Kein Thema treibt die IT-Branche aktuell weiter um als die Künstliche Intelligenz. Angesichts steigender Cyberattacken und größeren Angriffsflächen sehen viele in ihr die Lösung. Nützlich ist sie zweifelsohne. Den Menschen zu ersetzen, vermag sie jedoch nicht.
Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich schon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss.
(Bild: Kaikoro - stock.adobe.com)
Wenn es nur für die IT-Branche eine Wahl zum Wort des Jahres gäbe, würde es nach aktuellem Stand der Dinge ein Kopf-an-Kopf-Rennen zwischen den Begriffen „Cybersicherheit“ und „KI“ geben. Während einerseits die Bedrohungslage zunehmend kritischer wird, scheiden sich die Geister bei der Frage, ob Künstliche Intelligenz der Grund für diese Krise oder eine Lösung für sie ist. Ob nun Fluch oder Segen, argumentativ haben Vertreter beider Seiten dieser Diskussion durchaus valide Punkte. Pessimisten führen an, dass es Hacker und andere Cyberkriminelle durch immer ausgefeiltere und zugänglichere KI-Kapazitäten leichter haben, Systeme zu knacken und Schadsoftware zu verbreiten. Zudem demokratisieren Tools wie die auf Large Language Models (LLM) basierenden Chatbots „Bard“ von Google und „ChatGPT“ von OpenAI den Zugang zu der mächtigen generativen Künstlichen Intelligenz.
Optimisten hingegen sehen in KI und Machine Learning (ML) schon seit weit über zehn Jahren Verbündete im Kampf gegen Cyberattacken – und auch sie haben Recht. Sicherheitsanwendungen wie Virenscanner, Firewalls und EDR (Endpoint Detection and Response)- sowie SIEM (Security Information and Event Management)-Tools nutzen ML bereits sehr lange, um Verhaltensmuster bei Hackerangriffen und auch von Schadsoftware selbst mit Hilfe heuristischer Verfahren zu erkennen. Oft entlarvt nämlich nicht nur eine bestimmte Signatur einer Datei, sondern bereits die Code-Struktur einer Software sie als Malware. Durch immer größere ML-Modelle erhöht sich die Akkuranz und die Trefferwahrscheinlichkeit, während sich auf Angreiferseite immer diffizilere Wege eröffnen, Sicherheitsbarrieren zu überwinden. Aktuell findet demnach ein starkes Wettrüsten statt.
KI im praktischen Einsatz
Ein Blick auf aktuelle Security-Anwendungen sowie die Arbeitsweise und das Tools-Set von Managed-Service-Anbietern zeigt: Künstliche Intelligenz kommt bei den meisten von ihnen längst nicht so flächendeckend zum Einsatz, wie der Hype um das Thema es suggeriert. In der Praxis ist KI vor allem Bestandteil von EDR-Tools. Mittels Heuristik erkennen sie Anomalien im Verhalten von Usern oder Anwendungen, vielleicht auch in der Netzwerkkommunikation und zeigen, wo Hacker in das System eingedrungen sind. All diese Szenarien sind jedoch rein reaktiv und helfen dem Security Operations Center (SOC), also einem Team aus Sicherheitsexperten, vor allem bei der Threat Detection. Das ist selbstverständlich hilfreich, jedoch müssen SOCs Meldungen der Sicherheitssoftware viel zu oft zunächst sichten, prüfen, priorisieren, analysieren und kommen erst dann dazu, auf sie zu reagieren. Kostbare Zeit, die verloren geht und eine Verzögerung, die bereits große Konsequenzen nach sich ziehen kann.
Manche SIEM-Plattformen wie Microsoft Sentinel setzen KI ein, um diese Mean Time to Respond (MTTR) zu verringern, indem das System Warnungen und Vorfälle (Incidents) bereits voranalysiert und priorisiert. Das steigert die Effizienz der menschlichen Analysten und deren Fähigkeit, möglichst schnell auf Vorfälle reagieren zu können. Eine besondere Fähigkeit, die spezielle KI-Anwendungen in diesem Zusammenhang durch den Einsatz von GPT und anderen LLMs lernen können, ist die Kategorisierung von Incidents. Nicht jeder Vorfall, der einen Alarm der Sicherheitssoftware evoziert, ist auch wirklich für jedes Unternehmen relevant. Manche Viren können auf Systemen auftauchen, dort aber etwa aus Kompatibilitätsgründen keinen Schaden anrichten. Sogenannte „Benign Positives“ sind für Analysten besonders lästig, da sie zwar echte Vorfälle sind, aber keiner Reaktion bedürfen. Dennoch verschlingen sie oft ähnlich viel Untersuchungszeit wie „True Positives“, also kritische Vorfälle.
