendig – typischerweise auf Tier-1- und Tier-2-Ebene im Security Operations Center (SOC). Doch auch diese Automatisierung erfordert Experten. Eine gängige Lösung ist die Auslagerung an spezialisierte Dienstleister, die sogenannte Managed Detection and Response (MDR)-Services anbieten.
Das reicht allerdings oft nicht aus: Auch unternehmensintern werden Fachkräfte benötigt, um Dienstleister zu steuern, Gegenmassnahmen umzusetzen und sicherheitsrelevante Prozesse zu betreuen. Cybersicherheit bleibt also eine kosten- und ressourcenintensive Herausforderung.

Agentenbasierte KI als Treiber für ein autonomes SOC
In diesem Kontext gewinnt Künstliche Intelligenz zunehmend an Bedeutung – insbesondere in Form agentenbasierter KI. Damit lässt sich ein neues Niveau der Analyse und Automatisierung erreichen. Solche KI-Agenten analysieren Alarme automatisiert anhand definierter Kriterien und Vorgaben – sogenannter Runbooks.
Der Vorteil: Im Gegensatz zu herkömmlichen Systemen können sie zusätzliche Datenquellen einbeziehen – etwa Informationen über Angreifer und Angriffsmuster aus externen Threat-Intelligence-Plattformen oder interne Systemkontexte. Neu ist zudem, dass solche Agenten auch aktiv IT-Anwender kontaktieren können, um beispielsweise zu verifizieren, ob eine verdächtige Anmeldung tatsächlich durch die betroffene Person erfolgt ist.
Mitarbeiter im Tier-3-Level des SOC erhalten dadurch automatisch strukturierte Lageberichte, die schnelle und gezielte Reaktionen ermöglichen. Je nach Vertrauen ins System können sogar einfache Gegenmassnahmen direkt durch die KI umgesetzt werden – etwa das Sperren potenziell kompromittierter Accounts.

Fazit
Agentenbasierte KI hat das Potenzial, die Cybersicherheit durch umfassende Automatisierung grundlegend zu verändern. Sie kann entscheidend dazu beitragen, dem Fachkräftemangel und der zunehmenden Angriffsdynamik zu begegnen. Erste Anbieter liefern bereits vielversprechende Lösungen, doch ein breiter Durchbruch wird noch etwas Zeit brauchen. Die Systeme müssen sich bewähren, Risiken sorgfältig abgewogen und regulatorische Vorgaben – etwa aus dem AI Act – berücksichtigt werden. Denn auch wenn autonome Systeme eigenständig handeln, dürfen sie beispielsweise nicht versehentlich kritische Systeme abschalten.
Trotz aller Herausforderungen gilt: Unternehmen sollten sich frühzeitig mit agentenbasierter KI auseinandersetzen – sonst laufen sie Gefahr, im Sicherheitsdilemma stecken zu bleiben.

INFOS | KONTAKT
Körber AG
Anckelmannsplatz 1
D-20537 Hamburg
T +49 (0)40 21107 01
www.koerber.com
info@koerber.com