Man kann mich ruhig alt nennen, aber ich erinnere mich noch an die guten alten Zeiten des SOC. Alle kamen ins Büro, die Anwendungen liefen im Rechenzentrum, und wenn etwas schiefging, konnte ich jederzeit zum Rechenzentrum gehen und den Stecker von irgendetwas ziehen. Das barg zwar Risiken, aber es gab auch Kontrollmechanismen, und man wusste: Sollte sich doch jemand Zugang verschaffen, hatte man Zeit und Kapazitäten, dies zu erkennen, bevor aus einer Kompromittierung ein Sicherheitsvorfall wurde. Die guten alten Zeiten. Doch heutzutage ist alles SaaS oder Cloud, die Nutzer arbeiten remote, und der Versuch, etwas abzuschotten, ist viel komplexer.

So sieht das moderne Unternehmen aus. Es ist komplex, erstreckt sich über mehrere Bereiche und schafft eine breitere hybride Angriffsfläche, die cloud, SaaS, Identitätsmanagement, SASE und Fernzugriff umfasst. Remote-Benutzer greifen über SASE auf cloud SaaS-Anwendungen zu oder melden sich einfach über Entra ID an. Was bedeutet das für das SOC? Mehr Angriffsflächen bedeuten mehr Warnmeldungen.
Und obwohl es noch nicht lange her ist, kommt es mir vor, als wäre ich schon sehr alt, wenn ich daran denke, dass generative KI erst etwa zwei Jahre alt ist. Angreifer nutzen KI, um mehr zu erreichen und schneller anzugreifen. Sie setzen agentische KI-Workflows ein, um bis zu 600 kompromittierte Systeme gleichzeitig zu verwalten und die Ausnutzung von CVEs zu beschleunigen. Die Zeit bis zur Ausnutzung öffentlich bekannter CVEs beträgt mittlerweile 8 Stunden, verglichen mit 21 Tagen im Jahr 2025. Sobald sie sich im System befinden, bewegen sich Angreifer ebenfalls mit KI-Geschwindigkeit und schaffen es innerhalb von 29 Minuten, sich von kompromittierten Geräten aus seitlich im System zu bewegen. In einem Test simulierten Sicherheitsforscher mithilfe von Claude Code, wie schnell ein Angreifer von einem durchgesickerten AWS-Schlüssel bis zur Exfiltration cloud gelangen könnte; das Ergebnis lag bei 60 Sekunden.
Dadurch hat sich die Herausforderung für das SOC verändert. Es geht nicht nur um mehr Warnmeldungen, es geht nicht nur um mehr Angriffe, es geht nicht einmal nur um weniger Zeit für die Reaktion – es sind alle drei Probleme zusammen! Unternehmen müssen sich anpassen, sonst wird ihr Risiko für Sicherheitsverletzungen unaufhaltsam steigen, da Angreifer mithilfe von KI immer neue Methoden entwickeln.
Was muss sich ändern?
Die drei Schwerpunkte für Unternehmen müssen folgende sein:
- Verringerung des Explosionsradius
- Erkennung von Bedrohungen nach einer Kompromittierung
- Verkürzung der mittleren Reaktionszeit (MTTR)
Nichts davon ist überraschend oder neu. Bei KI-gestützten Angriffen gewinnen diese Aspekte jedoch an Bedeutung.
Verringern Sie Ihren Explosionsradius
Sie sollten proaktiv dafür sorgen, dass im Falle einer Kompromittierung der gesamte potenziell betroffene Bereich so klein wie möglich ist. Segmentieren Sie Ihre Netzwerke und setzen Zero Trust durch. Stellen Sie sicher, dass die Mitarbeiter nur über die Berechtigungen verfügen, die sie benötigen, damit ein Angreifer, sollte er sich doch Zugang verschaffen , nicht zu weit vordringen kann.
Erfahren Sie in unserem Blog mehr darüber, wie Vectra AI Einblick in beobachtete Berechtigungen und grenzüberschreitende Aktivitäten Vectra AI .
Bedrohungen nach einem Sicherheitsverstoß erkennen
Man wird niemals alle Schwachstellen beheben können. Selbst bei den erfahrensten Teams gibt es nicht verwaltete Geräte, Altsysteme, Fehlkonfigurationen, Konten mit zu weitreichenden Berechtigungen und neue CVEs, die Angreifer schneller ausnutzen können, als Sicherheitsteams Abhilfe schaffen können. Prävention ist nach wie vor wichtig, kann aber nicht die einzige Verteidigungslinie sein.
Das bedeutet, dass Sicherheitsteams davon ausgehen müssen, dass ein System kompromittiert wurde, und besser erkennen müssen, was passiert, nachdem ein Angreifer eingedrungen ist. Hier kommt die verhaltensbasierte Bedrohungserkennung ins Spiel. Verwenden die Angreifer gültige Anmeldedaten? Bewegen sie sich lateral? Überschreiten sie Grenzen zwischen cloud, Identitätsmanagement, SaaS und Netzwerk? Greifen sie auf Systeme zu, auf die sie keinen Zugriff haben sollten? Das sind die Verhaltensweisen, auf die es ankommt, wenn ein Angreifer präventive Kontrollmaßnahmen bereits umgangen hat.
Mit der Erkennung nach einer Kompromittierung können Sie Angreifer aufspüren, bevor aus der Kompromittierung ein Sicherheitsvorfall wird. Sie bietet dem SOC die Möglichkeit, aktuelle Angreiferaktivitäten zu erkennen, deren Ausmaß zu erfassen und Maßnahmen zu ergreifen, bevor sich der Schadensradius ausweitet. Genau darum geht es bei Vectra – ich werde hier nicht näher darauf eingehen, aber wir bieten an anderer Stelle zahlreiche Informationen zu diesem Thema.
Schnellere Reaktionszeit
Die Verringerung des Ausmaßes einer Bedrohung und die Erkennung von Bedrohungen nach einem Sicherheitsvorfall sind zwar von entscheidender Bedeutung, doch heute werde ich mich auf die Verkürzung der Reaktionszeit konzentrieren. Damit Ihre Reaktion auf böswillige Aktivitäten wirksam ist, muss sie so schnell wie möglich erfolgen.

