AI Security

Agentic AI im SOC: Wenn KI-Agenten Incidents selbstständig bearbeiten

Die nächste Stufe der KI-Integration in Security Operations ist nicht Augmentation, sondern Autonomie. Agentic AI beschreibt KI-Systeme, die nicht nur analysieren und empfehlen, sondern eigenständig Entscheidungen treffen und Aktionen ausführen — Tickets erstellen, Systeme isolieren, Firewall-Regeln anpassen, Benutzer sperren. Der Schritt vom augmentierten zum autonomen Analysten wirft fundamentale Fragen auf: Was darf KI allein entscheiden? Wo muss der Mensch eingreifen?

Was Agentic AI von klassischer Automatisierung unterscheidet

SOAR-Plattformen (Security Orchestration, Automation and Response) automatisieren seit Jahren Incident-Response-Workflows. Der Unterschied zu Agentic AI liegt in der Entscheidungsfähigkeit:

SOAR: Führt vordefinierte Playbooks aus. Wenn Alert X eintritt, führe Aktion Y aus. Deterministisch, vorhersagbar, begrenzt
Agentic AI: Analysiert den Kontext eines Incidents, wägt Handlungsoptionen ab und wählt die angemessene Reaktion — auch für Szenarien, für die kein Playbook existiert

Ein SOAR-Playbook kann sagen: „Bei Brute-Force-Alert: IP blocken.“ Ein KI-Agent kann erkennen, dass die IP zu einem legitimen Partner-VPN gehört, und stattdessen den betroffenen Account sperren und den Partner informieren. Diese kontextabhängige Entscheidung ist der qualitative Sprung.

Konkrete Einsatzszenarien

1. Automatisierte Incident-Triage und -Eskalation

Der KI-Agent bewertet eingehende Alerts, reichert sie mit Kontext an, erstellt eine Zusammenfassung und entscheidet: Schließen (False Positive), eskalieren (an Tier-2-Analyst) oder sofort reagieren (automatisierte Containment-Maßnahme).

2. Threat Hunting auf Bestellung

Ein Analyst gibt dem Agenten eine Hypothese: „Prüfe, ob in den letzten 7 Tagen ungewöhnliche PowerShell-Aktivität auf Domain Controllern stattgefunden hat.“ Der Agent formuliert die Queries, durchsucht die Logs, korreliert Ergebnisse und präsentiert eine strukturierte Analyse — in Minuten statt Stunden.

3. Automatisierte Containment-Maßnahmen

Bei bestätigter Kompromittierung kann der Agent vordefinierte Response-Aktionen ausführen: Betroffenes System vom Netz isolieren, alle aktiven Sessions des kompromittierten Accounts widerrufen, Firewall-Regeln für die Angreifer-IP setzen, Ticket für das IR-Team erstellen.

4. Compliance-Reporting

Der Agent sammelt automatisch die für NIS2-Meldepflichten relevanten Informationen: Zeitstempel, betroffene Systeme, Art des Vorfalls, eingeleitete Maßnahmen. Die 24-Stunden-Erstmeldung wird automatisch vorbereitet.

Die Risiken: Warum Autonomie kontrolliert werden muss

Halluzinationen mit Konsequenzen

Wenn ein LLM in einem Chatbot halluziniert, ist das ärgerlich. Wenn ein KI-Agent aufgrund einer Fehleinschätzung ein Produktionssystem isoliert, ist das ein Betriebsausfall. Autonome Aktionen haben reale Konsequenzen — und die Fehlertoleranz ist minimal.

Adversarial Manipulation

KI-Agenten, die auf Logs und Events reagieren, sind anfällig für Log Injection: Angreifer schleusen manipulierte Log-Einträge ein, die den Agenten zu falschen Schlussfolgerungen oder unerwünschten Aktionen verleiten. Ein Angreifer könnte gezielt Alerts erzeugen, die den Agenten dazu bringen, ein anderes, nicht kompromittiertes System zu isolieren — als Ablenkung.

Verantwortungsdiffusion

Wenn ein KI-Agent eine Fehlentscheidung trifft — wer trägt die Verantwortung? Der Hersteller der KI? Der SOC-Leiter, der die Autonomie freigeschaltet hat? Der Analyst, der den Agenten nicht überwacht hat? Klare Governance-Strukturen sind Voraussetzung für autonome KI.

Das Stufenmodell: Von Empfehlung zu Autonomie

Der Weg zu Agentic AI im SOC sollte in kontrollierten Stufen erfolgen:

Stufe 1 — Advisory: KI empfiehlt, Mensch entscheidet und handelt. Kein Risiko, maximale Kontrolle
Stufe 2 — Semi-autonom: KI führt Low-Risk-Aktionen automatisch aus (False Positives schließen, Tickets erstellen), High-Risk-Aktionen erfordern menschliche Freigabe
Stufe 3 — Autonom mit Guardrails: KI führt auch High-Risk-Aktionen aus, aber innerhalb definierter Grenzen (z.B. maximal 3 Systeme gleichzeitig isolieren, keine Domänen-Admin-Accounts sperren)
Stufe 4 — Vollautonome Response: KI handelt ohne menschliche Freigabe. Aktuell für die meisten Organisationen nicht empfehlenswert

Die meisten Organisationen sollten sich zwischen Stufe 2 und 3 positionieren — mit klarer Dokumentation, welche Aktionen autonom ausgeführt werden dürfen und welche nicht.

