Mittal setzte ein großes Sprachmodell (LLM) im Fallbearbeitungs-Workflow ihres SOC als “schreibgeschützten Triage-Assistenten” ein, wie sie im Gespräch mit Dark Reading erläutert. Das Werkzeug wertete Daten aus mehreren Quellen aus und führte Analysen anhand zuvor definierter Regeln durch.

Während der Pilotphase maß ihr Team messbare Verbesserungen: Die mittlere Zeit bis zur Entdeckung (MTD) verbesserte sich um 26 bis 36 Prozent, die mittlere Reaktionszeit (MTTR) um 22 Prozent, und Fehlalarme gingen um 16 Punkte zurück. Dabei hielt das Team nach Mittals Angaben strenge Leitplanken ein — darunter erzwungene Quellenangaben, menschliche Freigabestufen, Positivlisten für zugelassene Werkzeuge und eine lückenlose Protokollierung.

In einem Fall entdeckte die KI eine verdächtige .git-Datei auf einem Endpunkt, stufte sie als potenzielle Malware ein, stellte sie automatisch unter Quarantäne und beendete die betroffene Software auf dem Gerät. Zugleich erzeugte die KI aber zusätzliche Fehlalarme, die das Team bearbeiten musste.

Mittal betont, dass KI im SOC eines Herstellers ein anderes Denken erfordert: Betriebsausfälle wirken sich dort direkt auf Umsatz, Produktionslinien und die Sicherheit der Beschäftigten aus. Diese Realität habe jede Architektur- und Governance-Entscheidung geprägt. Bewusst wurde die KI nicht als Steuerungsinstanz über industrielle Systeme eingesetzt, sondern strikt in den Workflow der Fallbearbeitung eingebettet, wo sie Meldungen aus Endpoint Detection and Response (EDR), Netzwerktelemetrie, Cloud-Systemen, Anwendungen und OT-Überwachung zusammenführte. Direkten Zugriff auf speicherprogrammierbare Steuerungen (PLCs), SCADA-Systeme oder Produktionsanlagen erhielt die KI nie.

Gupta steht im Finanzsektor vor anderen Herausforderungen. Sein Unternehmen verarbeitet große Mengen strukturierter und unstrukturierter Daten, die stark reguliert, wirtschaftlich sensibel und unmittelbar mit dem Vertrauen der Kunden verbunden sind — überwacht von Regulierungsbehörden, einschließlich bundesstaatlicher Vorgaben etwa aus Kalifornien und Texas. In seinem Testlauf erwies sich KI als sehr nützlich, um Aufgaben wie Betrugserkennung, automatisierte Risikoprüfung, algorithmischen Handel, Kundenservice-Automatisierung und Risikomodellierung zu beschleunigen. Auch bestehende Playbooks, die er als “deterministisch und starr” beschreibt, konnte die KI verbessern.

Weniger überzeugend fiel der Einsatz im SOC selbst aus. Guptas Organisation gab der KI in einem zweiwöchigen Test auf einem Nicht-Produktivsystem die volle Kontrolle — mit schlechten Ergebnissen. “Die SOC-Realität ist unübersichtlich — Alarme treffen mit unvollständigen Feldern, uneinheitlichen Kennungen und mehrdeutigen Signalen ein”, erklärt Gupta. Die KI habe dabei fälschlicherweise Nutzer aus dem System entfernt.

Sein Fazit: KI kann im SOC unterstützen, doch die endgültige Entscheidung müsse beim Menschen bleiben. Stärken der LLMs sieht er im Zusammenfassen wichtiger Informationen, im Verknüpfen von Kontext und im Erzeugen strukturierter Darstellungen aus den Eingaben verschiedener Sicherheitswerkzeuge. Spürbar sank zudem die Ermüdung der Analysten: Zuvor hätten diese 10 bis 15 Stunden pro Woche mit Dokumentation und Informationsbeschaffung verbracht — eine Arbeit, die nun mit sehr guten Ergebnissen an die KI übergegangen sei.

Beide Verantwortlichen verweisen auf den wachsenden Druck, KI-Werkzeuge einzuführen. “Vorstände und Führungskräfte hören ständig die Botschaft von KI-getriebener Effizienz”, so Gupta — im Finanzsektor verstärkt durch dessen Datenfülle, Innovationsdruck und strenge Regulierung. Sicherheitsteams sollten den Einführungsprozess im Unternehmen aktiv begleiten und nicht zum Hemmschuh für Innovation werden. “Das Geschäft treibt die Sicherheit”, fasst Mittal zusammen. “Nicht die Sicherheit treibt das Geschäft.”