Ein Großteil der Diskussion über die Effizienz von SOCs dreht sich nach wie vor um die Erkennung, doch für viele erfahrene Teams ist die Erkennung längst nicht mehr der langsamste Teil der Reaktionskette.
Nehmen wir als Beispiel Attack Signal Intelligence TDIR- und Attack Signal Intelligence Vectra AI. Die Erkennungen Vectra AIwerden innerhalb von Minuten nach dem Auftreten von Angreiferaktivitäten in Echtzeit ausgelöst. Auch die Priorisierung ist kein Problem; mit unserer KI-Priorisierungs-Engine haben wir das Gleichgewicht zwischen der Vermeidung von Fehlalarmen und der Erkennung echter Aktivitäten perfektioniert. Außerdem haben wir uns gezielt auf die Geschwindigkeit der Angreifer konzentriert, um sicherzustellen, dass wir ihnen immer einen Schritt voraus sind. Schließlich sollten Reaktionsmaßnahmen von Natur aus schnell erfolgen, sobald eine Entscheidung getroffen wurde. Wenn Sie wissen, dass ein Host bösartig ist, sollte das Einklicken auf ein paar Schaltflächen, um ihn einzudämmen, nicht Teil eines Prozesses sein, der Stunden dauert. Wenn Sie drei Genehmigungen von Führungskräften benötigen, bevor Sie eine Reaktionsmaßnahme ergreifen können, haben Sie größere Probleme.
Nein, der Engpass liegt bei den Ermittlungen.

An dieser Stelle muss der Analyst die Erkennungsergebnisse auswerten, den Ablauf der Aktivitäten nachvollziehen, einen Zeitplan des Angriffs erstellen, Querverweise zum externen Kontext herstellen, den internen Kontext überprüfen, die Auswirkungsreichweite einschätzen, entscheiden, ob das Verhalten böswillig oder harmlos ist, festlegen, was eingedämmt werden muss, und anschließend einen Bericht oder eine Eskalationszusammenfassung erstellen, die für andere verständlich ist. Diese Arbeit ist wertvoll, besteht jedoch zu einem erheblichen Teil aus sich wiederholenden Erfassungs- und Auswertungsaufgaben.
Diese Unterscheidung ist wichtig. Es geht nicht darum, dass die Untersuchung einfach ist oder dass Analysten Zeit mit unwichtigen Aufgaben verbringen. Der Punkt ist vielmehr, dass Analysten oft gezwungen sind, zu viel Zeit damit zu verbringen, sich einen Überblick zu verschaffen, bevor sie eine Einschätzung vornehmen können. Sie kopieren Informationen von einem System in ein anderes, prüfen, ob eine IP-Adresse bekannt ist, recherchieren, was ein Konto normalerweise tut, versuchen zu verstehen, ob eine beobachtete Berechtigung von Bedeutung ist, und setzen die Geschichte eines Vorfalls aus Fragmenten zusammen, die über mehrere Tools verstreut sind.
Die Datensynthese ist eine der besonderen Stärken von LLMs, weshalb die Automatisierung von Untersuchungen eine der offensichtlichsten Chancen für den Einsatz von KI im SOC darstellt.
Bevor wir jedoch einfach loslegen und KI in unsere Arbeitsabläufe integrieren, sollten wir uns überlegen, wo wir stehen und wohin wir wollen.
Nutzen wir KI
Das folgende Rahmenkonzept spiegelt eine gängige Sichtweise auf viele KI-Systeme wider, darunter auch selbstfahrende Autos.

