Agentic AI im SOC: Warum der Mensch trotz autonomer Sicherheitsagenten vorerst unverzichtbar bleibt

KI-Agenten können Sicherheitsprozesse beschleunigen, doch Kontrolle, Governance und Haftung bleiben menschliche Aufgaben.

Computing-Deutschland-Herausgeberin traf Udo Schneider – Governance, Risk & Compliance Lead, Europe – im Rahmen der GITEX AI Europe 2026 in Berlin.

Agentic AI gilt derzeit als eines der meistdiskutierten Themen der IT-Branche. Anbieter versprechen autonome Sicherheitsanalysen, automatisierte Incident Response und perspektivisch sogar weitgehend selbststeuernde Security Operations Center (SOC). Die Realität in Unternehmen fällt jedoch deutlich nüchterner aus. Zwar übernehmen KI-Agenten bereits heute immer mehr operative Aufgaben, kritische Entscheidungen verbleiben jedoch weiterhin beim Menschen. Computing sprach auf der GITEX AI Europe 2026 mit Udo Schneider, Governance, Risk & Compliance Lead, Europe bei TrendAI, über Automatisierung, intelligente Agenten und unverzichtbare Menschen im SOC.

„Agentic AI hat einen starken Marketing-Einschlag“, sagt Udo Schneider, Governance, Risk and Compliance Lead Europe bei Trend AI, im Gespräch mit Computing. Vieles von dem, was aktuell als agentische KI vermarktet werde, lasse sich auch mit klassischen Automatisierungsverfahren umsetzen. Die eigentliche Frage sei daher nicht, ob Unternehmen KI-Agenten einsetzen können, sondern an welcher Stelle autonome Systeme tatsächlich einen Mehrwert liefern.

Autonomie endet meist vor der kritischen Entscheidung

Im Security-Umfeld zeigt sich dieser Unterschied besonders deutlich. Vollständig autonome SOCs, die ohne menschliche Freigabe produktive Systeme isolieren, Geschäftsprozesse stoppen oder weitreichende Gegenmaßnahmen auslösen, sind in der Praxis bislang selten.

Technisch wäre dies längst möglich. Moderne SOAR-, XDR- und SIEM-Plattformen können kompromittierte Endgeräte automatisch isolieren, verdächtige Konten sperren oder Incident-Response-Workflows ohne menschliches Eingreifen starten. Anbieter wie CrowdStrike, Microsoft, Palo Alto Networks oder Trend Micro arbeiten inzwischen an agentischen Sicherheitsplattformen, die den Autonomiegrad weiter erhöhen sollen.

Die meisten Unternehmen setzen jedoch bewusst auf Human-in-the-Loop-Modelle.

„Wenn es darum geht, einen Arbeitsplatzrechner in Quarantäne zu schicken, wird häufig automatisiert gehandelt“, erklärt Schneider. Anders sehe es bei geschäftskritischen Datenbanken, Produktionsanlagen oder zentralen ERP-Systemen aus. Dort wollten Unternehmen weiterhin einen Verantwortlichen, der im Zweifelsfall die letzte Entscheidung treffe.

Im Kern gehe es um Risikomanagement. Je größer der potenzielle „Blast Radius“ einer Maßnahme sei, desto stärker bleibe menschliche Kontrolle gefragt.

KI beschleunigt Ermittlungen, ersetzt jedoch keine Analysten

Besonders erfolgreich sind KI-Agenten derzeit bei der Informationsaufbereitung. Sicherheitsanalysten müssen täglich enorme Mengen an Log-Daten, Telemetrieinformationen und Alarmmeldungen auswerten. Genau hier spielen agentische Systeme ihre Stärken aus.

Sie durchsuchen große Datenmengen, korrelieren Ereignisse, identifizieren Muster und erstellen automatisch strukturierte Fallakten für Incident-Response-Teams. Statt hunderte Log-Zeilen manuell auszuwerten, erhalten Analysten bereits aufbereitete Zusammenfassungen mit Handlungsempfehlungen.

Auch natürlichsprachliche Benutzeroberflächen gewinnen an Bedeutung. Analysten können Sicherheitsplattformen zunehmend per Spracheingabe oder Chat abfragen, beispielsweise um verdächtige Aktivitäten erklären oder ähnliche Vorfälle identifizieren zu lassen.

