Viel Autonomie, wenig Erinnerung: Warum KI-Agenten im SOC noch den Menschen brauchen

KI-Agenten sollen das SOC entlasten – doch ohne belastbares Langzeitgedächtnis bleibt echte Autonomie vorerst nicht mehr als ein Versprechen.

Bild: Getty Images / Credits: Sisi Liu, bearbeitet

Anbieter bauen agentische Funktionen inzwischen tief in SIEM-, XDR- und SOC-Plattformen ein. Microsoft, Splunk, CrowdStrike oder Palo Alto Networks automatisieren damit Triage, Analyse, Detection, Incident-Enrichment und erste Response-Schritte – mit einer entscheidenden Lücke: Ohne persistentes, auditierbares Gedächtnis bleiben viele dieser Systeme im Kern hochentwickelte, aber zustandsarme Workflows statt wirklich lernender Sicherheitsagenten.

Der Markt bewegt sich schneller, als viele SOCs organisatorisch nachkommen können. Die agentische Welle im Security-Betrieb ist keine Zukunftsmusik mehr. Microsoft stellte im März 2025 Security-Copilot-Agenten für Phishing, DLP- und Insider-Risk-Triage, Conditional Access, Schwachstellenbehebung und Threat-Intelligence-Briefings vor; Splunk erweiterte im Juni 2026 sein Security-Portfolio um rollenbezogene Agents für Detection Engineering, Triage, SOP-Umsetzung, Malware-Analyse und automatisierte Response. CrowdStrike und Palo Alto Networks positionieren ihre Plattformen ebenfalls explizit als Grundlage eines „agentic SOC“ beziehungsweise einer agentischen Security-Workforce.

Der operative Druck, der diese Entwicklung antreibt, ist enorm. Angreifer agieren mit KI in Maschinengeschwindigkeit; das Zeitfenster der Verteidigung schrumpft von Wochen auf Stunden bis hin zu Sekunden. Für SOCs bedeutet das vor allem eines: Manuelle Triage und isolierte Tools skalieren nicht mehr.

Das eigentliche Defizit ist fehlende Persistenz

Genau hier setzt die Kernthese der Debatte um „Gedächtnisfähigkeit“ an. Im Forschungspaper Memory for Autonomous LLM Agents wird Speicher als die Fähigkeit definiert, Informationen über Interaktionen hinweg zu persistieren, zu organisieren und selektiv wieder abzurufen; erst dadurch werde aus einem zustandslosen Textgenerator ein adaptiver Agent. Übertragen auf Security Operations heißt das: Ein Agent muss sich nicht nur an einen einzelnen Alert erinnern, sondern an frühere Fälle, bereits bewertete Entitäten, bekannte Ausnahmen, verifizierte Fehlalarme und die Ergebnisse vergangener Gegenmaßnahmen.

Dass diese Schicht heute noch fehlt, lässt sich indirekt an den Produktankündigungen ablesen. Splunk betont, mit Entity Insights und Entity Analytics von „isolated alerts“ zu „entity-aware investigations“ kommen zu wollen. Schon diese Formulierung zeigt das Problem: Solange Alarme isoliert und nicht als Teil einer fortlaufenden, entitätsbezogenen Geschichte behandelt werden, fehlt dem System ein belastbarer Erfahrungskontext. Ein Agent kann dann zwar in einem Moment gut argumentieren, startet beim nächsten Vorfall aber faktisch wieder von vorn.

RAG hilft – ersetzt aber kein SOC-Gedächtnis

Das relativiert auch den verbreiteten Glauben, Retrieval-Augmented Generation sei bereits die Lösung. Die Memory-Forschung führt retrieval-augmented stores zwar als einen wichtigen Mechanismus auf, ordnet ihn aber nur als einen Teil einer größeren Write-Manage-Read-Schleife ein. Anders gesagt: Retrieval ist nützlich, aber ohne Konsolidierung, Priorisierung, Widerspruchsbehandlung und kontrolliertes Vergessen entsteht kein belastbares Langzeitgedächtnis, sondern vor allem eine bessere Suchschicht.

Gerade im SOC reicht das nicht aus. Ein Agent muss nicht nur Dokumente oder Case-Daten finden, sondern auch selbstständig erkennen, welche früheren Incidents, Identitäten, Assets oder Policy-Abweichungen in der aktuellen Lage relevant sind. Genau deshalb investieren Anbieter inzwischen in kontextreiche Datenmodelle: CrowdStrike beschreibt seinen Enterprise Graph als „living, connected model of the enterprise“, in dem Telemetrie aus Endpoints, Identitäten, Cloud, SaaS, XIoT und Dritttools zusammenfließt; Splunk will mit Entity Analytics Ermittlungen entitätsbewusst und damit robuster machen. Das sind deutliche Schritte in Richtung verknüpfter Wissensschichten – aber noch nicht automatisch echtes Erinnern im kognitiven Sinn.

