Den Unterschied machen laut Tines Teams, die nicht bei der Triage stehen bleiben. Sie binden KI in Arbeitsabläufe ein, die ganze Prozesse von Anfang bis Ende ausführen: Kontext automatisch über verschiedene Werkzeuge hinweg sammeln, konsistente Logik für Entscheidungen anwenden, Aktionen in mehreren Systemen auslösen und Menschen nur dort einbeziehen, wo Urteilsvermögen gefragt ist.
Als Beispiele nennt der Leitfaden zwei Unternehmen. Jamf automatisierte den vollständigen Lebenszyklus gängiger Alarme einschließlich Nutzerverifizierung und Lösung; 90 Prozent der Alarme werden dort inzwischen ohne Zutun eines Analysten von Anfang bis Ende bearbeitet, was allein im ersten Monat 150 Stunden einsparte. Udemy nutzt KI innerhalb von Arbeitsabläufen, um Alarme aus mehreren Systemen aufzunehmen, mit Kontext anzureichern und automatisch zugeschnittene Mitteilungen zu erzeugen – und ersetzt damit das manuelle Verfassen und Koordinieren, das die Reaktion auf Vorfälle zuvor verlangsamte.
Die Zahlen aus dem Bericht „Voice of Security 2026" stützen die These: 99 Prozent der SOCs setzen KI ein, doch 81 Prozent der Sicherheitsfachleute berichten von im vergangenen Jahr gestiegener Arbeitslast, und 44 Prozent der Teamzeit fließen weiterhin in Aufgaben, die sich automatisieren ließen. Die Werkzeuge sind vorhanden, bleiben laut Tines aber überwiegend bei der bloßen Unterstützung stehen.
Der Schritt von der Empfehlung zur Ausführung bringt eigene Herausforderungen mit sich. Zuverlässigkeit wird entscheidend, weil Arbeitsabläufe auch bei unvollständigen oder unsauberen Eingaben konsistent funktionieren müssen; da KI-Ausgaben nicht immer vorhersehbar sind, braucht es Leitplanken. Integration wird unumgänglich, da reale Umgebungen aus Dutzenden Werkzeugen bestehen, deren koordiniertes Zusammenspiel schwierig und oft brüchig ist. Und Kontrolle wird unverzichtbar: Teams müssen wissen, was passiert ist, warum, und wie sie eingreifen können.
Daraus leitet Tines einen kombinierten Ansatz ab. Die wirksamsten Umsetzungen verbinden drei Elemente: KI-Agenten zum Analysieren, Einordnen und Untersuchen, deterministische Arbeitsabläufe für Prozesse, die Verlässlichkeit, Nachvollziehbarkeit und präzise Steuerung verlangen, sowie Menschen im Entscheidungsprozess, wo Urteilsvermögen, Kontext oder Verantwortlichkeit nötig sind. Weder KI noch Automatisierung allein reichten aus.
Vollständig autonome Sicherheitsoperationen seien dabei nicht das, was die meisten Teams wollten oder wollen sollten. KI könne repetitive Arbeit beseitigen und Analysen beschleunigen, aber keine Verantwortlichkeit ersetzen – wer das anders behaupte, dem solle man mit Skepsis begegnen. Autorisierte Nutzer sollten automatisierte Entscheidungen jederzeit prüfen und überstimmen können. Laut „Voice of Security" berichten Teams mit formalisierten KI-Governance-Richtlinien von deutlich höherem Vertrauen in ihre Sicherheitslage und fühlen sich weniger anfällig für Erschöpfung.
Wer KI für das SOC bewertet, sollte laut Tines weniger auf die Demo achten als auf das Verhalten im echten Einsatz. Empfohlene Prüffragen: Kann das System mehrstufige Prozesse über die tatsächlich genutzten Werkzeuge ausführen? Verhält es sich im großen Maßstab konsistent? Wie werden Entscheidungen protokolliert und auditiert? Wo sind Menschen beteiligt? Was geschieht bei einer falschen Modellausgabe? Welche Modelle werden unterstützt, und lassen sich eigene einbinden? Wie skaliert der Preis mit der Nutzung?