„Der Agent bekommt keine vollständige Handlungsfreiheit“, betont Schneider. Stattdessen arbeiteten viele Systeme mit definierten Workbooks oder Playbooks. Die KI analysiere die Situation, die eigentliche Reaktion folge jedoch anhand festgelegter Regeln und Governance-Vorgaben.

Dieses Modell entspricht auch der derzeitigen Marktentwicklung. Viele Sicherheitsanbieter sprechen von „bounded autonomy“ – also von begrenzter Autonomie innerhalb klar definierter Leitplanken. Vollständige Selbststeuerung bleibt die Ausnahme.

Angreifer agieren bereits in Maschinengeschwindigkeit

Gleichzeitig verschiebt sich das Kräfteverhältnis zwischen Angreifern und Verteidigern.

Während Unternehmen häufig noch davon ausgehen, zwischen Alarmierung und tatsächlichem Schaden mehrere Stunden reagieren zu können, beobachten Sicherheitsanbieter zunehmend Angriffe, die sich innerhalb weniger Minuten oder sogar Sekunden ausbreiten.

„Viele Kunden denken immer noch in Zeiträumen von ein bis zwei Jahren zurück“, sagt Schneider. Die Vorstellung, nach dem ersten Alarm noch mehrere Stunden für Analysen und Abstimmungen zu haben, sei zunehmend unrealistisch.

KI unterstützt inzwischen auch die Angreiferseite. Automatisierte Reconnaissance, Schwachstellensuche, Credential Harvesting oder lateral bewegende Angriffe lassen sich erheblich schneller durchführen als bislang.

„Wenn der Angreifer in Maschinengeschwindigkeit agiert, muss man sich als Verteidiger die Frage stellen, ob man sich noch erlauben kann, alles manuell zu entscheiden.“

Diese Entwicklung erhöht den Druck auf Unternehmen, zumindest Teile ihrer Sicherheitsprozesse zu automatisieren. Andernfalls drohen Reaktionszeiten, die mit modernen Angriffsketten nicht mehr Schritt halten können.

NIS2 und DORA erhöhen den Handlungsdruck

Hinzu kommen regulatorische Anforderungen. Mit NIS2, DORA und weiteren europäischen Cybersecurity-Vorgaben steigen die Anforderungen an Dokumentation, Nachweisbarkeit und Incident Management deutlich. Unternehmen müssen nicht nur Sicherheitsvorfälle erkennen, sondern auch nachvollziehbar dokumentieren und fristgerecht melden.

Nach Ansicht Schneiders verwechseln viele Organisationen dabei Verantwortlichkeit mit Langsamkeit.

Zwar könne die Verantwortung für eine Entscheidung nicht an eine KI delegiert werden. Daraus folge jedoch nicht automatisch, dass jede Maßnahme manuell durchgeführt werden müsse.

Entscheidend seien dokumentierte Entscheidungsprozesse, definierte Eskalationswege und nachvollziehbare Bewertungskriterien. Wer belastbare Entscheidungsmatrizen, technische Schutzmaßnahmen und dokumentierte Prozesse nachweisen könne, stehe regulatorisch deutlich besser da als Unternehmen, die erst im Krisenfall improvisieren.

Die unterschätzte Gefahr: KI-Agenten mit zu vielen Rechten

Als deutlich größeres Problem betrachtet Schneider aktuell die Berechtigungsmodelle vieler Agentensysteme.

Zahlreiche KI-Agenten arbeiten heute im Kontext des jeweiligen Benutzers und übernehmen dessen Zugriffsrechte. Damit erhalten sie potenziell Zugriff auf E-Mails, Dateiserver, ERP-Systeme, Wissensdatenbanken und Cloud-Anwendungen.

„Je mehr Rechte ein Agent besitzt, desto leistungsfähiger wird er – aber auch desto gefährlicher“, warnt Schneider.

Der Markt verfüge bislang nur begrenzt über ausgereifte Identity- und Access-Management-Konzepte für Agenten. Klassische IAM-Systeme seien auf Benutzerkonten, Server oder Maschinenidentitäten ausgelegt. Agentische Systeme arbeiteten dagegen oft mit kurzlebigen Kontexten und dynamischen Berechtigungen.

