Künstliche Intelligenz (KI) kommt in SOCs (Security Operations Center) zum Einsatz, um die Erkennung und Abwehr von Cyberattacken zu optimieren. Entscheidend für den Erfolg sind aber die Quellen und die Qualität der Daten, die für das fortlaufende Training der KI-Modelle genutzt werden. Hierzu können Sandbox-Technologien einen entscheidenden Beitrag leisten.
Sandbox-Lösungen können die Erfolgsraten der Erkennung und Abwehr in KI-unterstützen SOCs deutlich steigern, indem die Daten aus den Sandbox-Analysen sehr präzise und fundierte Bedrohungsinformationen liefern.
(Bild: Dall-E / KI-generiert)
Künstliche Intelligenz gilt als das Technologiefeld, das die Digitalisierung am stärksten beeinflussen wird. KI unterstützt die datenbasierte Entscheidungsfindung und ermöglicht Automatisierungen bei Prozessen und Ablaufen. Das gilt auch für die Cybersicherheit, in der man sich eine Entlastung der knappen Security-Fachkräfte erhofft.
„Cyberverteidiger profitieren von allgemeinen Produktivitätssteigerungen durch den Einsatz von KI, zum Beispiel bei der Codegenerierung, zur Analyse von Quellcode auf Schwachstellen, zur Detektion von Malware oder der Erstellung von Lagebildern“, erklärt zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Bei der Bedrohungsanalyse können zum Beispiel LLMs (Large Language Models) durch Integrierung in Security Information and Event Management-Systeme (SIEM) bei der automatisierten Sichtung von Sicherheits- und Logdaten unterstützen, so das BSI. Ebenso ist ein Einsatz zur Detektion von bösartigem Netzwerk-Verkehr oder zur Erkennung von Anomalien in Systemlogs möglich.
Doch der Einsatz von KI in der Cybersicherheit kann auch Nachteile und Risiken mit sich bringen.
Mögliche Risiken von KI in der Cybersicherheit
Die Cybersicherheits-Forschung nennt Einschränkungen und unerwünschte Effekte, die die Nutzung von KI in der Security mit sich bringen kann: „Neben den Vorteilen bringt die KI-Integration jedoch auch Herausforderungen mit sich, wie etwa algorithmische Verzerrungen, Fehlalarme und die Notwendigkeit eines kontinuierlichen Modelltrainings“, so zum Beispiel der Bericht „Automating Security Operations Centers (SOCs) with AI: Benefits and Challenges“.
IT-Sicherheitsbehörden wie das Australian Cyber Security Centre warnen vor Fehlern und Halluzinationen, die durch den KI-Einsatz verursacht werden können. Die von einem KI-System generierten Ergebnisse sind demnach nicht immer genau oder sachlich korrekt. Generative KI-Systeme sind dafür bekannt, Informationen zu halluzinieren, die sachlich nicht korrekt sind. Wer also auf die Genauigkeit generativer KI-Ergebnisse angewiesen ist, könnte durch Halluzinationen negativ beeinflusst werden, sofern keine entsprechenden Gegenmaßnahmen ergriffen werden. Das trifft insbesondere auch auf SOC-Betreiber zu.
Datenquellen und Datenqualität sind entscheidend für KI-Erfolg
Auch das National Cyber Security Centre (NCSC) UK erklärt: „Generative KI (und insbesondere LLMs) ist zweifellos beeindruckend in ihrer Fähigkeit, eine große Bandbreite überzeugender Inhalte in unterschiedlichen Situationen zu generieren. Die von diesen Tools produzierten Inhalte sind jedoch nur so gut wie die Daten, mit denen sie trainiert werden.“
Ohne qualitativ hochwertige Daten sind KI-Projekte in Gefahr zu scheitern, warnt das Analystenhaus Gartner. Für SOCs gilt dies insbesondere: „Das Training von KI anhand hochwertiger Daten wird für ihren effektiven Einsatz bei Cyberoperationen weiterhin von entscheidender Bedeutung sein“, so das NCSC UK.
Die europäische KI-Verordnung (KI-VO, AI Act) nennt Qualitätsanforderungen an KI-Trainingsdaten, die Aspekte wie Relevanz, Fehlerfreiheit und Vollständigkeit abdecken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Katalog zur Qualitätssicherung von Trainingsdaten in KI-Anwendungen veröffentlicht. Dazu BSI-Präsidentin Claudia Plattner: „Wir müssen sicherstellen, dass Anwendungen mit Künstlicher Intelligenz hohen Qualitätsanforderungen entsprechen. Nur so können wir vertrauenswürdige KI herstellen und nutzen“.
Sie wollen VMRay einmal testen? Kein Problem, Sie finden die Möglichkeit dazu hier.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Rolle von Sandboxes für die Datenqualität bei KI in SOCs
Wie aber erreicht ein KI-unterstütztes SOC die notwendige, hohe Datenqualität? Hier kommen Sandboxes ins Spiel.
