Ein SOC-Analyst sichtet pro Schicht Tausende Alerts. Er priorisiert, kontextualisiert, entscheidet — und kämpft dabei gegen zwei Gegner gleichzeitig: die Angreifer und die Alert-Flut. XIEM Control AI stellt ihm einen KI-Analysten zur Seite, der die Routinearbeit übernimmt — damit der Mensch das tun kann, wofür er unersetzlich ist: urteilen.

Dieser Artikel beschreibt, was der XIEM AI Analyst konkret tut, wie er in den SOC-Workflow integriert ist und warum wir uns bewusst für einen Human-in-the-Loop-Ansatz entschieden haben.

Das Problem: Alert Fatigue ist kein Luxusproblem

Ein mittelständisches Unternehmen mit 500 Endpoints, drei Cloud-Diensten und einer OT-Umgebung generiert in einem typischen SIEM mehrere tausend Events pro Tag. Davon sind die meisten irrelevant — legitime Aktivitäten, die Korrelationsregeln triggern. Aber zwischen dem Rauschen liegen die Signale: der laterale Bewegungsversuch um 03:14 Uhr, der DNS-Request an eine Domain, die seit zwei Stunden existiert, der Service-Account, der plötzlich PowerShell ausführt.

Das Problem ist nicht, dass SIEMs zu viele Alerts produzieren. Das Problem ist, dass die Triage dieser Alerts menschliche Kapazität bindet, die für die eigentliche Analyse fehlt. Ein Analyst, der acht Stunden lang Alerts sichtet und 95 Prozent als False Positives schließt, hat am Ende des Tages fünf Prozent seiner Zeit für die Fälle aufgewendet, die tatsächlich zählen. Das ist keine effiziente Nutzung einer knappen Ressource — und in Zeiten des Fachkräftemangels eine, die wir uns nicht leisten können.

Was der XIEM AI Analyst tut

Der AI Analyst ist keine separate Anwendung und kein Dashboard. Er ist eine KI-gestützte Analyseschicht, die direkt in den XIEM-Workflow integriert ist. Seine Aufgaben:

Automatisierte Erst-Triage: Jeder Alert durchläuft zunächst den AI Analyst. Er bewertet Kontext, Schweregrad und Plausibilität — nicht anhand statischer Regeln, sondern auf Basis des gelernten Normalverhaltens der spezifischen Umgebung. Ein Admin, der um 10 Uhr morgens PowerShell auf einem Server ausführt, ist normal. Derselbe Befehl um 03:14 Uhr von einem Vertriebs-Laptop ist es nicht. Der AI Analyst kennt den Unterschied.

Kontextanreicherung: Ein Alert allein sagt wenig. Der AI Analyst reichert ihn automatisch mit Kontext an: Welcher Benutzer? Welches System? Gab es in den letzten 24 Stunden ähnliche Aktivitäten? Ist die Ziel-IP in Threat-Intelligence-Feeds bekannt? Welche MITRE ATT&CK-Technik könnte das sein? All das geschieht, bevor ein menschlicher Analyst den Alert überhaupt sieht — er bekommt nicht eine Zeile in einem Log, sondern eine kontextualisierte Analyse.

Korrelation über Datenquellen hinweg: XIEM aggregiert Daten aus Endpoints, Netzwerk, Cloud-Diensten, Identitätssystemen und — über Nozomi Networks — aus OT-Umgebungen. Der AI Analyst korreliert über diese Grenzen hinweg: Ein fehlgeschlagener Login am VPN, gefolgt von einem erfolgreichen Login aus einer anderen Geolocation, gefolgt von einer Datenbankabfrage auf dem ERP-System — einzeln unauffällig, zusammen ein klares Signal.

Natürlichsprachliche Abfragen: Unser SOC-Team kann den AI Analyst direkt befragen — in natürlicher Sprache. „Zeig mir alle Authentifizierungsanomalien der letzten 48 Stunden für Benutzer mit Adminrechten“ funktioniert, ohne dass jemand eine Abfragesprache beherrschen muss. Das senkt die Einstiegshürde für Junior-Analysten und beschleunigt die Arbeit von Seniors.