Was ein belastbares Gedächtnis im SOC tatsächlich leisten müsste

Funktional lässt sich das Problem in drei Speicherarten übersetzen. Erstens braucht ein SOC-Agent eine Art episodisches Gedächtnis für abgeschlossene Incidents, Untersuchungspfade und wirksame Gegenmaßnahmen. Zweitens braucht er semantisches Gedächtnis für relativ stabile Informationen wie Asset-Zuordnungen, Identitäten, Richtlinien, privilegierte Konten oder bekannte Geschäftsprozesse. Drittens braucht er prozedurales Gedächtnis für Playbooks, SOPs und bewährte Eskalations- oder Response-Muster. Genau diese Dreiteilung – faktisches, erfahrungsbasiertes und arbeitsbezogenes Gedächtnis – bildet die jüngere Agent-Memory-Forschung inzwischen systematisch ab.

Die heutigen Plattformen decken davon vor allem die prozedurale und teilweise die semantische Ebene ab. Microsofts Phishing Triage Agent soll Routine-Phishing-Alerts bearbeiten und die Genauigkeit über Admin-Feedback verbessern; Splunks SOP Agent übersetzt Standard Operating Procedures in Response-Pläne, während der Triage Agent Findings bewertet und priorisiert. Palo Alto Networks wiederum stattet AgentiX mit Agents für Threat Intelligence, E-Mail-Untersuchungen, Endpoint-Forensik, Netzwerkreaktion, Cloud-Security und IT-Betrieb aus; CrowdStrike verlagert ähnliche Aufgaben in Agentic Response, Agentic Workflows und eine erste Welle missionsspezifischer Agents für Hunt, Malware-Analyse, Rule-Generierung oder Workflow-Erstellung.

Die Lösungsansätze werden konkreter – aber der Reifegrad ist unterschiedlich

Bild: Getty Images / Credits: Sisi Liu

Am weitesten gediehen sind derzeit drei Ansätze.

Erstens entstehen immer dichtere Kontextschichten, in denen Entitäten, Telemetrie und Historie zusammengeführt werden. CrowdStrikes Enterprise Graph und Splunks Entity-Analytik zielen genau darauf ab, Alerts in eine relationale, zeitbezogene Unternehmenssicht einzubetten.

Zweitens operationalisieren Anbieter Feedback-Loops: Microsoft sagt, seine Agents lernten aus Admin-Feedback; CrowdStrike nutzt die Triage-Entscheidungen eigener MDR-Analysten, um Untersuchungen zu beschleunigen; Palo Alto verweist auf 1,2 Milliarden reale Playbook-Ausführungen als Erfahrungsbasis von AgentiX.

Drittens wird prozedurales Wissen zunehmend direkt in agentische Workflows gegossen – etwa über Splunks SOP Agent, CrowdStrikes LLM-gestützte Workflows in Falcon Fusion SOAR oder Palo Altos no-code Builder für eigene Agents.

Diese Ansätze sind produktnah, aber nicht gleichbedeutend mit autonomem Lernen im engeren Sinn. Kontextschichten, Feedback-Mechanismen und workflowgebundene Agents sind heute klar im Produkt angekommen; langfristige Konsolidierung über viele Sitzungen und Vorfälle hinweg bleibt dagegen eine offene Baustelle. Pengfei Du nennt ausdrücklich ungelöste Probleme wie Widerspruchsbehandlung, Latenzbudgets, Privacy Governance, vertrauenswürdige Reflexion und „learned forgetting“.

Mit anderen Worten: Die Branche kann bereits viel Kontext aufbauen und punktuell aus Feedback profitieren; ein belastbares, selbstverwaltetes SOC-Langzeitgedächtnis wird daraus noch nicht.

Für Unternehmen wird das Gedächtnisproblem zur Governance-Frage

Je näher Agenten an operative Entscheidungen heranrücken, desto weniger ist das ein reines Produkt- und desto mehr ein Governance-Thema. Palo Alto wirbt deshalb explizit mit rollenbasierten Rechten, Human-in-the-loop-Freigaben für wirkungsstarke Aktionen und vollständiger Auditierbarkeit jeder Agentenaktion. CrowdStrike spricht von „bounded autonomy“ und expert-defined guardrails; Splunk formuliert das Ziel ausdrücklich als „agentic-led and human-governed“. Microsoft wiederum betont nachvollziehbare Begründungen für Triage-Entscheidungen sowie Verbesserungen über Admin-Feedback statt unkontrollierter Selbstoptimierung.

