Der Aufstieg der agentenbasierten KI in der Cybersicherheit: Fragen, die jedes Unternehmen seinen Managed Security-Anbietern stellen sollte
Ein starker Cyberschutz ist nicht länger eine strategische Priorität, sondern nicht nur ein strategischer Wettbewerbsvorteil, sondern eine Überlebensvoraussetzung. Cyberangriffe sind schneller, raffinierter und unerbittlicher als je zuvor, doch viele Unternehmen verlassen sich noch immer auf Sicherheitsmodelle, die nicht Schritt halten können.
Hier verändert Agentic AI die Sicherheitsabläufe. Durch die Kombination von Maschinengeschwindigkeit, adaptiver Intelligenz und autonomem Handeln stellt sie die nächste Evolutionsstufe der SecOps dar. Den meisten Unternehmen fehlen jedoch die internen Ressourcen, das Fachwissen oder die 24/7-Personalausstattung, um eine solche Fähigkeit intern aufzubauen und zu pflegen. Aus diesem Grund kann ein moderner Managed Detection and Response-Anbieter (MDR oder MXDR) als Multiplikator fungieren und fortschrittlichen Schutz bieten, ohne dass dieser von Grund auf neu aufgebaut werden muss.
Die Einführung von Agentic AI ist jedoch nicht so einfach wie das Umlegen eines Schalters. Um ihr volles Potenzial auszuschöpfen, brauchen Sie einen Anbieter, der weiß, wie man sie effektiv einsetzt. Das beginnt damit, die richtigen Fragen zu stellen.
Was ist agentenbasierte KI?
Agentische KI geht über Automatisierung hinaus. Im Gegensatz zur deterministischen KI, die vorgegebenen Skripten folgt, kann die agentenbasierte KI eigenständig bewerten, entscheiden und innerhalb definierter Leitplanken handeln. Sie ist in der Lage, komplexe Untersuchungen durchzuführen und sogar Eindämmungsmaßnahmen einzuleiten, ohne dass die menschliche Expertise auf der Strecke bleibt.
Im Automatisierungssystem von Ontinue ist dies die höchste von drei Ebenen:
- Deterministische Automatisierung - Vordefinierte, regelbasierte Aktionen, die jedes Mal auf die gleiche Weise ausgeführt werden.
- AI-unterstützte Analyse - KI unterstützt menschliche Analysten und beschleunigt die Entscheidungsfindung.
- Agentische AI-Untersuchungen - KI treibt die Ermittlungen von Anfang bis Ende voran: Sie erfasst dynamisch den Kontext, wägt Optionen ab und unternimmt Schritte zur Lösung.
Diese oberste Ebene bietet echte Schnelligkeit und Skalierbarkeit und macht den Unterschied zwischen einem kleinen Vorfall und einer ausgewachsenen Sicherheitsverletzung aus.
Cybersecurity ist ein Spiel der Geschwindigkeit
Cybersicherheit ist heute ein Wettlauf mit der Zeit. Je schneller Sie erkennen, untersuchen und reagieren können, desto weniger Schaden kann ein Angreifer anrichten. Selbst in Kombination mit herkömmlicher KI haben rein menschliche Workflows Schwierigkeiten, den Angreifern zuvorzukommen.
Agentische KI verschiebt die Gleichung. Sie analysiert kontinuierlich Aktivitäten, erkennt Abweichungen vom erwarteten Verhalten und leitet Reaktionen auf validierte Bedrohungen in Echtzeit ein. Durch die Automatisierung umfangreicher Ermittlungsaufgaben können sich menschliche Analysten auf strategische Entscheidungen und komplexe Bedrohungsszenarien konzentrieren.
Das Ergebnis ist nicht nur, dass die Lücke geschlossen wird, sondern auch, dass der Vorteil wieder bei den Verteidigern liegt. In Bereichen wie dem Gesundheitswesen, dem Finanzwesen oder kritischen Infrastrukturen kann das bedeuten, dass kostspielige Ausfallzeiten, Datenverluste oder sogar Sicherheitsrisiken verhindert werden.
