Cyberangriffe werden schneller, raffinierter und zahlreicher – befeuert durch KI. „Mit einem Riesenschlauch beziehungsweise einer Gießkanne versuche ich, alles nass zu machen“, beschreibt Thorben Jändling, Principal Solutions Architect bei Elastic, die neue Angreiferlogik.

Statt wochenlang im System zu lauern, verschlüsseln Ransomware-Akteure innerhalb von Sekunden ganze Datenbestände. Phishing-Mails senden sie perfekt formuliert und sogar im Sprachstil des angegriffenen Unternehmens.

Diese Geschwindigkeit setzt klassische SOC-Workflows unter Druck. Aus tausend Alerts pro Tag schafft es ein Analyst vielleicht, nur 20 zu untersuchen – während der Angreifer längst sein Ziel erreicht hat. Die Antwort liegt in einer mehrschichtigen Verteidigung: Endpoint-Schutz mit Machine Learning erkennt Muster ohne Signaturen, ein LLM übernimmt die First-Level-Triage und bündelt zusammengehörige Alerts zu klaren Angriffsketten.

Mit Workflows, KI-Agenten und dem Model Context Protocol (MCP) lassen sich Routineentscheidungen automatisieren. Der Mensch bleibt im Zentrum, gewinnt aber Dutzende digitale Assistenten dazu. So entsteht ein SOC, das mit weniger Personal mehr leistet – ohne die Kontrolle abzugeben.

Als zweiter Schlüsselfaktor gilt Open Security: Wer isoliert arbeitet, kann nicht vom Wissen anderer profitieren. Transparente Detection Rules, offengelegter Code und gemeinsame Bedrohungsanalysen stärken die Verteidigerseite – auch wenn Angreifer mitlesen. Denn wie bei Kryptografie liegt der Schutz nicht im Verstecken, sondern in der robusten Konstruktion.

Im Interview mit „heise meets …“ erfahren Sie außerdem,

Keine Folge verpassen: Abonnieren Sie jetzt den Podcast heise meets… – Der Entscheider-Talk auf Apple Podcasts, Spotify und Deezer oder per RSS.