Die Folge: Viele Unternehmen schaffen hochprivilegierte digitale Akteure, ohne deren Aktivitäten ausreichend kontrollieren zu können.

Die „Rule of Two“ als Sicherheitsprinzip

Zur Risikobegrenzung verweist Schneider auf die sogenannte „Rule of Two“. Sie besagt vereinfacht, dass ein Agent niemals gleichzeitig über drei Fähigkeiten verfügen sollte:

Werden alle drei Fähigkeiten kombiniert, steigt die Gefahr von Prompt-Injection-Angriffen, Datenabfluss oder unkontrollierten Systemmanipulationen erheblich.

Diese Problematik wird in der Sicherheitsforschung häufig als „Lethal Trifecta“ bezeichnet: die Kombination aus privilegierten Rechten, externen Eingaben und autonomen Aktionen. Sicherheitsforscher sehen darin eine der größten Herausforderungen für agentische Systeme im Enterprise-Betrieb.

In der Praxis werde dieses Prinzip jedoch häufig ignoriert. Stattdessen statten viele Unternehmen ihre Agenten mit möglichst umfassenden Rechten aus, um den Produktivitätsgewinn zu maximieren.

Cyberhygiene bleibt wichtiger als jede KI

Trotz aller Diskussionen über autonome Agenten sieht Schneider die größte Sicherheitslücke weiterhin bei den Grundlagen.

Aktuelle Vorfälle zeigten immer wieder, dass kompromittierte Administratorzugänge, ungepatchte Systeme, exponierte Managementschnittstellen oder unzureichende Zugriffskontrollen nach wie vor zu den häufigsten Ursachen erfolgreicher Angriffe gehören.

„Cyberhygiene funktioniert heute genauso wie vor 20 oder 30 Jahren“, sagt Schneider.

Der Unterschied bestehe lediglich darin, dass KI-gestützte Angreifer Schwachstellen deutlich schneller ausnutzen könnten. Sicherheitslücken seien daher nicht unsicherer geworden – der Zeitraum zwischen ihrer Entdeckung und ihrer Ausnutzung sei jedoch drastisch geschrumpft.

Daten bleiben der entscheidende Wettbewerbsvorteil

Jenseits der Sicherheitsthematik sieht Schneider einen weiteren häufig unterschätzten Faktor im KI-Wettbewerb: Daten.

Während sich KI-Kompetenz, Rechenleistung und Fachkräfte einkaufen ließen, gelte dies für hochwertige Unternehmensdaten nur eingeschränkt.

Viele etablierte Anbieter verfügen über jahrzehntelang aufgebaute Wissens- und Telemetriedatenbanken. Gerade im Cybersecurity-Umfeld bilden sie die Grundlage moderner KI-Modelle.

„Das KI-Wissen kann man sich einkaufen“, sagt Schneider. „Die Daten meistens nicht.“

Für CIOs und CISOs bedeutet das: Weder blinder KI-Enthusiasmus noch Abwarten sind eine sinnvolle Strategie. Unternehmen sollten ihre Datenbestände, Sicherheitsprozesse und Governance-Strukturen jetzt so ausrichten, dass sie von agentischen Systemen profitieren können – ohne dabei Kontrolle und Verantwortlichkeit aus der Hand zu geben.

Die entscheidende Frage lautet dabei nicht, ob KI-Agenten künftig mehr Aufgaben übernehmen werden. Sondern wie viel Autonomie Unternehmen ihnen tatsächlich anvertrauen wollen.

Schneiders persönliche „Famous Last Words“ wirken dabei fast wie eine Handlungsanweisung für den Umgang mit KI im Enterprise-Umfeld: „Neugierig bleiben.“ Denn gerade in einer Zeit, in der Hersteller, Investoren und Berater den Markt mit immer neuen KI-Versprechen überfluten, wird kritische Neugier für Unternehmen zum strategischen Vorteil – nicht, um jedem Hype zu folgen, sondern um Chancen, Risiken und tatsächlichen Nutzen voneinander unterscheiden zu können.