SOC-CMM-Report: Nur 10 Prozent der SOCs sehen exzellenten Nutzen von KI

Zusammenfassung

Die Einführung von KI in Security Operations Centern schreitet laut dem SOC-CMM 2026 Maturity Report so schnell voran wie nie zuvor. Dennoch berichten die meisten Teams nur von begrenztem Nutzen. Der im Mai veröffentlichte Bericht stützt sich auf Umfragedaten von rund 200 SOCs aus verschiedenen Regionen, Branchen und Betriebsmodellen, die zwischen Ende Januar und Mitte März 2026 erhoben wurden. Demnach sehen nur etwa 10 Prozent der Befragten einen exzellenten Mehrwert durch KI im SOC. Weitere 19 Prozent sprechen von gutem Nutzen, während die übrigen 71 Prozent lediglich einen gewissen oder gar keinen Mehrwert erkennen. Der Text deutet dieses Missverhältnis nicht als technisches, sondern als strukturelles Problem. Zwar investieren SOCs massiv in KI-gestützte Sicherheitsplattformen, agentische SOC-Werkzeuge und KI-Kopiloten. Doch die operative Reife, um daraus tatsächlichen Nutzen zu ziehen, hält laut Bericht mit dem Beschaffungstempo nicht Schritt. Besonders auffällig: Der größte Teil der Teams setzt auf standardisierte KI innerhalb bestehender Sicherheitswerkzeuge, ohne die umgebenden Abläufe grundlegend anzupassen.

Der SOC-CMM 2026 Maturity Report nennt drei Befunde, die zusammengenommen das Bild erklären. Erstens steigt die Nutzung in allen KI-Kategorien deutlich. Standardisierte große Sprachmodelle legten im Jahresvergleich um 55 Prozent zu, KI-Kopiloten um 145 Prozent, KI-Agenten um 118 Prozent, überwachtes maschinelles Lernen um 96 Prozent und angepasste große Sprachmodelle um 64 Prozent. Der Bericht wertet das als Zeichen dafür, dass SOC-Teams stark in KI investieren, ohne die nötige operative Reife erreicht zu haben.

Zweitens dominiert ein Einführungsmodell, das der Bericht als „Nehmer-Modell“ bezeichnet: Standard-KI wird innerhalb eines vorhandenen Sicherheits-Stacks eingesetzt, ohne Anpassung. Etwa 65 Prozent der befragten SOCs ordnen sich dieser Gruppe zu. Weitere 20 Prozent gelten als „Gestalter“, die gekaufte Systeme anpassen, und nur 15 Prozent als „Ersteller“, die Modelle mit eigenen Daten trainieren. Ausgerechnet die größte Gruppe, die „Nehmer“, berichtet laut Bericht vom geringsten Nutzen. Dieses Muster zieht sich durch hybride SOCs, interne SOCs und MSSP-SOCs und zeigt sich ähnlich über Regionen, Sektoren und Bereitstellungsmodelle hinweg.

Drittens verweist der Bericht auf zwei Herausforderungen, die im Jahresvergleich zugenommen haben: fehlende Best Practices um 17 Prozent und die Komplexität steigender Reife um 11 Prozent. Alle anderen Problemfelder, darunter mangelndes Budget und fehlende Unterstützung durch das Management, gingen zurück. Laut Text fehlt es den Teams also nicht primär an Geld oder Rückhalt, sondern an Klarheit darüber, wie die eingekaufte KI sinnvoll eingesetzt werden soll.

Als Ursache beschreibt der Text die Architektur vieler heutiger SOC-Umgebungen. Die erste Welle von KI-Werkzeugen sei vor allem als zusätzliche Funktion in bestehende Produkte eingebaut worden: KI-Triage in SIEM-Systemen, KI-Untersuchung in EDR-Werkzeugen, KI-generierte Playbooks in SOAR-Plattformen und KI-Zusammenfassungen in Ticketing-Tools. Jede dieser Funktionen könne einen einzelnen Arbeitsschritt beschleunigen, teile aber ihren Kontext nicht mit dem nächsten.

In der Praxis führe das dazu, dass Analysten mehrere getrennte KI-Assistenten nutzen, während die Übergaben zwischen den einzelnen Phasen unverändert fragmentiert bleiben. Genau dort liege jedoch ein Großteil des Zeitaufwands und des Nutzens im SOC. Der Bericht unterlegt diese Beobachtung mit Reifegradwerten: Der Technologiebereich erreicht im Datensatz im Schnitt 2,7 von 5 Punkten, der Prozessbereich 2,3 und der Bereich Menschen ebenfalls 2,3. Mehr Werkzeuge, auch KI-Werkzeuge, verbessern diese Werte demnach nicht automatisch und können sie in manchen SOCs sogar verschlechtern, weil jedes neue Werkzeug eine weitere Übergabe erzeugt.

Die rund 10 Prozent der SOCs, die exzellenten Nutzen melden, arbeiten dem Text zufolge nicht einfach mit anderen Einzelwerkzeugen, sondern mit einer anderen Struktur. Entscheidend sei eine Verbindung der fünf SOC-Phasen Bedrohungsaufklärung, Threat Hunting, Detection Engineering, Untersuchung und Gegenmaßnahmen. Die zweite KI-Welle müsse deshalb nicht aus mehr Funktionen innerhalb einzelner Produkte bestehen, sondern aus KI über alle Phasen hinweg. Geschlossene Untersuchungen sollen künftige Erkennungen nachschärfen, Ergebnisse aus dem Threat Hunting in die nächste Bedrohungsaufklärung einfließen und Gegenmaßnahmen das nächste Playbook beeinflussen.

Als Beispiel nennt der Text die im Mai 2026 gestartete CognitiveSOC™-Plattform von Conifers. Deren End-to-End-Ansatz für ein agentisches SOC soll Bedrohungsaufklärung, Threat Hunting, Detection Engineering, Untersuchung und Gegenmaßnahmen in einem gemeinsamen Gefüge verbinden. Laut Text bringt die Plattform außerdem Governance-Funktionen mit: Jede Agentenaktion werde mit Begründungskette und Belegspur dokumentiert, Kunden legten Umfang und Befugnisse der Agenten fest und könnten deren Autonomie schrittweise erweitern. Das System arbeite auf dem bereits vorhandenen Stack auf und unterstütze mehr als 60 Integrationen über EDR, Identität, Cloud, E-Mail und ITSM hinweg.

Der Text verweist außerdem auf Entwicklungen auf Angreiferseite. Google’s Threat Intelligence Group habe in diesem Jahr den ersten bestätigten KI-entwickelten Zero-Day-Exploit offengelegt. Zudem identifiziere Anthropic’s Claude Mythos Preview kritische Schwachstellen mit maschineller Geschwindigkeit. Weiter heißt es, der CISO von JPMorgan habe in einem offenen Brief im April 2025 davor gewarnt, dass sich die Ökonomie des Cyberrisikos verschiebe und Käufer standardmäßig sichere Produkte statt hastig veröffentlichter Funktionen verlangen müssten.

SOC-CMM-Report: Nur 10 Prozent der SOCs sehen exzellenten Nutzen von KI

Ähnliche Artikel

Neueste Artikel