Gerade im europäischen Enterprise-Kontext macht das das Gedächtnisproblem auch zu einer DSGVO- und Mandantenfrage. Sobald Agenten mit Identitätsdaten, DLP-Fällen, Insider-Risk-Signalen, E-Mail-Inhalten oder großflächigen Telemetrieschichten arbeiten, wird persistentes Lernen nicht nur technisch attraktiv, sondern auch datenschutz- und organisationspolitisch heikel.

Forschende bezeichnen Privacy Governance als offene Engineering-Herausforderung; gleichzeitig zeigen Aussagen über MDR-Feedback-Loops, gewaltige Telemetriepools oder Milliarden historischer Playbook-Ausführungen, wie sehr der Nutzen solcher Systeme vom Zugriff auf kumuliertes Erfahrungswissen abhängt. Für MDR-Anbieter ist die Trennlinie zwischen generalisierbarer Expertise und kundenspezifischem Kontext damit eine strategische – und regulatorische – Kernfrage.

Use Cases zeigen den Nutzen – und die Grenzen

Die praktischen Einsatzfelder sind bereits klar erkennbar. Microsoft adressiert mit Security Copilot vor allem Phishing-Triage, DLP- und Insider-Risk-Bewertung, Conditional-Access-Optimierung und Schwachstellenbehebung mit Admin-Genehmigung. Splunk fokussiert Detection Engineering, Triage, Malware-Reversing und die Übersetzung von SOPs in maschinell auslösbare Response-Pläne. CrowdStrike setzt auf Agentic Detection Triage, Agentic Response, LLM-gestützte Workflows und spezialisierte Agents für Hunt, Malware-Analyse oder Exposure-Priorisierung. Palo Alto legt den Schwerpunkt auf vorgefertigte Security Agents plus einen no-code Baukasten, mit dem Unternehmen eigene agentische Abläufe aufsetzen können.

Auffällig ist jedoch, dass all diese Beispiele klar abgegrenzte Arbeitsbereiche adressieren. Sie helfen beim Vorsortieren, Erklären, Anreichern, Priorisieren und Ausführen vordefinierter Schritte. Was sie nicht überzeugend belegen, ist eine durchgängige, organisationsspezifische Erinnerung über Monate von Incidents hinweg – also jenes Erfahrungswissen, das erfahrene Analysten aus ähnlichen Fällen, bekannten Ausnahmen, historischen Fehlalarmen oder früheren IR-Entscheidungen mitbringen. Genau an dieser Grenze verläuft derzeit der Unterschied zwischen starker Assistenz und echter Autonomie.

Automatisierung, Assistenz oder Autonomie? Die Trennlinie verläuft am Gedächtnis

Strategisch lassen sich heute drei Stufen unterscheiden:

Aber selbst die führenden Anbieter beschreiben diesen Modus meist als human-governed, bounded oder guardrail-basiert – nicht als unbeaufsichtigte Vollautonomie.

Ein wirklich autonomer SOC-Agent müsste dagegen dauerhaft aus Incidents lernen, Kontext über Zeit konsolidieren, widersprüchliche Informationen bereinigen, relevante Erfahrungen im richtigen Moment abrufen und sein Handeln revisionssicher erklären können. Genau dort verortet die aktuelle Forschung die offenen Kernprobleme des Agent Memory.

Deshalb ist die nüchterne Einordnung für Unternehmen derzeit: Die aktuelle Generation von SOC-Agenten ist operativ wertvoll, und beschleunigt Sicherheitsarbeit erheblich. Doch das organisationsspezifische Langzeitgedächtnis, das aus Einzelfällen belastbare Erfahrung macht, ist noch nicht ausgereift, noch nicht erinnerungsfähig im eigentlichen Sinn. Und genau daran entscheidet sich, ob das SOC der nächsten Jahre nur schneller automatisiert oder tatsächlich autonomer wird.