Jeder Schritt bringt eine stärkere Einbindung von KI und weniger manuelle Arbeit mit sich.

Laut Vectra AI streben 80 % unserer Kunden ein zumindest teilweise autonomes System an. Das liegt auf der Hand, da dies ihr SOC erheblich verbessern und die Sicherheit ihres Unternehmens erhöhen wird.
Doch derzeit liegen kaum 10 % auf dieser Stufe, und niemand hat Stufe 4 – also vollständige Autonomie – erreicht. Das ist keineswegs überraschend; KI ist zu selbstsicher, und es ist unklar, wer haftet, wenn sie einen Fehler macht. Zudem sind die Kosten dieser Systeme unbekannt, und sie sind auf „Ground Truth“-Daten angewiesen, die viele Unternehmen nur schwer ermitteln können. Unternehmen müssen sicherstellen, dass sie über angemessene Kontrollmechanismen verfügen, und zudem die Kosten für den Fall einkalkulieren, dass KI-Unternehmen wie OpenAI nicht mehr in einem von Risikokapital subventionierten „Wunderland“ agieren und anfangen, Gewinne zu erzielen. Ein weiterer zu berücksichtigender Aspekt ist, dass die Daten, auf denen ein KI-System basiert, genau und umfassend sein müssen. Wenn beispielsweise kein Signal vorliegt, bedeutet dies nicht zwangsläufig, dass nichts passiert ist ( mehr dazu, wie Angreifer endpoint umgehen können), und in den meisten Fällen erfordert dies einen sehr erfahrenen Analysten, um dies zu erkennen.
Doch niemand ist mit der aktuellen Situation zufrieden. Das Burnout der Analysten ist dokumentiert. Die KI, die sie einzusetzen versuchen, funktioniert nicht – so wie einfache Copilot-Chatbots, die versuchen, Fragen ohne Kontext oder Verständnis für das Kundenumfeld zu beantworten. Oft kopieren die Analysten die Inhalte am Ende doch einfach in ein separates Fenster. Die KI-Ausgabe klingt zwar intelligent, aber das bedeutet nicht, dass sie auch korrekt ist.
So gelangen Sie zu AI
Wie gelangen wir also zu einem proaktiven, KI-gesteuerten SOC? Wir haben festgestellt, dass unsere Kunden vier Hauptwege in Betracht ziehen, um dieses Ziel zu erreichen.

Die Wahl des Weges ist eine Abwägung zwischen Einfachheit und Kontrolle. Die einfachste Lösung besteht darin, die von Anbietern bereitgestellten Standardtools zu nutzen, doch dabei stößt man auf Einschränkungen. Am anderen Ende des Spektrums kann man ein vollständig maßgeschneidertes KI-Ökosystem aufbauen.
Egal, für welchen Weg Sie sich entscheiden – die Vectra AI unterstützt Sie dabei, ganz gleich, ob Sie über die API oder das MCP auf unsere Erkenntnisse zugreifen, die Agenten in unserer Benutzeroberfläche nutzen oder unseren Agenten Zugriff über die API oder das MCP gewähren. Uns ist wichtig, dass wir es Ihnen leicht machen, ein Experte in Ihrer Umgebung zu sein, denn Vectra AI der Experte für KI-native Sicherheit.
Die Utopie liegt gleich um die Ecke
Wenn Angreifer innerhalb weniger Minuten vom ersten Zugriff zu erheblichen Schäden gelangen können, reicht ein mehrstündiger Untersuchungsprozess nicht aus. Es ist unerlässlich, die Reaktionszeiten zu verkürzen und Sicherheitsverletzungen aufzudecken, bevor sie zu Datenlecks führen. Bessere Reaktionszeiten bedeuten nicht nur ein geringeres Risiko für Datenlecks, sondern auch produktivere Analysten, die in kürzerer Zeit mehr Warnmeldungen überwachen können, und vor allem ein zufriedeneres SOC, das sich auf die wertvollsten und interessantesten Fälle sowie auf die eigentliche Entscheidungsfindung konzentrieren kann.
KI ist im SOC nicht mehr optional, da das alte Modell den neuen Herausforderungen nicht mehr gewachsen ist. Die Angriffsfläche ist größer, Angreifer handeln schneller, und der manuelle Aufwand, der erforderlich ist, um Vorfälle zu verstehen, ist zum Engpass geworden. Erfolgreich sein werden nicht jene Unternehmen, die einfach nur einen Chatbot neben die Konsole stellen. Erfolgreich sein werden jene, die KI nutzen, um die Untersuchungen selbst neu zu gestalten – sorgfältig, transparent und mit ausreichender Kontrolle, sodass Analysten darauf vertrauen können, was das System tut.

.jpg)