Automatisierte Incident-Dokumentation: Wenn ein Alert zum Incident eskaliert wird, erstellt der AI Analyst automatisch eine strukturierte Dokumentation: Timeline, betroffene Assets, Erkennungsweg, empfohlene Sofortmaßnahmen, MITRE ATT&CK-Mapping. Für NIS-2-pflichtige Unternehmen ist das unmittelbar relevant: Die 24-Stunden-Erstmeldung und der 72-Stunden-Detailbericht erfordern präzise, strukturierte Informationen. Der AI Analyst liefert sie — nicht nach wochenlanger Aufbereitung, sondern in Echtzeit.

Was der AI Analyst nicht tut

Er trifft keine Entscheidungen. Und das ist Absicht.

Der AI Analyst priorisiert, kontextualisiert, korreliert und dokumentiert. Aber die Entscheidung, ob ein Incident vorliegt, welche Maßnahmen ergriffen werden und wie mit dem Kunden kommuniziert wird, trifft ein Mensch. Immer.

Das ist kein technisches Defizit — es ist ein bewusstes Designprinzip. In der Cybersicherheit gibt es Situationen, in denen Kontext zählt, den keine KI erfassen kann: Ist der CEO gerade auf Geschäftsreise in Asien, weshalb der Login aus Singapur legitim ist? Plant die IT-Abteilung eine Migration, die ungewohnten Traffic erklärt? Hat ein Techniker des Klimaanlagenherstellers heute Fernwartungszugriff auf die Gebäudesteuerung?

Wir nennen das Human-in-the-Loop. Die KI macht den Analysten schneller und präziser. Aber sie ersetzt ihn nicht. In einer Branche, in der ein False Positive eine verpasste Bedrohung und ein False Negative ein unnötiges Herunterfahren von Produktionssystemen sein kann, ist menschliches Urteilsvermögen nicht optional.

Wie MCP das möglich macht

Die technische Grundlage des AI Analyst ist das Model Context Protocol (MCP) — ein offenes Protokoll, das KI-Modellen den strukturierten Zugriff auf externe Systeme ermöglicht. Im Kontext von XIEM bedeutet das: Der AI Analyst kann direkt mit Wazuh (SIEM-Daten), TacticalRMM (Endpoint-Management), ERPNext (Ticketing/CMDB), Nozomi Networks (OT-Monitoring) und TheHive (Incident Management) interagieren — lesen, korrelieren, dokumentieren, aber nicht eigenständig ändern.

MCP ist dabei kein proprietäres System. Es ist ein offener Standard, der sicherstellt, dass die KI-Integration auditierbar, nachvollziehbar und austauschbar bleibt. Kein Vendor-Lock-in, keine Blackbox.

Ein Tag im Leben des AI Analyst

06:12 Uhr — Ein Wazuh-Alert meldet einen fehlgeschlagenen SSH-Login auf einem Linux-Server, gefolgt von fünf weiteren Versuchen mit verschiedenen Benutzernamen. Der AI Analyst klassifiziert: Brute-Force-Versuch, Quell-IP aus einem bekannten Tor-Exit-Node, kein erfolgreicher Login. Priorität: niedrig. Empfehlung: IP auf Blocklist, Monitoring fortsetzen. Der menschliche Analyst bestätigt mit einem Klick.

09:47 Uhr — Ein Endpoint-Alert zeigt, dass ein Benutzer ein PowerShell-Script ausgeführt hat, das Base64-encodierten Code enthält. Der AI Analyst korreliert: Derselbe Benutzer hat 20 Minuten zuvor eine E-Mail mit einem Link geöffnet, der zu einer Domain führt, die seit drei Tagen existiert. Das Script versucht, eine Verbindung zu einer externen IP aufzubauen. Priorität: kritisch. Der AI Analyst erstellt sofort eine Incident-Dokumentation mit Timeline, betroffenem Asset, Benutzerkontext und empfohlenen Sofortmaßnahmen. Der SOC-Analyst eskaliert, der Endpoint wird isoliert.