Der Gegenentwurf: Human-led Security Operations statt Agentenautonomie

Bild: Getty Images / Credits: adventtr

Sophos positioniert sich mit seiner XDR-Plattform und insbesondere mit dem stark ausgebauten Managed Detection and Response (MDR)-Geschäft primär als ein „human-led, AI-assisted“-Modell. KI kommt dabei vor allem zur Priorisierung, Anreicherung und Beschleunigung von Analysen zum Einsatz, während die eigentliche Bewertung und Entscheidungsfindung weiterhin bei Analysten liegt. Im Unterschied zu Anbietern, die aktuell auf autonome oder teilautonome Agenten setzen, steht bei Sophos weniger die Vision eines „agentic SOC“ im Vordergrund, sondern die Kombination aus Automatisierung und operativer Erfahrung aus realen Incident-Response-Fällen. Gerade daraus ergibt sich indirekt ein interessanter Kontrast zur These des fehlenden Gedächtnisses: Während viele KI-Agenten noch zustandslos agieren, basiert der Sophos-Ansatz stärker auf kollektivem, menschlich kuratiertem Erfahrungswissen aus MDR-Einsätzen – allerdings ohne dieses bislang in Form eines echten, maschinellen Langzeitgedächtnisses für autonome Agenten zu operationalisieren.

Neben Sophos lassen sich noch einige weitere Anbieter als Gegenpol zu den stark agentisch ausgerichteten Plattformen einordnen – also mit Fokus auf menschlich gesteuerte Security Operations, unterstützt durch KI, aber nicht dominiert von autonomen Agenten:

Arctic Wolf verfolgt konsequent ein Concierge-Security-Modell. Im Zentrum steht hier ein dediziertes Security-Team, das Kundenumgebungen kontinuierlich überwacht und Incidents bewertet. KI und Automatisierung dienen primär der Signalreduktion und Kontextanreicherung, nicht der autonomen Entscheidungsfindung. Das „Gedächtnis“ liegt damit stark in den Prozessen und Analysten – weniger in persistent lernenden Systemen.

Secureworks (Taegis) positioniert sich ähnlich mit einem MDR-zentrierten Ansatz, bei dem Telemetrie, Threat Intelligence und Analytics zusammengeführt werden. Auch hier unterstützt KI die Korrelation und Priorisierung, während die eigentliche Bewertung und Response durch menschliche Experten erfolgt. Interessant ist, dass Secureworks stark auf plattformübergreifende Sichtbarkeit setzt – ein Baustein für Kontext, aber noch kein echtes agentisches Lernen.

Expel geht noch einen Schritt weiter in Richtung Transparenz und „human-in-the-loop“. Der Anbieter betont aktiv die Nachvollziehbarkeit von Entscheidungen und die enge Interaktion zwischen Kunden und SOC-Analysten. Automatisierung wird gezielt dort eingesetzt, wo sie deterministisch sinnvoll ist – nicht als autonomer Agent mit eigenständiger Lernlogik.

Diese Anbieter zeigen, dass ein alternatives Modell zur aktuellen Agenten-Euphorie existiert: Statt zu versuchen, ein maschinelles Gedächtnis aufzubauen, setzen sie auf kollektives, operativ erprobtes Erfahrungswissen von Analysten, ergänzt durch KI als Werkzeug.

Genau darin liegt der Kontrast zu den „amnesischen“ Agenten der großen Plattformen – und ist zugleich ein Hinweis darauf, dass echtes, vertrauenswürdiges Lernen im SOC bislang eher organisatorisch als technisch (un-)gelöst ist.

Fazit

Die aktuelle Generation agentischer SOC-Systeme markiert einen wichtigen Fortschritt: Sie kann Triage beschleunigen, Kontext verdichten, Workflows auslösen und Analysten von repetitiven Aufgaben entlasten. Doch sie ersetzt noch nicht jenes belastbare Erfahrungswissen, das aus wiederkehrenden Incidents, bekannten Ausnahmen, Fehlalarmen, Eskalationsmustern und organisationsspezifischen Besonderheiten entsteht. Genau hier liegt die entscheidende Grenze zwischen schneller Assistenz und echter Autonomie.

Für Unternehmen bedeutet das: Agentische Security-Plattformen sollten nicht an der Größe ihrer Automatisierungsversprechen gemessen werden, sondern daran, wie transparent sie mit Kontext, Erinnerung, Feedback, Governance und menschlicher Kontrolle umgehen. Solange Langzeitgedächtnis, Auditierbarkeit und kontrolliertes Lernen nicht verlässlich zusammenkommen, bleibt der human-governed Ansatz kein Übergangsmodell, sondern eine notwendige Sicherheitsarchitektur. Das SOC der nächsten Jahre wird daher vermutlich nicht entweder autonom oder menschlich geführt sein, sondern dort am stärksten, wo KI die Geschwindigkeit liefert und Menschen die Erfahrung, Verantwortung und Einordnung behalten.