Die Jobbeschreibung von Sicherheitsanalyst:innen hat sich in den letzten Jahren massiv erweitert. Denn zwischen komplexen Angriffsmustern, uneinheitlichen IT-Infrastrukturen und akutem Fachkräftemangel geraten viele Unternehmen beim Thema Cyber-Sicherheit an ihre Belastungsgrenzen. Ein zentrales Problem: Vorfälle müssen schneller erkannt, bewertet und bearbeitet werden. Dafür fehlen aber in vielen Sicherheitszentrale, auch Security Operations Centers (SOC) genannt, die Kapazitäten. Vor diesem Hintergrund setzen immer mehr Unternehmen auf KI-basierte Unterstützung, um ihre Reaktion auf Sicherheitsvorfälle (Incident Response) nicht nur zu beschleunigen, sondern auch strukturell zu verbessern.
Herausforderungen im SOC: Mehr Komplexität, weniger Personal
In hybriden IT-Umgebungen, in denen lokale Systeme (On-Premise) und Cloud-Lösungen parallel betrieben werden, wächst die Zahl potenzieller Einfallstore für Angriffe rasant. Gleichzeitig sind qualifizierte Fachkräfte für IT-Sicherheit derzeit schwer zu finden. Was fehlt, ist neben ausreichendem Personal oft nicht die nur Technologie, sondern auch die Zeit , die bestehenden Systeme effektiv zu nutzen.
Markus Limbach
Partner, Consulting, Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Wo KI ansetzt: Strukturierte Unterstützung statt Tool-Overload
Wie KI Sicherheitsteams in komplexen Cloud-Umgebungen entlastet und Entscheidungen strukturiert unterstützt.
Sie helfen bei der Triage von Vorfällen, vor allem in Cloud-Umgebungen, wo die Datenmengen und -komplexität oft höher sind.
Leiten durch strukturierte Reaktionspfade, die auch speziell auf Cloud-Security-Bedrohungen abgestimmt sind.
Liefern kontextbezogene Empfehlungen (auch individuell durch maschinelles Lernen trainierbar), die die spezifischen Sicherheitsanforderungen von Cloud-Diensten berücksichtigen.
Automatisieren routinemäßige Analyse- und Dokumentationsaufgaben, was besonders in dynamischen Cloud-Umgebungen von Vorteil ist.
Der Effekt: Analyst:innen können sich auf das konzentrieren, was menschliche Expertise erfordert und gewinnen so Zeit in kritischen Momenten. Beispielhaft zeigt sich das am Security Copilot von Microsoft, der als Assistenzsystem unter anderem in Microsoft Defender XDR oder Sentinel eingebettet ist. Er stellt sogenannte „Guided Response“-Karten bereit, die die Kernschritte Triage, Containment, Investigation und Remediation abdecken. Zusätzlich erstellt das Tool automatisch Vorfall-Zusammenfassungen und schlägt passende Maßnahmen zur Behandlung der Kernschritte vor. In der Triage filtert der Copilot eingehende Meldungen, priorisiert echte Bedrohungen und reduziert False Positives. Beim Containment schlägt er Sofortmaßnahmen vor, etwa das Isolieren betroffener Systeme, um eine Ausbreitung zu verhindern. In der Investigation liefert er kontextbezogene Analysen, zeigt Zusammenhänge zwischen Vorfällen auf und unterstützt bei der Ursachenfindung. In der Phase der Remediation empfiehlt und dokumentiert er schließlich passende Maßnahmen zur nachhaltigen Behebung, beispielsweise durch Patches oder Konfigurationsänderungen.
Umsetzung mit Augenmaß: Technologie allein reicht nicht
Doch klar ist auch: Die Einführung KI-gestützter Systeme löst nicht automatisch strukturelle Probleme. Was Unternehmen brauchen, ist:
- Ein zentraler Zugang zu relevanten Datenquellen, insbesondere aus der Cloud, um umfassende Sicherheitsanalysen zu ermöglichen.
- Die tatsächliche Umsetzung der Priorisierung von Vorfällen.
- Eine sinnvolle Einbettung in die bestehende Security-Strategie, die sowohl lokale Systeme (On-Premise) als auch Cloud-Umgebungen umfasst.
Gerade bei der Integration in bestehende Workflows braucht es eine Balance zwischen Automatisierung und menschlicher Kontrolle.
Fazit
Security-Teams brauchen heute mehr als nur Tools. Zentral sind systemische Entlastungen, prozessuale Klarheit und intelligente Unterstützung in Echtzeit. KI kann ein zentraler Baustein sein, um diesen Anforderungen zu begegnen. Dabei ist sie kein Allheilmittel, aber ein wirksames Instrument, um in einer zunehmend überlasteten Sicherheitsarchitektur, die sowohl On-Premise als auch Cloud-Umgebungen umfasst, strukturell zu unterstützen.
Entscheidend ist jedoch: Systeme wie der Security Copilot ersetzen keine Analysten, sondern strukturieren und beschleunigen deren Arbeit – die fachliche Kontrolle bleibt immer beim Menschen. Die Analyst:innen können sich so noch mehr auf ihre Arbeit konzentrieren, und effizienter für den Schutz von Unternehmen sorgen.
