Das Versprechen ist verlockend: Künstliche Intelligenz soll Sicherheitsteams von der Flut an Warnungen befreien und Vorfälle selbstständig bewältigen. Die Demonstrationen der Anbieter sind beeindruckend. Doch wer diese Systeme in der Praxis einsetzt, macht eine wichtige Entdeckung: Sie sind oft wenig mehr als hochwertige Werkzeuge zur Warnung-Triage. Sie fassen Meldungen zusammen, reichern Events mit Kontext an, schlagen nächste Schritte vor. Nützlich? Ja. Aber es löst nicht das eigentliche Problem.
Das Kernproblem liegt woanders. Sicherheitsteams haben keinen Mangel an Einblicken — sie haben einen Mangel an Zeit und Koordination. Eine typische Sicherheitsmeldung existiert selten isoliert. Ihre korrekte Behandlung erfordert das Zusammenbringen von Daten aus mehreren Tools, die Validierung von Aktivitäten bei Nutzern, das Aktualisieren von Tickets und Systemen, die Benachrichtigung der richtigen Personen sowie Maßnahmen über Identity-, Endpoint- oder Cloud-Systeme hinweg. In vielen Organisationen bleibt diese Arbeit fragmentiert und manuell.
Die erfolgreichsten Implementierungen zeigen einen anderen Weg: Sie stoppen nicht bei der Triage. Jamf beispielsweise hat den kompletten Lebenszyklus häufiger Warnungen automatisiert — einschließlich Nutzerverifikation und Behebung. Resultat: 90 Prozent der Warnungen werden ohne Analyst-Eingriff end-to-end bearbeitet, was bereits im ersten Monat 150 Stunden einspart. Udemy nutzt KI in Workflows, um Warnungen aus mehreren Systemen automatisch mit Kontext anzureichern und maßgeschneiderte Kommunikation zu generieren.
Doch dieser Weg hat Anforderungen: Zuverlässigkeit wird kritisch, denn Sicherheits-Workflows müssen konsistent funktionieren, auch bei unvollständigen Eingaben. Integration ist unvermeidbar — echte Umgebungen bestehen aus Dutzenden Tools, die koordiniert zusammenarbeiten müssen. Und Kontrollierbarkeit ist nicht verhandelbar: Teams müssen wissen, was passiert ist, warum es passiert ist und wie sie eingreifen können, falls etwas schiefgeht.
Die Lösung ist ein gemischter Ansatz: KI-Agenten für Analyse und Triage, deterministische Workflows für prozesse, die Zuverlässigkeit erfordern, und Menschen in der Schleife für Entscheidungen, die Urteilskraft brauchen. Das berühmte Versprechen der vollständig autonomen Sicherheitsoperationen klingt gut — ist aber praktisch weder realistisch noch wünschenswert. Die besten Teams bauen Systeme, in denen Routineaufgaben automatisch erfolgen, Entscheidungen transparent und nachverfolgbar sind, und Menschen leicht eingreifen können.
Beim Evaluieren solcher Systeme sind die entscheidenden Fragen: Kann es mehrstufige Prozesse über tatsächlich vorhandene Tools ausführen? Verhält es sich konsistent in großem Maßstab? Wie werden Entscheidungen protokolliert? Wo sind Menschen beteiligt? Wie werden fehlerhafte Ausgaben behandelt? Die Demo ist weniger interessant als das echte Verhalten im Produktionsbetrieb.