14:23 Uhr — Nozomi Networks meldet anomalen Modbus-Traffic in der OT-Umgebung eines Kunden. Der AI Analyst prüft: Die Quelle ist eine Wartungsstation, die normalerweise nur während geplanter Wartungsfenster aktiv ist. Es gibt keinen Wartungstermin im Kalender. Priorität: hoch. Der SOC-Analyst kontaktiert den Kunden — es stellt sich heraus, dass ein Techniker ungeplant Fernwartung durchführt. Der Alert wird geschlossen, der Vorfall dokumentiert, der Kunde auf die fehlende Voranmeldung hingewiesen.

22:58 Uhr — Ein Alert zeigt ungewöhnlich hohen ausgehenden Traffic von einem Server. Der AI Analyst analysiert: Der Traffic geht an eine bekannte CDN-Domain, der Server führt gerade ein geplantes Backup in die Cloud durch. Priorität: informational. Kein menschliches Eingreifen erforderlich. Der Alert wird automatisch als Baseline-Aktivität markiert.

Die Zahlen

Seit der Integration des AI Analyst in XIEM Control AI beobachten wir bei unseren Kunden:

Reduktion der False-Positive-Rate um circa 60 Prozent. Nicht weil wir Alerts unterdrücken, sondern weil der AI Analyst Kontext berücksichtigt, den statische Regeln nicht erfassen können.

Triage-Zeit pro Alert von durchschnittlich 8 Minuten auf unter 2 Minuten. Der Analyst bekommt nicht einen rohen Alert, sondern eine kontextualisierte Analyse mit Empfehlung.

Incident-Dokumentation in Minuten statt Stunden. Die NIS-2-konforme Erstmeldung kann in vielen Fällen direkt aus der AI-generierten Dokumentation erstellt werden.

Für wen ist XIEM Control AI?

XIEM Control AI ist das höchste Tier unserer Plattform. Es richtet sich an Unternehmen mit hohem Alert-Volumen, komplexen IT/OT-Umgebungen oder regulatorischen Anforderungen, die eine nachweisbare, dokumentierte Sicherheitsüberwachung verlangen.

Das bedeutet nicht, dass kleinere Unternehmen ohne KI auskommen müssen: XIEM Sentry, Orchestrate und Control bieten jeweils die Sicherheitsleistung, die zur Größe und Komplexität der Umgebung passt. Der AI Analyst ist die zusätzliche Schicht für Organisationen, bei denen menschliche Kapazität allein nicht mehr ausreicht — oder bei denen die Konsequenzen eines verpassten Alerts existenzbedrohend wären.

Kein Buzzword, sondern Werkzeug

„KI im SOC“ ist ein Satz, den gerade jeder Sicherheitsanbieter auf seine Website schreibt. Die meisten meinen damit: Wir haben ein Dashboard mit einem Chatbot. Oder: Wir nutzen maschinelles Lernen für Anomalieerkennung (was SIEMs seit zehn Jahren tun).

Der XIEM® AI Analyst ist etwas anderes. Er ist ein operativ eingesetztes Werkzeug, das täglich tausende Alerts verarbeitet, unsere SOC-Analysten entlastet und die Qualität unserer Ergebnisse für Kunden nachweisbar verbessert. Nicht als Vision, nicht als Roadmap-Item — sondern als laufendes System.

Wenn Sie sehen wollen, wie das in der Praxis aussieht, sprechen Sie mit uns. Kein Security Theater. Substanz.

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer Gründung State of the Art waren, stehen heute im Museum. Bedrohungen, die damals als theoretisch galten, sind heute Tagesgeschäft. Und „Neo“ — das Neue — sind wir nach zehn Jahren streng genommen nicht mehr.

Oder doch?

Was „Neo“ wirklich bedeutet

Als wir NEOSEC gegründet haben, war der Name Programm: Ein neuer Ansatz für Cybersicherheit im Mittelstand. Kein Security Theater, keine PowerPoint-Beratung, keine Lösungen, die nach dem Audit in der Schublade verschwinden. Stattdessen: wirksame, nachweisbare, dokumentierbare Sicherheit. Substanz statt Folie.

