KI-Agenten können Security Operations Center entlasten: Sie beschleunigen die Triage, priorisieren Schwachstellen und übernehmen Routineaufgaben. Körber-CISO Andreas Gaetje erklärt im Interview, warum die Autonomie stark eingeschränkt bleibt, wie sich Rollen im SOC verschieben und welche Guardrails nötig sind, um Fehlentscheidungen zu vermeiden.
„KI-Agenten werden künftig weniger einzelne Sicherheitsprobleme lösen, sondern vielmehr bestimmte Aktivitäten im Security Operations Center unterstützen – und in manchen Bereichen sogar vollständig übernehme.“, sagt Andreas Gaetje, CISO bei Körber.
(Bild: Körber AG)
Künstliche Intelligenz verändert die IT-Sicherheit in Unternehmen grundlegend – nicht nur durch neue Bedrohungen, sondern auch als Werkzeug zur Verteidigung. Wir sprechen im Interview mit Andreas Gaetje, Chief Information Security Officer bei Körber darüber, wie KI-Agenten künftig Security-Teams entlasten, Prozesse beschleunigen und Priorisierungen vereinfachen. Er spricht über technische und organisatorische Herausforderungen, neue Rollen im SOC und die Frage, wie sich Risiken und autonome KI-Agenten sicher steuern lassen.
Security-Insider: Welche konkreten Sicherheitsprobleme wollen Sie mit KI-Agenten lösen und wie priorisieren Sie diese gegenüber klassischen Maßnahmen wie Hardening oder Patch-Management?
Andreas Gaetje: KI-Agenten werden künftig weniger einzelne Sicherheitsprobleme lösen, sondern vielmehr bestimmte Aktivitäten im Security Operations Center unterstützen – und in manchen Bereichen sogar vollständig übernehmen. Lassen Sie mich das am Beispiel Patch Management veranschaulichen. Hardening und Patchmanagement bleiben weiterhin eine Kernaufgabe im Bereich der IT-Security und die Vulnerability Management Software wird auch weiterhin IT-Systeme auf Schwachstellen hin untersuchen. Allerdings müssen die bisherigen Auswertungen häufig manuell analysiert werden, etwas:
Wieviele Schwachstellen lassen sich auf ein gemeinsames Problem zurückführen?
Welche betreffen kritische Systeme?
Sind besonders exponierte Systeme betroffen?
All diese Fragen werden KI-Agenten zukünftig direkt beantworten und damit die Priorisierung deutlich vereinfachen. Und von solchen Aufgaben gibt es im Sicherheitsbereich recht viele.
Security-Insider: Wie definieren Sie bei Körber einen „Agenten“ technisch und organisatorisch? Welche Autonomiegrade erlauben Sie, wo bleibt der Mensch in der Schleife?
Andreas Gaetje: Im Sicherheitsbereich verstehen wir „Agenten“ immer als technische Instanzen. Organisatorisch sprechen wir hingegen von Analysten, Sicherheitsingenieuren oder ähnlichen Rollen. Die Autonomiegrade müssen im Einzelfall definiert werden. Zurzeit ist dies bei uns sehr eingeschränkt, sprich in nahezu allen Bereichen wird der Mensch eine zentrale Rolle bei der Entscheidung spielen. Aber er wird von Recherche- und Aufbereitungsarbeiten befreit. Automatisierte Aktionen beschränken sich derzeit noch auf Bereiche, die kaum einen Schaden anrichten können, wie etwa:
die Erstellung von Tickets,
die Initiierung von Systemscans oder
das Zurücksetzen sogenannter Session-Tokens.
Security-Insider: Wie binden Sie Agenten an bestehende Security-Stacks (SIEM, SOAR, EDR/XDR, Ticketing) an, ohne Schattenautomationen zu riskieren?