Um diese Einschätzung vornehmen zu können, benötigt die zugrundeliegende Künstliche Intelligenz allerdings detaillierte Informationen über lokale Umgebungen. In diesem Zusammenhang sprechen Experten von einer „Lokalisierung“, die nicht nur für reaktive, sondern auch für proaktive Sicherheitsmaßnahmen von essenzieller Bedeutung ist. Einige wenige SOCs trainieren ihre KI-Anwendungen zu diesem Zweck mit strukturellem und operationalem Kontext. Ersteres bezieht sich darauf, die Künstliche Intelligenz mit den Assets eines Unternehmens vertraut zu machen – also der gesamten Hard- und Software-Infrastruktur.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die IT-Sicherheitsabteilung muss ihrer KI-basierten Sicherheitsplattform dafür Einblick in sämtliche Komponente geben, vom Backend-Server über Router und Netzwerkgeräten bis zu den Endpunkten. Das ist weniger invasiv als es klingt, denn sind EDR- und SIEM-Tools im Einsatz, laufen die nötigen Informationen ohnehin in ihnen zusammen, sodass die KI-Plattform nur ein weiterer Layer ist, der nicht auf jedem Gerät installiert werden muss. Der operationale oder betriebliche Kontext ist etwas diffiziler abzubilden: Dazu muss das SOC die KI mit Informationen zur Lösung von Vorfällen vertraut machen, etwa indem sie sie in das von der IT-Abteilung verwendete Ticketing-System einbinden. Die Künstliche Intelligenz lernt auf diese Weise nicht nur die Kategorisierung von Vorfällen, sondern kann auch redundante Workflows identifizieren. Ein wichtiger Baustein, um sie schließlich zu automatisieren.
Eine weitere neue Methode aus dem Bereich Lokalisierung ist die Cricitcal Asset Intelligence. Speziell via Machine Learning trainierte Anwendungen erkennen automatisch, wenn sich die lokale IT-Infrastruktur verändert. Tauscht ein Unternehmen einen Router gegen ein neueres Modell oder installiert eine neue Software, erkennt die KI diesen Vorgang, analysiert das Gefahrenpotenzial und gibt Meldung an das zuständige IT-Sicherheitspersonal. Das SOC kann im Falle eines neuen oder erweiterten Risikos reagieren, bevor die veränderte Infrastruktur zu einem Problem wird.
Automatisierung und Bots – Wird der Mensch überflüssig?
Der sprichwörtliche Elefant im Raum und das aktuelle Lieblingsthema der IT-Branche sind natürlich Large Language Models und die durch sie mögliche Automatisierung. Das Gedankenspiel, Sicherheitsteams langfristig durch ChatGPT und Co zu ersetzen, haben bereits viele bemüht. Aktuell ist die vollständige Automatisierung eines SOCs noch absolute Zukunftsmusik – wenn es überhaupt je möglich sein wird, den Menschen zu ersetzen: Generative KI kann viel. Menschliche Intuition imitieren gehört jedoch nicht dazu und gerade bei sicherheitskritischen Entscheidungen sollte sich kein Unternehmen komplett auf Bots verlassen.