Zehn Jahre später ist dieser Anspruch nicht alt geworden — er ist aktueller denn je. Aber „Neo“ bedeutet für uns heute etwas anderes als 2016. Es bedeutet nicht mehr, neu am Markt zu sein. Es bedeutet, sich kontinuierlich zu erneuern. Denn in dieser Branche ist Stillstand keine Option — er ist ein Sicherheitsrisiko.

Zehn Jahre, zehn Welten

Ein Blick zurück macht die Geschwindigkeit des Wandels greifbar:

2016: Ransomware war ein Nischenproblem. WannaCry kam erst ein Jahr später. Die meisten mittelständischen Unternehmen hatten weder ein SIEM noch einen Incident-Response-Plan. „Cybersicherheit“ war das, was die Firewall machte.

2018: Die DSGVO trat in Kraft und zwang Unternehmen erstmals, über Datenverarbeitung nachzudenken. Gleichzeitig professionalisierten sich Angreifergruppen — Ransomware-as-a-Service wurde zum Geschäftsmodell.

2020: Die Pandemie katapultierte die Digitalisierung um Jahre nach vorne — und die Angriffsfläche gleich mit. Remote Work, VPN-Schwachstellen, hastig aufgesetzte Cloud-Umgebungen. Wir hatten in diesen Monaten mehr Incident-Response-Einsätze als im gesamten Jahr zuvor.

2022: Supply-Chain-Angriffe wie SolarWinds und Log4Shell zeigten, dass die eigene Sicherheit nur so stark ist wie das schwächste Glied in der Lieferkette. OT-Security rückte ins Bewusstsein — spätestens, als Stadtwerke und Versorger gezielt angegriffen wurden.

2024: NIS-2 trat in Kraft. Cybersicherheit wurde zur persönlichen Haftungsfrage für Geschäftsführer. Künstliche Intelligenz veränderte gleichzeitig beide Seiten — Angriff und Verteidigung.

2026: KI-gestützte Angriffe sind Realität. Deepfake-CEO-Fraud, polymorphe Malware, automatisierte Schwachstellensuche. Der C5:2026 setzt neue Standards für Cloud-Sicherheit. Der Cyber Resilience Act entfaltet erste Wirkung. Und wir stehen hier — zehn Jahre älter, aber nicht alt.

Erneuerung als genetischer Code

Was uns über zehn Jahre getragen hat, ist nicht ein bestimmtes Produkt oder eine bestimmte Technologie. Es ist die Fähigkeit — und die Bereitschaft — uns kontinuierlich zu erneuern. Das klingt nach einer Plattitüde, ist aber in der Praxis brutal anspruchsvoll.

Erneuerung bedeutet: Technologien loslassen, in die man investiert hat. Prozesse hinterfragen, die funktionieren. Komfortzone verlassen, obwohl das Tagesgeschäft genug Druck macht. Konkret heißt das bei uns:

Wir haben unseren SIEM-Stack mehrfach weiterentwickelt — nicht weil der alte nicht funktionierte, sondern weil die Bedrohungslage neue Fähigkeiten verlangte. Aus einem klassischen Log-Management wurde XIEM® — eine Plattform mit vier Tiers, von der Basis-Überwachung bis zum KI-gestützten SOC-Betrieb.

Wir haben früh auf Open Source gesetzt — nicht aus Idealismus, sondern aus Überzeugung. Proprietäre Plattformen schaffen Abhängigkeiten. Offene Technologien schaffen Handlungsfreiheit. Für uns und für unsere Kunden.

Wir haben KI in unser SOC integriert, bevor es zum Marketingbegriff wurde. Nicht um „KI“ auf die Website zu schreiben, sondern weil ein Analyst, der von Routineaufgaben entlastet wird, bessere Entscheidungen trifft.

Wir haben OT-Security in unser Portfolio aufgenommen, als Stadtwerke und Netzbetreiber merkten, dass ihre Industriesteuerungen nicht in einem luftdichten Vakuum existieren.