Andreas Gaetje: Entscheidend ist in erster Linie die klare Zuordnung von Verantwortlichkeiten und die Erstellung von Spielregeln, die eindeutig festlegen, was erlaubt ist und was nicht. Am besten lässt sich das erreichen, indem es genau eine Plattform gibt, auf der die Agenten betrieben werden. Wenn Sie KI-Agenten auf jeder Plattform erlauben, die solche anbieten, wird das in der Tat unübersichtlich und kann zu ungewollten Nebeneffekten führen. Beispielsweise nutzen wir bei Körber Produkte von Microsoft und ServiceNow und beide bieten KI-Agenten mit gegenseitigen Schnittstellen. Hier ist eine klare Strategie wichtig, die festgelegt, wo KI-Agenten für welchen Bereich beheimatet sind.
Security-Insider: Wie sichern Sie die Trennung von IT- und OT-Netzen, damit Agenten keine Eingriffe in Produktionssysteme auslösen?
Andreas Gaetje: KI-Agenten werden nicht einfach auf beliebige Systeme zugreifen – das lässt sich über Schnittstellen bzw. Berechtigungen klar steuern. In OT-Netzen haben solche Systeme zudem deutlich höhere Anforderungen zu erfüllen, da hier auch Aspekte der Arbeitssicherheit berücksichtigt werden müssen.
Security-Insider: Welche 2-3 Use-Cases bringen aktuell den größten Sicherheitsnutzen? Wie messen Sie Erfolg (z. B. MTTD/MTTR, False Positives)?
Andreas Gaetje: Die Erfolgsfaktoren verteilen sich auf verschiedene Ebenen. Im Bereich der Prävention geht es um die Effektivität der Sicherheitssysteme, Angriffe zu vermeiden. Hier werden KI-Agenten aus meiner Sicht nur bedingt eine Rolle spielen. MTTD (Mean Time to Detect) und MTTR (Mean Time to Remediate) kommen zu tragen, wenn ein Angriffsversuch doch erfolgreich ist – also wenn es darum geht, diesen schnellstmöglich zu entdecken und zu beheben. Da können KI-Agenten hilfreich sein, um die Triage bei sicherheitskritischen Ereignissen zu beschleunigen. Wenn der Agent automatisch Informationen aus anderen Systemen wie Virustotal abfragt, braucht das der Analyst nicht mehr zu tun. Der wesentliche Nutzen ist aber die Effizienz in diesem Bereich. Es können mehr Alarme und damit auch mehr Systeme überwacht werden. Nehmen Sie Systeme, bei denen Sie keine sofortige Reaktion benötigen, zum Beispiel bei der Überwachung von Zugriffen und Zugriffsrechten. Hier können KI-Agenten helfen, bestimmte Analysen eigenständig auszuführen und, wenn nötig, einen Analysten zu benachrichtigen.
Security-Insider: Können Sie ein konkretes Beispiel nennen, bei dem Agenten die Arbeit im SOC spürbar verändert haben?
Andreas Gaetje: Das Beispiel hier ist typischerweise die Triage, also die Auswertung, ob das Sicherheitsereignis ungewöhnlich ist, ob es allgemein verfügbare Informationen dazu gibt und ob weitere Systeme das gleiche Problem haben. Das sind alles Aufgaben, die sonst manuell ausgeführt werden müssen.
Security-Insider: Wie verändert der Einsatz von Agenten die Zusammenarbeit mit SOC-Teams und Managed Security Service Providern?
Andreas Gaetje: Das ist eine gute Frage. Das wird sich zeigen, aber ich gehe davon aus, dass sich die Rollen innerhalb der einzelnen Aufgabenbereiche bei MSSPs verschieben werden. Heute besteht ein MSSP typischerweise Tier-1- bis Tier-3-Analysten, Sicherheitsingenieuren und dem CSIRT. Tier-1-Analysten wird man vermutlich weniger benötigen, während die Bedeutung der Sicherheitsingenieure zunimmt. Insgesamt wird die Zusammenarbeit aber weiter wichtig bleiben, wobei wir uns mehr über die Erstellung von Runbooks für KI-Agenten unterhalten werden, als über das Abarbeiten von Sicherheitsereignissen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Security-Insider: Welche neuen Rollen entstehen – etwa Policy- oder Prompt-Engineer und wie bereiten Sie Ihr Team darauf vor?
