Von Analysten und Agenten: KI in der Cyberdefence
Die Stärke von künstlicher Intelligenz liegt in der Verarbeitung grosser Datenmengen – wie sie beispielsweise in der Cyberdefence anfallen. Doch welche Einsatzszenarien gibt es, was sagen die Trends, und wie können KI-Agenten die Fachleute unterstützen? Ein Blick in eine nicht so ferne Zukunft.
Text: Andreas Heer, Bild: Swisscom, Datum: September 2025 12 Min.
Künstliche Intelligenz (KI) ist prädestiniert für den Einsatz in der Cyberdefence, etwa im Security Operation Center (SOC). Denn dort werden die Security-Analyst*innen geradezu überflutet von einem Datenmeer aus Alerts und Warnmeldungen aus Logdateien. Hier kann KI ihre Stärken ausspielen, die Verarbeitung und Analyse grosser Datenmengen. Ist KI also ein Heilmittel gegen die gefürchtete «Alert Fatigue», wenn wichtige Meldungen aufgrund der schieren Menge übersehen werden? Dieser Artikel geht der Frage nach, wie sich (generative) künstliche Intelligenz für die Cyberdefence nutzen lässt und welche Entwicklungen und Trends sich dabei abzeichnen.
Welche KI darfs denn sein?
KI arbeitet nicht erst seit kurzem im SOC. Es kommt allerdings darauf an, was man darunter versteht. Machine-Learning-Modelle (ML) bewähren sich seit längerem, um aus grossen Datenmengen nachvollziehbare Prognosen zu erstellen, das Gefährdungsrisiko zu bestimmen oder Anomalien zu entdecken.
Anders präsentiert sich die Situation mit den grossen Sprachmodellen (LLM) der generativen künstlichen Intelligenz, kurz GenAI. Diese eher neue Technologie, die sich zudem in rasanter Entwicklung befindet, hat gewissermassen erst an der (gut gesicherten) SOC-Türe angeklopft. Dabei sind es weniger die bekannten Chatbots à la ChatGPT oder Copilot. Sondern, die Analyst*innen erhalten Unterstützung von digitalen Assistenten. «Wir sehen einen Trend hin zu KI-Agenten, die einfachere Incidents selbständig bearbeiten», schätzt Dusan Vuksanovic, Leiter des Swisscom Outposts in Palo Alto, die aktuelle Entwicklung ein.
Mit KI-Agenten die Menschen entlasten
Ein KI-Agent ist eine Software, die selbständig Informationen aus verschiedenen Quellen zusammentragen und mit Hilfe von Machine Learning oder eines LLM auswerten kann. Basierend auf dem Ergebnis kann der virtuelle Helfer anschliessend eine Handlung auslösen. So könnte ein KI-Agent beispielsweise über ein API Informationen zu einem Security-Event aus dem SIEM auslesen, mit Threat-Intelligence-Informationen anreichern und bei der Bestätigung des Vorfalls selbständig das entsprechende SOAR-Playbook abspielen. Ein befallenes Notebook etwa könnte so automatisch vom Netzwerk getrennt werden. Ein SOC-Analyst müsste den Vorgang nur noch bestätigen.
Denn KI-Agenten ersetzen die Fachleute nicht, sondern entlasten sie von Routinearbeiten, indem sie den manuellen Aufwand verringern. In diesem Szenario bleibt die Kontrolle bei den Fachleuten. In diese Richtung gehen die aktuellen Entwicklungen bei den Anbietern von Security-Lösungen, wie Vuksanovic festhält: «KI für Security Operations ist seit mehreren Monaten im Fokus der Industrie. Erste Projekte laufen bereits – mit vielversprechenden Ergebnissen.» Eine Entwicklung, die Oliver Stampfli, Head of Cyberdefence B2B bei Swisscom, teilt: «KI-Agenten können die Fachleute darin unterstützen, Informationen zusammenzutragen, um auf dieser Basis Entscheidungen für die Incident Response zu treffen oder vorzuschlagen.»
Beispiele für den Einsatz von KI in der Cyberdefence
«Ein grosser Trend sind aktuell KI-Agenten als autonome Analysten. Sie helfen, First-Level-Aufgaben im SOC zu automatisieren und unterstützen die Fachleute beispielsweise bei der Datenaufbereitung und Analyse», sagt Beni Eugster, Cloud Operation and Security Officer bei Swisscom. Doch es sind nicht nur einfache Aufgaben, bei denen die virtuellen Helfer unterstützen können. Eugster und Vuksanovic beobachten noch weitere Trends:
- Unterstützung bei komplexen Fällen: Wenn bei einem Sicherheitsvorfall grosse Datenmengen aus verschiedenen Quellen korreliert werden müssen, kann ein KI-Agent diese Aufgabe übernehmen. Das entlastet die Fachleute von Routinearbeiten und ermöglicht es ihnen, ihre Expertise verstärkt einzubringen.