Sandboxes werden bereits seit vielen Jahren zur Malware-Erkennung und forensischen Untersuchung von Dateien eingesetzt. Die steigende Nutzung von KI bei der Erkennung von Cyberattacken macht Sandbox-Technologien nicht etwa überflüssig, im Gegenteil, sie gehören weiterhin zum Stand der Technik in der Security.
Eine Sandbox ist eine virtuelle Umgebung, in der Dateien sicher ausgeführt und analysiert werden können, ohne einen möglichen Schaden verursachen zu können. Dazu ahmt die Sandbox ein reales Betriebssystem nach. Verdächtige Dateien und URLs werden in der virtuellen Umgebung ausgeführt und ihr Verhalten überwacht und analysiert. Die Sandbox erfasst dabei Daten wie Netzwerkverkehr, Systemaufrufe und Dateiänderungen. Anhand dieser Daten können mögliche Schadfunktionen aufgespürt werden.
Die Ausführung von Sandboxes ermöglicht die Extraktion relevanter Indikatoren (Dateien / Hashes, URLs, IP-Adressen, Registry-Aktivitäten etc.), die einem in der Untersuchung befindlichen Fall mehr Kontext und sogar die Attribution eines mutmaßlichen Angreifers ermöglicht. Von diesen relevanten Indikatoren können KI-basierte Lösungen profitieren und so die möglichen Risiken und Nebeneffekte bei der KI-Nutzung minimieren.
Sandbox-Lösungen können die Erfolgsraten der Erkennung und Abwehr in KI-unterstützen SOCs deutlich steigern, indem die Daten aus den Sandbox-Analysen sehr präzise und fundierte Bedrohungsinformationen liefern, für genaue, erklärbare und umsetzbare KI-Ergebnisse im SOC-Betrieb und hochwertige Daten für das fortlaufende Training der KI-Modelle im SOC.
Die Qualität der KI-Entscheidungen wird so verbessert, die SOC-Warnungen erhalten eine nachvollziehbare Grundlage, Risikobewertungen und Priorisierungen bekommen ein realitätsbasiertes Fundament. Im Ergebnis sinkt dadurch die Zahl der Fehlalarme, Entscheidungen im SOC können schneller und faktenbasiert erfolgen und die Effizienz im SOC steigt nachhaltig an. Dadurch kann KI dann die Vorteile für den SOC-Betrieb gewährleisten, die sich die IT-Sicherheitsverantwortlichen davon erhoffen, eine bessere und schnellere Erkennung von Cyberbedrohungen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/66/4b66437c281843d7f2c99a1757c8dfa4/0128929211v2.jpeg "Der Cybercrime-Dienst RedVDS bot kriminellen Nutzern Zugang zu virtuellen Wegwerfcomputern, die für 24 Dollar im Monat gemietet werden konnten. Diese Computer ermöglichten anonyme Straftaten und konnten nach der Nutzung schnell abgeschaltet werden, um die Strafverfolgung zu erschweren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/33/99332844f91f510eaedf1c857a567706/0128775218v2.jpeg "Bei erfolgreicher Ausnutzung der Schwachstelle EUVD-2025-205454 / CVE-2025-68668 können Cyberkriminelle aus der Sandbox von n8n-Projekten ausbrechen und Schadcode ausführen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/81/06/81063301a7b1384446e1956b0962da7c/0128938076v2.jpeg "Symbolischer Auftakt in Brandenburg: Die AWS European Sovereign Cloud richtet sich an öffentliche Auftraggeber und stark regulierte Branchen in der EU. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/d8/73/d87362ef0fcf479f5f38706e92fe06bb/0128612106v1.jpeg "Bei den defekten Systemdatenträgern, die bei CBL Datenrettung behandelt werden, machen SSDs inzwischen rund 70 Prozent aus. Hier muss sich das Unternehmen auf neue Controller wie die von Maxio Technology einstellen. (Bild: CBL )")
:quality(80)/p7i.vogel.de/wcms/fc/62/fc6241572174058c15f52b26aa9cbffc/0128589742v1.jpeg "Betreiber kritischer Infrastrukturen melden laut Thales weniger Sicherheitsvorfälle, sehen aber wachsende Risiken durch KI-Systeme und künftige Entschlüsselungsszenarien im Post-Quanten-Kontext. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/d4/67d44564cddb408808b423c810adf54d/0128931179v1.jpeg "Sandboxes und KI-basierte Cybersicherheit, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Carsten Willems von VMRay. (Bild: Vogel IT-Medien / VMRay / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/67/d4/67d44564cddb408808b423c810adf54d/0128931179v1.jpeg "Sandboxes und KI-basierte Cybersicherheit, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Carsten Willems von VMRay. (Bild: Vogel IT-Medien / VMRay / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69da8b24c9883bb69fe5476ba02824/0127383893v1.jpeg "Die Rolle von Sandboxes in einer KI-basierten Cybersicherheit, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Carsten Willems von VMRay. (Bild: Vogel IT-Medien / VMRay / Schonschek)")