Künstliche Intelligenz ist im Security Operations Center (SOC) längst kein Zukunftsthema mehr. Während erste Automatisierungslösungen vor allem repetitive Aufgaben übernahmen, markieren sogenannte Multi-Agenten-Systeme (MAS) eine neue Evolutionsstufe. Wie diese Systeme tatsächlich arbeiten, erläutert Theus Hossmann, Chief Technology Officer beim Züricher MXDR-Anbieter Ontinue, in einer aktuellen Einordnung – und gibt damit einen seltenen Einblick in die operative Logik KI-gestützter Incident-Response.
Vom Tool zum digitalen Analysten-Team
Multi-Agenten-Systeme bestehen aus hochspezialisierten KI-Agenten, die arbeitsteilig zusammenwirken. Im Unterschied zu klassischen Automatisierungsworkflows, die regelbasiert reagieren, zerlegen MAS komplexe Sicherheitsvorfälle eigenständig in strukturierte Teilprozesse – ähnlich einem menschlichen SOC-Team mit klar verteilten Rollen.
Laut Hossmann übernehmen solche Systeme inzwischen Tier-2- und Tier-3-Untersuchungen, erstellen Analyseberichte und formulieren Handlungsempfehlungen. Während menschliche Analysten für komplexe Incidents häufig 30 Minuten bis mehrere Stunden benötigen, liefern KI-Agenten erste belastbare Ergebnisse innerhalb weniger Minuten. Der operative Hebel liegt dabei weniger in Geschwindigkeit allein, sondern in der strukturierten Reproduktion bewährter Analyseprozesse.
Hypothesengetrieben statt reaktiv
Der Untersuchungsprozess beginnt mit einer Hypothesenbildung. Auf Basis initialer Alarme, betroffener Entitäten und Kontextinformationen formuliert der Agent eine erste Annahme über den möglichen Vorfall. Dieses Vorgehen spiegelt die Arbeitsweise erfahrener Analysten wider: Auch sie arbeiten nicht rein datengetrieben, sondern entwickeln Annahmen, die sie systematisch prüfen.
Darauf aufbauend erstellt das System einen Untersuchungsplan. Es validiert oder verwirft Hypothesen, ergänzt alternative Szenarien und passt den Plan dynamisch an neue Erkenntnisse an. Entscheidend ist dabei die Fähigkeit, Kontext zu berücksichtigen – also beispielsweise frühere Incidents oder typische Angriffsmuster in der jeweiligen IT-Umgebung.
Erfahrungswissen als digitales Gedächtnis
Ein zentrales Element moderner MAS ist das „Gedächtnis“. Die Systeme analysieren frühere Bearbeitungen vergleichbarer Fälle und greifen auf dokumentierte Entscheidungswege menschlicher Analysten zurück. Dadurch werden nicht nur technische Indikatoren, sondern auch bewährte Prüfschritte und Interpretationen reproduziert.
Dieser Ansatz reduziert inkonsistente Bewertungen und erhöht die Standardisierung komplexer Analysen. Gleichzeitig bleibt Transparenz ein zentrales Kriterium: Die Systeme dokumentieren nachvollziehbar, welche Datenquellen, Abfragen oder API-Calls zur Evidenzgewinnung genutzt wurden.
Kontinuierliche Reflexion und Anpassung
Während der Untersuchung reflektieren die Agenten ihre Zwischenergebnisse fortlaufend. Neue Beweise führen zur Verfeinerung oder Neugewichtung von Hypothesen. Fortschrittliche Systeme wie Ontinues „Autonomous Investigator“ integrieren darüber hinaus explizites Feedback von Analysten sowie implizite Nutzungssignale, um ihre Entscheidungslogik in Echtzeit anzupassen.
Damit entsteht ein lernendes System, das sich an individuelle IT-Umgebungen anpasst – ein entscheidender Faktor in heterogenen Unternehmenslandschaften mit stark variierenden Risikoprofilen.
Automatisierung mit klaren Grenzen
Nach Angaben von Ontinue konnten im vergangenen Jahr bis zu 97 Prozent aller Incidents ohne menschliches Eingreifen gelöst werden. Dennoch warnt Hossmann vor einer Überhöhung der Technologie. „Auch wenn KI massiv entlastet, bleiben Fälle, in denen menschliche Analysten unabdingbar sind“, betont er. Komplexe strategische Bewertungen, unternehmensspezifische Abwägungen oder kommunikative Entscheidungen lassen sich nicht vollständig automatisieren.
Die eigentliche Stärke von Multi-Agenten-Systemen liegt daher weniger in der vollständigen Ersetzung von Experten als in der Skalierung knapper Ressourcen. In einer Zeit, in der Security-Teams mit einer stetig wachsenden Zahl von Alerts, Datenquellen und Bedrohungsszenarien konfrontiert sind, schafft KI vor allem eines: operative Luft.
Fazit
Multi-Agenten-Systeme verändern die Arbeitsweise moderner SOCs grundlegend. Sie arbeiten hypothesengeleitet, kontextsensitiv und lernfähig – und bilden damit zentrale Elemente menschlicher Analyseprozesse technisch nach.
Wie Theus Hossmann ausführt, ist KI in der Cybersicherheit kein optionales Add-on mehr, sondern ein strukturelles Antwortinstrument auf Überlastung und Komplexität. Entscheidend wird künftig sein, Automatisierung und menschliche Expertise sinnvoll zu verzahnen – nicht als Konkurrenz, sondern als integriertes Verteidigungsmodell gegen eine zunehmend dynamische Bedrohungslage.
