Wie Unternehmen Security-KI effektiv gegen KI-gestützte Cyberattacken einsetzen können

(Source: zVg)

(Source: zVg)

Die Zahl der Cyberattacken nimmt seit Jahren beständig zu. Sicherheitsteams sehen sich mit der Herausforderung konfrontiert, Systeme gegen immer neue Bedrohungen zu schützen, insbesondere da Angreifer heute künstliche Intelligenz einsetzen. Um in diesem KI-Krieg die Oberhand zu gewinnen, müssen Cybersecurity-Experten Zugriff auf KI-Tools haben, die zugleich stark und sicher sind.

In einem gemeinsamen Webinar gingen Netzmedien und Anomali Ende Mai 2026 auf diese Herausforderungen ein. Mark Hassoun, Senior Sales Engineer bei Anomali, sprach darüber, wie ein modernes Cybersicherheitszentrum (Security Operations Center, SOC) ausgestattet sein sollte und welche Rolle die KI-Plattform von Anomali dabei spielen kann.

Mark Hassoun, Senior Sales Engineer bei Anomali. (Source: Screenshot / Webinar)

Skalierungsprobleme im SOC

Hassoun begann bei der Entwicklung der Cyberabwehr in den vergangenen zehn Jahren. Er habe selbst viele Firmen dabei unterstützt, SOCs basierend auf SIEM-Systemen (Security Information and Event Management) aufzubauen. Diese Systeme würden bis heute funktionieren, doch sie seien schwierig zu skalieren. Das liegt laut Hassoun primär daran, dass sich die Datenmengen in den letzten zehn Jahren exponentiell vergrössert haben, wodurch die alten Systeme an ihre Grenzen kommen.

KI-gestützte Cyberattacken nehmen seit Jahren zu. (Source: Screenshot / Webinar)

Kosten würden das Problem noch verschärfen, da man bei herkömmlichen SIEM-Plattformen für jedes erfasste Gigabyte zahle. So können die Kosten laut Hassoun um ein Vielfaches schneller steigen als das zugrunde liegende Datenvolumen, was Teams zu einem schmerzhaften Kompromiss zwischen vollständiger Transparenz und Einhaltung des Budgets zwingt.

Denn die Analysten, die sich rund um die Uhr mit den Bedrohungen auseinandersetzen, sind schnell überfordert von den vielen Warnmeldungen, wie Hassoun anmerkte. Eine beträchtliche Anzahl der Meldungen seien falsch-positiv, was die Produktivität der Analysten senke und zur sogenannten "Alert-Fatigue" (Alarmmüdigkeit) führe. Untersuchungen in der Branche zeigen laut Hassoun das Ausmass dieses Problems: Analysten seien mit über 170 Warnmeldungen pro Tag konfrontiert, wobei sie nur etwa 19 Prozent davon genauer prüfen müssten – und in mehr als der Hälfte ihrer Zeit würden sie sich mit falsch-positiven Meldungen herumschlagen, die nicht sicherheitsrelevant seien.

Die Rolle von KI-Lösungen in der Cybersicherheit

Die Grundlage der Lösung, die Hassoun vorschlug, stellt ein Data Lake dar, der alle Daten aus dem gesamten Unternehmen beinhaltet. Spezialisierte KI-Agenten sollen diese Daten ständig nach Bedrohungen durchforsten. Die Agenten würden mit einem klaren Bedrohungskontext gefüttert, der KI-Halluzinationen verhindern soll. Dadurch erhalten die menschlichen Analysten detaillierte Berichte über potenzielle Schwachstellen und können ihre Zeit für die tatsächliche Bekämpfung der Angriffe aufwenden, wie der Referent erklärte.

Dabei sei wichtig, was mit den Daten passiere, bevor sie überhaupt beim Analysten ankämen. Da jedes Security-Tool seine eigene Sprache spricht, werden die Daten laut Hassoun zunächst in ein einheitliches Schema übersetzt, wobei ungenaue und doppelt vorkommende Ereignisse entfernt sowie entsprechender Bedrohungskontext hinzugefügt werden. Als Resultat könnten sowohl die KI-Agenten als auch die Menschen mit sauberen, hochwertigen Daten arbeiten statt mit rohem, ungefiltertem Rauschen.

Drei Schlüsselaspekte würden im KI-Zeitalter zum Erfolg beitragen. (Source: Screenshot / Webinar)

Schliesslich ging Hassoun auf die Wichtigkeit ein, dass unterschiedliche KI-Agenten miteinander kommunizieren sollen, und zwar auch firmenübergreifend. Wenn nämlich ein Unternehmen – etwa eine Bank – einen Sicherheitsvorfall habe, dann sei die Wahrscheinlichkeit hoch, dass die Angreifer danach die nächste Bank ins Visier nähmen. Wenn nun aber die KI-Agenten der beiden Banken zusammenarbeiten, können sie laut dem Referenten gemeinsam aus dem ersten Vorfall lernen und den zweiten Angriff verhindern.

Die agentische SOC-Plattform von Anomali

Genau hier liege die Stärke der agentischen SOC-Plattform von Anomali. Hassoun zeigte in einer Live-Demo, wie User auf dem Dashboard Informationen zu aktuellen Bedrohungen abrufen können. Diese würden von KI-Agenten aufbereitet, die sich ständig via das Internet über die aktuellen Cybergefahren auf dem Laufenden halten würden. So können sie gemäss Hassoun besser einschätzen, ob eine potenzielle Bedrohung falsch-positiv oder tatsächlich gefährlich ist. 

Dies werde zusätzlich dadurch unterstützt, dass die KI-Agenten miteinander kommunizieren könnten – auch über die Grenzen von Unternehmen hinweg. Eine solche Kollaboration basiert laut Hassoun auf gemeinsamen Bedrohungsinformationen. Anomali habe Zugriff auf eine der grössten Quellen von Bedrohungsindikatoren in der Branche. Diese vereine Meldungen aus behördlichen, kommerziellen und Open-Source-Feeds, sodass einmal beobachtete Angriffsmuster überall wiedererkannt werden könnten. Dadurch kann das System gemäss Hassoun mit hoher Präzision Übereinstimmungen finden und in Echtzeit automatische Sperrungen auslösen.

Hier geht es zur vollständigen Videoaufzeichnung des Webinars.

Der Kenncode lautet: Futn4=$K

Und die Slides zu den Präsentationen können Sie hier herunterladen.

Auch der Bund macht Fortschritte bei der Cyberabwehr. Im aktuellen Umsetzungsbericht zur Nationalen Cyberstrategie spricht das BACS von Erfolgen bei kritischen Infrastrukturen und im Umgang mit KI.