Home » News » Security Management » Die Amnesie der Abwehr

KI-Agenten im SOC: Die Amnesie der Abwehr

KI-Agenten sollen Security Operations Center schneller und effizienter machen. Doch vielen Systemen fehlt, was erfahrene Analysten auszeichnet: ein belastbares Gedächtnis für Vorfälle, Muster und frühere Entscheidungen.

2 Min. Lesezeit
Nutzung von AI im SOC
Foto: ©AdobeStock/Prdn

Die nächste Stufe der Sicherheitsautomatisierung stößt auf ein erstaunlich grundlegendes Problem: fehlende Erinnerung. Der Vergleich mit Christopher Nolans Film „Memento“ drängt sich auf. Die Hauptfigur Leonard Shelby kann analysieren, handeln und Entscheidungen treffen – doch neue Erinnerungen verschwinden nach kurzer Zeit wieder. Notizen, Fotos und Tätowierungen ersetzen, was sein Gedächtnis nicht leisten kann.

Ähnlich funktionieren heute viele KI-Agenten in Security Operations Centern (SOC). Sie analysieren Alerts, starten Abfragen in Security Information and Event Management (SIEM), arbeiten Playbooks ab und liefern in der konkreten Situation oft überzeugende Ergebnisse. Doch sobald der nächste Fall beginnt, fehlt häufig der historische Zusammenhang. Eine IP-Adresse wurde vielleicht schon bewertet, ein Nutzerverhalten bereits eingeordnet, ein Angriffsmuster mehrfach untersucht – trotzdem startet die Analyse erneut fast bei null.

Analyse ohne Erfahrung

Das Defizit liegt nicht in mangelnder Rechenleistung. Moderne KI-Systeme können große Datenmengen auswerten, Zusammenhänge formulieren und Handlungsschritte vorschlagen. Was ihnen oft fehlt, ist Erfahrung im eigentlichen Sinn: die Fähigkeit, vergangene Ereignisse dauerhaft zu speichern, miteinander zu verknüpfen und in neuen Situationen passend abzurufen.

Genau hier liegt die Stärke menschlicher Analysten. Sie erkennen wiederkehrende Muster, erinnern sich an ähnliche Vorfälle und können einschätzen, ob ein Alarm wirklich neu, nur ungewöhnlich oder bereits bekannt ist. KI-Agenten agieren dagegen häufig zustandslos. Jeder Alert wird isoliert betrachtet, frühere Bewertungen gehen verloren oder müssen umständlich wieder gesucht werden.

Warum Suche kein Gedächtnis ersetzt

Retrieval-Augmented Generation (RAG) soll diese Lücke teilweise schließen. Solche Ansätze geben KI-Systemen Zugriff auf Dokumente, Vorfälle oder Wissensdatenbanken. Doch RAG ist vor allem Suche – nicht Erinnerung. Informationen werden gefunden, wenn die richtige Frage gestellt wird. Ein echtes Gedächtnis müsste jedoch selbstständig erkennen, welche früheren Fälle, Bewertungen oder Muster relevant sind.

Für ein belastbares Gedächtnis im SOC müssten KI-Agenten mehrere Wissensformen verbinden: historische Incident-Daten, stabile Informationen über die IT-Umgebung, Erfahrungswerte aus früheren Entscheidungen sowie dynamische Bewertungen mit Kontext, Zeitbezug und Vertrauensniveau. Erst dann könnten sie wiederkehrende Fehlalarme eigenständig erkennen, legitime Abweichungen im Nutzerverhalten sauber einordnen oder Angriffe über längere Zeiträume hinweg konsistenter bewerten.

Zwischen Automatisierung und Verantwortung

Die Forschung arbeitet an möglichen Lösungen: nachträgliche Wissenskonsolidierung, verknüpfte Wissensstrukturen oder zeitbasierte Datenmodelle. Doch jedes dieser Konzepte bringt neue Risiken mit sich. Ein lernendes System kann falsche Schlüsse speichern, veraltete Bewertungen fortschreiben oder Entscheidungen schwerer nachvollziehbar machen. Gerade im SOC sind Auditierbarkeit, Begründbarkeit und klare Verantwortlichkeiten jedoch unverzichtbar.

Besonders anspruchsvoll ist die Lage für Managed Detection and Response (MDR)-Anbieter. Kollektives Lernen über viele Kunden hinweg wäre fachlich wertvoll, weil sich Angriffsmuster schneller erkennen ließen. Zugleich setzen Datenschutz, Mandantentrennung und Compliance enge Grenzen. Ein SOC-Gedächtnis darf nicht zum unkontrollierten Sammelbecken sensibler Kundendaten werden.

Noch keine autonomen Agenten

Damit wird sichtbar: Viele heute eingesetzte Systeme sind weniger autonome Agenten als hochentwickelte Workflows. Sie unterstützen Analysten, beschleunigen Routineaufgaben und erhöhen die Effizienz. Sie übernehmen aber nicht dauerhaft Verantwortung für Entscheidungen und lernen nicht zuverlässig aus ihren Ergebnissen.

Die weitere Entwicklung hängt daher an einer zentralen Frage: Wie kann ein System nachhaltig lernen – und zugleich sicherstellen, dass es nur das Richtige behält? Ohne überzeugende Antwort bleibt der autonome SOC-Agent vorerst mehr Versprechen als Realität.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Laptop mit Teams-Anwendung

Microsoft Teams erhält automatische Bot-Erkennung für Meetings

Externe Bots schleichen sich zunehmend unbemerkt in Videokonferenzen ein – etwa KI-Tools für automatische Mitschriften, die nach einmaliger Verbindung eigenständig weiteren Meeting...

Agentische KI und Compliance

Agentische KI schreibt die Regeln der Arbeit neu

KI-Agenten werden vom Assistenten zum aktiven Prozessakteur. Sie koordinieren Daten, Anwendungen und Abläufe selbstständig – und zwingen Unternehmen, Verantwortung, Kontrolle und G...

Software als Cybersecurity-Risiko

Standardsoftware wird zum Compliance-Risiko

Viele Firmen unterschätzen den EU AI Act: Nicht nur eigene KI-Projekte zählen, sondern auch KI-Funktionen in HR-, Finanz- oder Lernsoftware. Damit rücken Inventar, Kontrolle und Go...