Andreas Gaetje: Die Rollen gibt es heute schon, Sie müssen schließlich schon heute in der Automatisierung, Stichwort SOAR, solche Regeln erstellen. Allerdings werden wir künftig deutlich mehr davon benötigen. Deshalb führen wir zusammen mit Anbietern Workshops durch, um zu lernen, wie wir diese Agenten selber entwickeln und gleichzeitig deren Grenzen ausloten. Ein Beispiel: KI-Agenten können künftig auch Benutzer direkt ansprechen, um bestimmte Fragen zu klären – etwa, ob ein Zugriff wirklich von einem bestimmten Ort erfolgte. Das ist äußerst spannend, erfordert jedoch noch umfangreiche Tests, bevor wir diese Funktion für unsere Benutzer freigeben.
Security-Insider: Welche Risiken sehen Sie bei autonomen Agenten (z. B. Fehlentscheidungen, Prompt-Injection, Datenabfluss)?
Andreas Gaetje: Natürlich sind neue Systeme immer mit neuen Risiken verbunden. Diese müssen – wie gewohnt – identifiziert und bewertet werden. Im Sicherheitsbereich betrifft das insbesondere Fehlentscheidungen, weshalb wir bei Entscheidungen weiterhin einen Menschen zwischenschalte. Auf Unternehmensebene erwarte ich zukünftig aber eine erhebliche Dynamik, die zu einer kontinuierlichen Risikobewertung führen wird.
Security-Insider: Welche Guardrails und technischen Mechanismen setzen Sie ein (Allow-/Deny-Lists, Sandboxing, Rollback)?
Andreas Gaetje: Im Moment basiert das noch immer auf bestimmten Regeln, die wir in den Runbooks einbauen. Ob das in Zukunft ausreicht, wird sich zeigen – das hängt stark vom jeweiligen Einsatzzweck ab. In anderen Unternehmenskontexten sind solche Verfahren absolut notwendig und wir helfen von der Security-Seite unsere Entwicklungsabteilungen dabei, entsprechende Sicherheitsmechanismen zu berücksichtigen.
Security-Insider: Wie gewährleisten Sie Nachvollziehbarkeit und forensische Beweiskraft bei Agentenentscheidungen?
Andreas Gaetje: Auch das ist für uns noch kein Thema, solange die Entscheidungen vom Menschen erfolgen und forensische Erhebungen davon nicht beeinflusst werden.
Security-Insider: Wie ordnen Sie KI-Agenten in regulatorische Vorgaben wie AI Act, NIS2 oder IEC 62443 ein?
Andreas Gaetje: Der AI Act hat selbstverständlich einen Einfluss auf KI-Agenten, insbesondere wenn diese auch Entscheidungen treffen sollen. Das ist bei KI-basierten Systemen grundsätzlich heute schon ein Thema. Spannend wird es bei KI-Agenten, die miteinander arbeiten sollen. Ein Beispiel: Ein KI Agent erstellt Programmcode, der anschließend von einem anderen KI Agenten überprüft und mit entsprechenden Anpassungsanforderungen an den ersten Agenten wieder zurückgeben wird. Technisch ist das alles möglich, aber hier sind umfangreiche Tests notwendig. So würde ich bei einem solchen System auf klassische Sicherheitstest niemals verzichten wollen, um beispielsweise den Anforderungen der IEC 62443 zu genügen.
Security-Insider: Wie berechnen Sie den Business-Nutzen, inkl. Kosten für Testing, Monitoring und Haftungsrisiken?
Andreas Gaetje: Der Businessnutzen ergibt sich aus der gesteigerten Prozesseffizienz und lässt sich entsprechend einfach über Durchlaufzeiten und Mengen ermitteln. Im Kern handelt es sich um klassische Automatisierung – mit all den Aufgaben, die bei deren Umsetzung anfallen. Der entscheidende Unterschied: Die Entwicklungskosten sind deutlich geringer, weil keine umfangreiche Programmierung mehr erforderlich ist. Allerdings führt die Unschärfe bei den Ergebnissen zu höheren Testaufwänden.Diese werden jedoch voraussichtlich trotzdem geringer ausfallen als die zusätzliche Aufwände, der bei der klassischen Automatisierung entstehen.
Security-Insider: Welche Lessons Learned ziehen Sie bislang aus Ihren Projekten?