Handlungsempfehlungen

Klein anfangen: Mit der Automatisierung von Tier-1-Triage und Low-Risk-Responses beginnen. Autonomie schrittweise ausweiten, basierend auf messbaren Ergebnissen
Guardrails definieren: Welche Aktionen darf die KI allein ausführen? Welche erfordern menschliche Freigabe? Diese Grenzen müssen explizit konfiguriert und dokumentiert sein
Adversarial Testing: KI-Agenten gegen manipulierte Inputs testen — Log Injection, falsche Alerts, widersprüchliche Informationen. Wie reagiert der Agent unter adversarialen Bedingungen?
Audit Trail: Jede autonome Entscheidung des Agenten muss vollständig protokolliert werden — Eingabedaten, Reasoning, ausgeführte Aktion, Ergebnis
Rollback-Fähigkeit: Jede automatisierte Aktion muss rückgängig gemacht werden können. Wenn der Agent ein System falsch isoliert, muss die Isolation in Sekunden aufgehoben werden können

J. Benjamin Espagné

XIEM® Control AI: Unsere Antwort auf Agentic AI im SOC

Agentic AI im SOC ist keine Zukunftsvision — wir setzen es bereits ein.

Mit XIEM® Control AI haben wir einen KI-Agenten entwickelt, der in unserem SOC auf Stufe 2 operiert: Low-Risk-Aktionen werden automatisch ausgeführt, High-Risk-Entscheidungen erfordern menschliche Freigabe.

Konkret:

• Automatische Triage: Bekannte False Positives werden geschlossen, Alerts angereichert und korreliert
• Kontextabhängige Empfehlungen: Der Agent empfiehlt Response-Aktionen basierend auf Incident-Kontext und historischen Mustern
• Semi-autonome Response: IP-Blocking und Session-Revocation werden nach Analyst-Bestätigung automatisch ausgeführt
• NIS2-Reporting: Incident-Informationen werden automatisch für die 24h-Erstmeldung aufbereitet

Die Guardrails sind explizit definiert: Keine Domain-Admin-Accounts sperren, keine Produktionssysteme ohne Analyst-Freigabe isolieren, vollständiger Audit Trail für jede autonome Entscheidung.

Das Stufenmodell im Artikel entspricht exakt unserem Vorgehen: Kontrollierte Autonomie mit messbarem Mehrwert — nicht blindes Vertrauen in KI.

Wollen Sie sehen, wie Agentic AI in einem realen SOC funktioniert? Wir zeigen es Ihnen.

SANS — Agentic AI for Security (2026)
Gartner — What Is Agentic AI?
MITRE ATT&CK — Response Actions Matrix

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

Wissen & Praxis

Eine Milliarde Datensätze, eine Erkenntnis: Manuelles Patchen hat eine Obergrenze — und wir haben sie erreicht

J. Benjamin Espagné 16. April 2026

Eine Milliarde Datensätze. 10.000 Organisationen. Vier Jahre. Und ein Ergebnis, das die Grundannahme der gesamten Branche infrage stellt: Schneller patchen funktioniert nicht…

lesen Eine Milliarde Datensätze, eine Erkenntnis: Manuelles Patchen hat eine Obergrenze — und wir haben sie erreicht
Schwachstellen & Exploits

Adobe Acrobat Reader Zero-Day: CVE-2026-34621 wird aktiv ausgenutzt — Notfall-Patch verfügbar

J. Benjamin Espagné 16. April 202616. April 2026

Adobe hat ein Notfall-Update für Acrobat Reader veröffentlicht. Die Schwachstelle CVE-2026-34621 wird bereits aktiv ausgenutzt — und das offenbar seit Ende letzten…

lesen Adobe Acrobat Reader Zero-Day: CVE-2026-34621 wird aktiv ausgenutzt — Notfall-Patch verfügbar
Angriffe & Incidents

18 Minuten bis zum Vollzugriff: KI-Agent hackt Bains Wettbewerbs-Plattform — und komplettiert den Big-Three-Hattrick

J. Benjamin Espagné 16. April 202616. April 2026

Ein autonomer KI-Agent braucht 18 Minuten, um Bains Competitive-Intelligence-Plattform Pyxis zu kompromittieren. Keine Zero-Days, kein Social Engineering, kein Brute Force. Nur eine…

lesen 18 Minuten bis zum Vollzugriff: KI-Agent hackt Bains Wettbewerbs-Plattform — und komplettiert den Big-Three-Hattrick
Angriffe & Incidents

Vier Nationalstaaten, vier Angriffsvektoren: Die Bedrohungslage im April 2026

J. Benjamin Espagné 13. April 2026

Vier Nationalstaaten. Vier Angriffsvektoren. Eine Erkenntnis: Die aktuelle Bedrohungslage wird nicht von Einzeltätern oder opportunistischen Kriminellen dominiert — sondern von staatlich gesteuerten…

lesen Vier Nationalstaaten, vier Angriffsvektoren: Die Bedrohungslage im April 2026
Wissen & Praxis

Von OSINT zu Digital Forensics: Wie offene Daten Ermittlungen beschleunigen

J. Benjamin Espagné 13. April 20268. April 2026

Open Source Intelligence (OSINT) und Digital Forensics werden traditionell als getrennte Disziplinen betrachtet. OSINT sammelt öffentlich verfügbare Informationen, DFIR analysiert digitale Beweise…

lesen Von OSINT zu Digital Forensics: Wie offene Daten Ermittlungen beschleunigen
Angriffe & Incidents

5.219 Rockwell-PLCs offen im Netz: Iran greift an

J. Benjamin Espagné 11. April 202611. April 2026

5.219 Rockwell-Automation-PLCs sind aktuell direkt über das Internet erreichbar — und iranische APT-Akteure nutzen das aktiv aus. Nicht über Zero-Day-Exploits, nicht über…

lesen 5.219 Rockwell-PLCs offen im Netz: Iran greift an