Und wir haben NIS-2-Compliance nicht als Beratungsprodukt entdeckt, als es trendy wurde — sondern vorbereitet, weil wir die regulatorische Entwicklung seit Jahren verfolgen. Als ISO 27001 Lead Auditor war das keine Überraschung, sondern eine logische Konsequenz.

Was geblieben ist

Bei aller Veränderung — manches ändert sich nicht. Und sollte es auch nicht.

Wir arbeiten auf Augenhöhe. Nicht als Dienstleister, der Vorgaben abarbeitet, sondern als Partner, der mitdenkt. Das war 2016 unser Anspruch und ist es heute.

Wir liefern Substanz, kein Theater. Wenn wir sagen, dass ein SIEM funktioniert, dann funktioniert es — nicht nur im Audit, sondern im Ernstfall. Wenn wir einen Incident-Response-Plan erstellen, dann wurde er getestet, nicht nur dokumentiert.

Wir bleiben schlank. NEOSEC ist kein Konzern und will keiner werden. Ein kleines Team mit tiefer Expertise schlägt eine große Organisation mit breiter Oberflächlichkeit — jedenfalls in unserem Geschäft.

Wir stehen zu Hamburg und Mönchengladbach. Nicht in Frankfurt, nicht in München, nicht in Berlin. Regional verwurzelt, technisch auf internationalem Niveau. Das ist kein Widerspruch — es ist ein Wettbewerbsvorteil.

Was vor uns liegt

Zehn Jahre sind ein Meilenstein. Aber die nächsten zehn Jahre werden anspruchsvoller als die ersten. KI wird die Bedrohungslandschaft schneller verändern als alles, was wir bisher erlebt haben. Post-Quantum-Kryptografie wird bestehende Verschlüsselungsstandards obsolet machen. Die regulatorische Dichte — NIS-2, CRA, DORA, EUCS — wird weiter zunehmen. Und die Angreifer werden nicht langsamer.

Unser Job ist es, schneller zu sein. Nicht durch Hektik, sondern durch Vorbereitung. Nicht durch Größe, sondern durch Präzision. Nicht durch Marketing, sondern durch Wirksamkeit.

NEOSEC ist nach zehn Jahren nicht mehr „neo“ im Sinne von „neu am Markt“. Aber das Neue — die kontinuierliche Erneuerung, das Infragestellen des Status quo, die Bereitschaft, morgen anders zu arbeiten als heute — das ist keine Phase, die wir hinter uns haben. Es ist unser genetischer Code.

Danke an alle, die diesen Weg mit uns gegangen sind. An unser Team, an unsere Kunden, an unsere Partner. Auf die nächsten zehn Jahre — in denen wir uns wieder neu erfinden werden. Mindestens einmal.

Seit dem 1. September 2025 verstärkt Dr. rer. nat. Anatolii Nazarko das Team von Neosec als Security Analyst & Head of Research bei Neosec.

Mit seiner außergewöhnlichen Kombination aus wissenschaftlicher Präzision, analytischer Tiefe und praktischer Cyberabwehr-Erfahrung bringt er neue Impulse in den Bereich der Sicherheitsforschung und operativen Bedrohungserkennung.

Dr. Nazarko ist promovierter Physiker der Technischen Nationaluniversität der Ukraine (KPI) und blickt auf mehr als 15 Jahre Erfahrung in Datenanalyse, Machine Learning, mathematischer Modellierung und automatisierter Detektionzurück.

Vor seinem Wechsel zu Neosec war er u. a. bei Welltech Apps Limited, Maverixtech und Auroratechnologies tätig, wo er komplexe Datenströme analysierte, prädiktive Modelle entwickelte und die Integration von KI in sicherheitsrelevante Systeme verantwortete. Seine Arbeit reichte von der Segmentierung von Nutzerverhalten bis hin zu Echtzeit-Analysen und automatisierten Entscheidungsmodellen – Kompetenzen, die heute zentral für die Weiterentwicklung moderner MDR-Lösungen sind.