Andreas Gaetje: Insgesamt sind die Entwicklungen äußerst spannend, und ich freue mich auf die Möglichkeiten, die sich dadurch ergeben – sowohl intern als auch in den Produkten für unsere Kunden. Wir befinden uns jedoch noch auf einer Lernkurve, um Best-Practices zu etablieren und Risiken angemessen zu bewerten. Das Potential ist jedoch enorm.
Security-Insider: Herr Gaetje, vielen Dank für das Gespräch.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/bb/ddbb0955ff0ba8cc3fa5d238d8e494ae/0129916222v2.jpeg "„KI-Agenten werden künftig weniger einzelne Sicherheitsprobleme lösen, sondern vielmehr bestimmte Aktivitäten im Security Operations Center unterstützen – und in manchen Bereichen sogar vollständig übernehme.“, sagt Andreas Gaetje, CISO bei Körber. (Bild: Körber AG)")
:quality(80)/p7i.vogel.de/wcms/bf/96/bf9640a9d61d881a728190dca834aa68/0129773904v2.jpeg "Gartner warnt, dass bis 2028 eine fehlkonfigurierte KI in cyber-physischen Systemen wie Stromnetzen, Industrieanlagen/ICS oder IIoT-Sensorik durch falsche Entscheidungen Blackouts, Produktionsstopps und physische Schäden verursachen und damit Sicherheit und Wirtschaft stark gefährden kann. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108543f2d90eb885b978ddfe9a41e01/0129915774v4.jpeg "KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/2f/272f0bcd671f98318ec55afbe21054cf/0129576418v1.jpeg "Die Forschungsgruppe der TH Köln des DREAM-Projekts (v.l.): Prof. Dr. Hoai Viet Nguyen, Vimal Seetohul, Prof. Dr. Matthias Böhmer und Selim Perk. (Bild: TH Köln, Monika Probst)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/09/bb/09bb394c678741a7991266263d76cb47/0129901892v2.jpeg "Crowdstrike und Schwarz Digits gehen eine strategische Partnerschaft ein:
(v. l.) Christian Müller, Co-CEO von Schwarz Digits; Daniel Bernard, Chief Business Officer bei CrowdStrike; Rolf Schumann, Co-CEO von Schwarz Digits (Bild: Crowdstrike)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f58c5fdc82409d32656596b85f091/0129978261v2.jpeg "Das Centro in Oberhausen sowie das Westfield in Hamburg sind auf ähnliche Weisen attackiert worden. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/e4/c3/e4c32cf64a28cc9642e8b7a222a715fb/0120275937v2.jpeg "SOC-Teams erhalten täglich im Schnitt über 4.000 Warnmeldungen und verbringen fast drei Stunden damit, diese manuell zu bearbeiten. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/fd/3ffd85dabceffafb141b730391afb3f4/0120139851v2.jpeg "Künstliche Intelligenz (KI) soll künftig den langweiligen und mühsamen Teil der SOC-Arbeit übernehmen, während sich die menschlichen Experten um die schwierigen Fälle kümmern. (Bild: connieguanzi.ph - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/46/9e46638d15cdec886116ca124e604eb7/0124167260v2.jpeg "Die Vision eines autonomen Security Operations Centers, das auf KI setzt, bleibt vorerst wohl Wunschdenken. Im Moment funktionieren SOCs in Kombination mit künstlicher Intelligenz am besten, wenn es darum geht, menschliche Analysten mit besseren Informationen für die Entscheidungsfindung zu versorgen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2c/9b/2c9b4e1bf0da44fc165154f1301a1ff3/0128523537v1.jpeg "Agentenbasierte KI führt im SOC eigenständig Aktionen aus, daher begrenzen klare Governance mit PAM und Zero Trust, Least‑Privilege und kurzlebigen Berechtigungen sowie Freigaben durch Menschen die Risiken. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/69/976943bfc71e0f08564b1d028bfbe777/0128534660v2.jpeg "Resilienz entsteht, wenn Führung psychologische Sicherheit schafft, realitätsnahes Lernen ermöglicht und einen strukturierten Rahmen wie das NIST CSF mit DORA und NIS2 verknüpft. (Bild: © PETR BABKIN - stock.adobe.com)")