- Managed Detection and Response (MDR): KI-Agenten übernehmen die Schritte von der Bedrohungserkennung bis zur Reaktion selbständig unter Kontrolle eines Menschen. «Wir gehen davon aus, dass sich dadurch bis zu 80 Prozent der Fälle automatisch lösen lassen», schätzt Vuksanovic. «Dadurch sinken auch die Kosten für MDR, was es auch für KMU interessant macht.»
- Automatisiertes Reporting: Berichte der Incident Response zeichnen sich durch zwei Eigenschaften aus: Sie sind einigermassen standardisiert und gehören eher zu den weniger beliebten Aufgaben von Cybersecurity-Fachleuten. Hier kann KI auf unterschiedliche Weise unterstützen: Ein GenAI-Chatbot kann bei der Formulierung und Zusammenfassung helfen oder bei der Übersetzung in andere Sprachen. In einer fortgeschrittenen Stufe trägt ein KI-Agent selbständig die benötigten Informationen zusammen und erstellt daraus den Bericht.
- Vulnerability Management: Ein KI-Agent kann Informationen aus Quellen wie Threat-Intelligence-Feeds, Security Advisories oder Exploit-Datenbanken zusammentragen und damit eine Risikoabschätzung erstellen. Dieser proaktive Ansatz kann helfen, neue Bedrohungen frühzeitig zu erkennen.
Wie sich die Arbeit in der Cyberdefence verändert
Künstliche Intelligenz wird menschliche Security-Analyst*innen nicht ersetzen, sondern unterstützen. Mit einer automatisierten Analyse können sie aufgrund ihres Fachwissens und der Erfahrung schneller eine Einschätzung vornehmen und passende Massnahmen einleiten. Junior-Analyst*innen erhalten mit GenAI zudem einen virtuellen Coach, der jederzeit verfügbar ist und sie bei der täglichen Arbeit unterstützt. Indem KI gewisse Routinearbeiten übernimmt, bleibt den Security-Analyst*innen mehr Zeit, um ihre Expertise in komplexen Fällen einzubringen. Hier sieht Vuksanovic einen deutlichen Vorteil: «Die Fachleute können sich auf die Analyse und die Handlungsempfehlungen konzentrieren. Damit treffen sie bessere Entscheide.»
Diese Arbeitsweise mit virtuellen Assistenten verändert nicht nur die Art der Arbeit, sondern auch die Anforderungen an die Fachleute. Insbesondere die Kommunikation gewinnt an Bedeutung. Das gilt sowohl für die Validierung von KI-Vorschlägen als auch für deren Interpretation und den Austausch der Ergebnisse mit anderen Teammitgliedern. Hinzu kommt ein Grundverständnis für die Funktionsweise von KI-Modellen und -Agenten, um die Qualität der Ergebnisse einschätzen zu können.
Die KI-Transformation in der Cyberdefence angehen
KI-Agenten sind eine junge technische Entwicklung, die erst am Anfang steht. «Wir beobachten, dass diese Entwicklung im Fokus der Security-Industrie steht, bei Start-ups, etablierten Anbietern und auch Investoren», sagt Vuksanovic. Auf Kundenseite, bei Unternehmen, finden erste Projekte und Proof of Concepts statt, um die Möglichkeiten auszuloten – «mit vielversprechenden Resultaten», ergänzt Vuksanovic. Derzeit zeigen sich zwei Ansätze ab, wie KI-Agenten in die Security Operations eingebunden werden können:
- Neue, agentenbasierte SIEM- und SOAR-Lösungen: Dieser Ansatz bietet eine weitgehende Integration von KI-Agenten, bedingt aber den Ersatz bestehender Systeme. Entsprechend gross fallen solche Projekte aus.
- Erweiterung bestehender Lösungen: Hierbei kann es sich um Weiterentwicklungen handeln, die für gewisse Arbeitsschritte KI-Agenten unterstützen. Oder aber um separate Agentic-AI-Lösungen, die zusätzlich implementiert werden und die via APIs auf bestehende Systeme zugreifen.
Die Cyberdefence wird erweitert
GenAI und KI-Agenten werden die Abläufe und Aufgaben in der Cyberdefence verändern. «Der Einsatz von Agentic AI in einem SOC bietet das Potenzial für eine höhere Effizienz, kürzere Reaktionszeiten und eine umfassende Bedrohungsanalyse», betont Oliver Stampfli. «Das kann insgesamt zu einer deutlich verbesserten Sicherheitslage führen.» Die erwarteten Vorteile liegen auf der Hand. Doch es gilt, sich auch der Risiken bewusst zu sein. Neben Aspekten der Datensicherheit geht es vor allem um die Antworten und Entscheidungen der KI-Agenten, wie Stampfli ausführt: «Es ist wichtig, hierbei die ethischen und sicherheitstechnischen Implikationen zu berücksichtigen, um Risiken wie Fehlentscheidungen und unbeabsichtigte Konsequenzen zu minimieren.»