Die MDR-Lücke
Während viele MDR-Anbieter sich selbst als “KI-gestützt” vermarkten, sind nur wenige über eine grundlegende Automatisierung oder maschinelles Lernen hinausgegangen. Einige können Warnungen anreichern oder Zusammenfassungen erstellen, was nützlich ist, sich aber auf skriptgesteuerte Aufgaben beschränkt. Sie untersuchen die Bedrohungen nicht dynamisch, wägen nicht mehrere Reaktionswege ab und handeln nicht autonom in Echtzeit.
Dies verdeutlicht die MDR-Lücke: den Abstand zwischen dem, was mit moderner KI möglich ist, und dem, was die meisten Anbieter tatsächlich leisten.
Um diese Lücke zu schließen, bedarf es mehr als nur einer Technologie. Agentische KI muss in das Herzstück der SOC eingebettet werden, um die Erkennung zu verbessern, Untersuchungen zu beschleunigen und Abhilfemaßnahmen zu automatisieren, während sie mit der einzigartigen Risikolage und den Compliance-Anforderungen eines Unternehmens in Einklang gebracht wird.
Warum die Wahl des richtigen Anbieters wichtig ist
Nicht alle MDRs/MXDRs verfügen über die gleiche Tiefe an Fachwissen oder Integration mit Agentic AI. Einige vermarkten den Begriff nur, während andere ihre Sicherheits-Frameworks wirklich darauf aufbauen. Die Überprüfung Ihres Anbieters ist von entscheidender Bedeutung, und die folgenden Fragen können Ihnen bei Ihren Gesprächen helfen:
- Wie sieht Ihre Erfolgsbilanz bei Agentic AI aus? Wie lange setzen Sie es schon ein? Können Sie Fallstudien aus der Praxis nennen, in denen Agentic AI eine entscheidende Rolle bei der Eindämmung von Bedrohungen oder der Lösung von Vorfällen gespielt hat?
- Wie sieht Ihr Team aus? Beschäftigt der Anbieter spezielle KI-Forscher, und wie werden die KI-Richtlinien definiert und trainiert? Welches Maß an KI-Engineering-Fachwissen unterstützt ihre Plattform? Ebenso wichtig ist die Frage, ob das SOC-Team eine Rolle bei der Gestaltung und Schulung der KI spielt, um sicherzustellen, dass sie wie ein menschlicher Analyst argumentiert und recherchiert?
- Wie können Sie unsere Umwelt bewerten und umfassend verstehen? Agentische KI ist nur so effektiv wie der Kontext, in dem sie arbeitet. Erkundigen Sie sich, wie der Anbieter Ihre gesamte Umgebung abbildet und transparent hält, von lokalen Systemen und Cloud-Workloads bis hin zu Benutzerverhalten und bestehenden Sicherheitskontrollen. Ein Anbieter, der Zeit in das Verständnis Ihrer Infrastruktur und Ihrer betrieblichen Prioritäten investiert, wird weitaus effektiver bei der Bereitstellung von KI-gesteuerten Abwehrmaßnahmen sein, die präzise, relevant und sicher sind.
- Wie ist Agentic AI in Ihren Sicherheitsrahmen integriert? Ist es Teil eines jeden Erkennungs- und Reaktionsworkflows oder wird es nur in bestimmten Fällen eingesetzt? Unterstützt es Analysten, führt es Untersuchungen durch oder führt es Eindämmungsmaßnahmen durch?
- Mit welchem Grad an Autonomie arbeitet sie? Einige KI-Systeme erfordern immer noch eine starke menschliche Kontrolle, andere können Entscheidungen innerhalb vordefinierter Grenzen treffen und ausführen. Machen Sie sich klar, wo sich der Anbieter in diesem Spektrum befindet und ob er mit Ihrer Risikotoleranz übereinstimmt.