Das heißt allerdings nicht, dass sie nicht nützlich wären, im Gegenteil. Ein gutes Beispiel sind KI-Modelle, die bei einem Incident erwägen, wie sicherheitsrelevant er ist, ohne automatisiert auf ihn zu reagieren. Da eine KI nicht immer entscheiden kann, ob ein vermeintlicher Vorfall wirklich ein Benign Positive oder ein True Positive ist, sendet das Modell den Verantwortlichen IT-Sicherheitsexperten stattdessen einen Wahrscheinlichkeits-Score und eine Übersicht über die Faktoren, die die KI für diese Entscheidung einbezogen hat. Der Analyst kann den Vorfall dann schließen oder weiterrecherchieren. Und auch ein Tool wie der ION Chatbot, der auf Azure OpenAI basiert, hilft SOCs in großem Maßstab. Mit natürlicher Sprache können sie innerhalb von Sekunden wertvolle und sicherheitsrelevante Informationen abfragen, für die sie sonst eine stunden- oder tagelange Recherche benötigen würden.
Natürlich gibt es Incidents, die sehr elaborierte KI-Tools bereits heute automatisiert abarbeiten können oder auf die sie zumindest eine unmittelbare Reaktion ausführen können, die dann eines weiteren Eingreifens von menschlicher Seite aus bedarf. Bestimmte EDR-Tools sperren User etwa aus dem Unternehmensnetz aus, wenn sie eine Anomalie in deren Verhalten erkennen. Auf diese Weise lassen sich mit entsprechenden KI-Tools und Sicherheitsplattformen bis zu 70 Prozent aller Vorfälle automatisiert abwickeln. Bleiben jedoch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch – nach wie vor – selbst Hand anlegen muss. Künstliche Intelligenz wird die IT-Branche und insbesondere den Bereich Cybersicherheit revolutionieren. Um ihre Jobs brauchen sich Mitglieder von SOCs allerdings auch auf lange Sicht nicht zu sorgen.
Über den Autor: Jochen Koehler ist VP EMEA Sales bei Ontinue.
:quality(80)/p7i.vogel.de/wcms/18/39/18395f3882e23a90a5df6aad288b8133/0129680689v2.jpeg "Die Aussicht auf kurzfristig wieder sinkende Speicherpreise ist nur eine Fata Morgana. Da sind sich alle unsere Ansprechpartner im IT-Channel einig. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/7e/af7e2841e3378f8b6a9a98510b9aad14/0129262578v6.jpeg "Wenn auf der Karriereleiter die unteren Sprossen fehlen, wird der Berufseinstieg schwierig. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/0a/b10a1728b28e31742863ab562d50b056/0129965504v1.jpeg "Cloudera stärkt das Führungsteam in Europa: Jens Luebben (l.) wird RVP für Deutschland und Österreich, Nektarios Makris wird RVP für Central and Eastern Europe und Yari Franzini (r.) leitet die Region South, Central & Eastern Europe. (Bild: Cloudera)")
:quality(80)/p7i.vogel.de/wcms/27/2b/272b62983d0a3415d587865a293860c9/0129928655v1.jpeg "Nach zwei Jahren in Nordamerika übernimmt Kim erneut die Position als CEO der LG Western Europe Sales Subsidiary, also der DACH-Region. (Bild: LG Electronics)")
:quality(80)/p7i.vogel.de/wcms/fd/dc/fddc45ab5876fc49006eed18974a5354/0129894054v2.jpeg "Aufgrund einer Neustrukturierung auf DACH-Ebene trennt sich Westcon-Comstor von seinen Managing Directors Robert Jung (l.) und Jens Tamm. (Bild: Privat/Westcon-Comstor)")
:quality(80)/p7i.vogel.de/wcms/3e/35/3e35d8faa16dad78ce3a35c5c5d2bc8d/0129891175v1.jpeg "Christopher Rheidt (l.) rückt an die Spitze von Kyocera Document Solutions Europe Management. Seine Position als Geschäftsführer von TA Triumph-Adler übernimmt zusätzlich Dietmar Nick, CEO von Kyocera Document Solutions Deutschland. (Bild: Kyocera Document Solutions, Marcus Wichmann)")