- Wie gewährleisten Sie Genauigkeit und Zuverlässigkeit? Erkundigen Sie sich nach den Sicherheitsvorkehrungen gegen falsch-positive Ergebnisse oder übersehene Bedrohungen. Dazu können kontinuierliches Modelltraining, Kreuzvalidierung mit menschlichen Analysten und regelmäßige Leistungstests gehören.
- Wie lange dauert es in der Regel von der Erkennung bis zur Reaktion? Verlangen Sie echte Messwerte, nicht nur Durchschnittswerte. Der Anbieter sollte in der Lage sein zu demonstrieren, wie Agentic AI diese Zeit im Vergleich zu herkömmlichen Methoden verkürzt.
- Wie gehen Sie mit Datenschutz und Compliance um? Jedes KI-gesteuerte System muss strenge gesetzliche Anforderungen erfüllen. Stellen Sie sicher, dass sie erklären können, wie Ihre Daten verarbeitet, gespeichert und geschützt werden.
- Welche Schulungen und Unterstützung bieten Sie unserem Team? Die besten Ergebnisse werden erzielt, wenn menschliche und KI-Fähigkeiten aufeinander abgestimmt sind. Erkundigen Sie sich, ob der Anbieter Anleitungen, Playbooks und laufende Schulungen für Ihre Mitarbeiter anbietet, damit diese effektiv mit Agentic arbeiten können.
Agentische KI ist kein Zukunftskonzept. Sie verändert bereits jetzt die Arbeitsweise der besten SOCs. Durch die Kombination von maschineller Autonomie und menschlichem Fachwissen sorgt sie für Geschwindigkeit, Umfang und Konsistenz bei der Abwehr moderner Bedrohungen.
Allerdings ist Technologie allein nicht genug. Der Erfolg hängt davon ab, ob Ihr Anbieter die agentenbasierte KI wirklich in jede Phase der Erkennung, Untersuchung und Reaktion integriert hat. Wenn Sie jetzt die richtigen Fragen stellen, können Sie sicher sein, dass Sie einen Partner wählen, der die MDR-Lücke schließt und die proaktive, anpassungsfähige Verteidigung bietet, die Ihr Unternehmen braucht.
In einer Welt, in der sich Cyberangriffe schneller als je zuvor entwickeln, ist die Sorgfaltspflicht nicht mehr optional, sondern von entscheidender Bedeutung.
Craig Jones leitet das globale Netzwerk der Security Operations Center (SOCs) von Ontinue. Zu seinen Aufgaben gehören die Leitung und Optimierung der Teams, die für die Sicherheitsüberwachung, die Reaktion auf Vorfälle und die Erkennung von Bedrohungen in den vier SOCs des Unternehmens verantwortlich sind. Zuvor war Craig Jones Vice President of Security Operations bei Ontinue. Bevor er zu Ontinue kam, war Craig acht Jahre lang bei Sophos tätig, wo er zum Senior Director of Global Security Operations aufstieg. Bei Sophos war Craig für die operativen Aspekte des weltweiten Sicherheitsprogramms des Unternehmens verantwortlich und stellte sicher, dass die globale Sicherheitsinfrastruktur der Organisation robust und skalierbar war.
Craig ist ein angesehener Experte auf dem Gebiet der Cybersicherheit und verfügt über Zertifizierungen wie GCIH und CISSP. Er engagiert sich aktiv in der Cybersicherheits-Community, ist seit 2019 ehrenamtlich als Direktor von BSides Cymru/Wales tätig und hält regelmäßig Vorträge auf Branchenveranstaltungen. Seine Vordenkerrolle umfasst Themen wie Incident Response, SOC-Automatisierung, Threat Intelligence und SIEM. Craig hat einen Bachelor-Abschluss in Informationstechnologie von der University of South Wales.