:quality(80)/p7i.vogel.de/wcms/78/a6/78a6c4609fd9d34ed94c00dac3f313b5/0129968453v2.jpeg "Die deutsche Medien- und Werbewirtschaft missbilligt die App-Tracking-Abfrage auf iPhones. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/1f/1b1f7f5d01a123ebc64ac68de32b47d1/0129818727v1.jpeg "NIS2 ist ein komplexes Thema. Mit unserem E-Book „ NIS2: Alles Wichtige zur Richtlinie“ behalten Sie den Überblick! (Bild: Vogel IT-Medien GmbH / A. Preböck (M))")
:quality(80)/p7i.vogel.de/wcms/2a/cb/2acb88a496ed471e2fc8a7aeab010d63/0129940952v1.jpeg "Diskussionsrunde zu Digitaler Souveränität: Dr. Alexander Schellong, Dr Constanze Kurz, Dr. Fabian Mehring, Claudia Plattner, Marc-Julain Siewert und Moderatorin Carmen Hentschel (Bild: Marie Pietruschka/Ftapi)")
:quality(80)/p7i.vogel.de/wcms/cf/82/cf827b3667b6aa396592919518f04eac/0129986038v2.jpeg "Marc Oleschekwitz ist CEO bei Avendis. Er sieht den Start der Marke Avendis als wichtigen Schritt für die Entwicklung des Unternehmens an. (Bild: BAERENSTARK.MEDIA / Julian Fuchs)")
:quality(80)/p7i.vogel.de/wcms/56/c7/56c7e65d8e57a0a604e97293f9d2abba/0129973319v2.jpeg "Also baut ein KI-Kompetenzzentrum auf, um die Partner beim Vertrieb zu unterstützen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/23/09233db5336cf4b4a4ddb9557190396d/0129941803v1.jpeg "Das Google AI Center in Berlin soll eine Plattform sein, um KI-Forschende und -Entwickler zusammenzubringen. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/51/77/5177071904ccf8f5260c87a00b558e58/0129837702v2.jpeg "Die KI-basierten Tools von Trend Micro sollen die Partner im Arbeitsalltag unterstützen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/79/35798ae235cc9145cad80ec9232e5a18/0129799677v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/3f/953f4170b6fec6e6b1ea049ac435b490/0125401080v1.jpeg "Nur die wenigsten Unternehmen in Deutschland werden ihrer Registrierungspflicht beim BSI bis zum 6. März 2026 nachkommen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/d0/bdd06946a0828bfeed40fb5c40467761/0129431489v2.jpeg "(Bild: ebm-papst )")
:quality(80)/p7i.vogel.de/wcms/0e/b1/0eb141c5d1b080d4e820e7400a881e98/0129921108v1.jpeg "(Bild: Arrow)")
:quality(80)/p7i.vogel.de/wcms/8c/ac/8cac0d49b638941e9caf74512f129a57/0129417828v1.jpeg "Die Freiwillige Feuerwehr Freindorf hat sich für die Kommunikations- und Sicherheits-
lösung AGFEO für ihren Relaunch entschieden. (Bild: AGFEO)")
:quality(80)/p7i.vogel.de/wcms/c3/65/c36588a166c5c2f7f0df83dfdbc20612/0129675422v1.jpeg "(Bild: EATON)")
:quality(80)/p7i.vogel.de/wcms/4c/37/4c37426226cd459c6764e7640c40f225/0129726556v1.jpeg "Die Hannover Messe findet dieses Jahr vom 20. bis 24. April statt, erstmals ist das Thema „Rüstung“ dort vertreten. (Bild: Hannover Messe)")
:quality(80)/p7i.vogel.de/wcms/39/13/39139c4bd5f8770d4b6331f74880ae6a/0129590998v2.jpeg "Auch in diesem Jahr wird es auf dem Cloudfest volle Hallen geben. (Bild: by Rene Lamb Fotodesign)")
:fill(fff,0)/p7i.vogel.de/companies/60/de/60ded37a20a00/logo-vertiv.jpeg "logo-vertiv (VERTIV)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/7000/7040/65.jpg "Logo_07_2009_1 cm hoch ()")
:quality(80)/p7i.vogel.de/wcms/01/7c/017cc5dc5e5f33e408482ceadf7d7212/0124398583v1.jpeg "0124398583v1 (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/11/1811f664f9b6b9494e57e328e6f1072b/0128383010v4.jpeg "In der Regel wird Sichtbarkeit ohne Handlungsfähigkeit zum Ballast. Sicherheit entsteht durch identitätszentrierte Prävention, sinnvolle Automatisierung und gezieltes Threat Hunting. (Bild: Canva / KI-generiert)")