Hundert Prozent der Unternehmen in Deutschland wollen KI im SOC nutzen – doch die Umsetzung hakt

Alle befragten Unternehmen in Deutschland, die ein Security Operation Center (SOC) aufbauen wollen, planen, Künstliche Intelligenz (KI) zu integrieren. KI soll vor allem dazu genutzt werden, Anomalien und schädliche Aktivitäten zu erkennen (62 Prozent) und Reaktionsprozesse zu automatisieren (39 Prozent); erwartet werden zudem eine effektivere Bedrohungserkennung (50 Prozent), mehr Automatisierung wiederkehrender Aufgaben (30 Prozent) sowie eine höhere Genauigkeit bei weniger False Positives (36 Prozent). Gleichzeitig bremsen neue KI-bezogene Risiken (34 Prozent), hohe Kosten (32 Prozent), fehlende hochwertige Trainingsdaten (29 Prozent) und der Mangel an KI-Experten (28 Prozent). Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Studie hervor [1].

Für die aktuelle Studie untersuchte Kaspersky, welche Prioritäten Unternehmen beim Aufbau von SOC-Prozessen setzen und welche Erwartungen sie an KI knüpfen. In Deutschland planen alle Befragten (100 Prozent), KI in ihre Security Operations Center zu integrieren – 59 Prozent geben dies als wahrscheinlich an, 41 Prozent als definitiv. KI gilt damit als wichtiger Hebel, um Bedrohungen schneller zu erkennen, Untersuchungen zu beschleunigen und die Effizienz im SOC zu erhöhen.

Als größte Herausforderung bei der KI-Erweiterung des SOCs nennen 34 Prozent jedoch neue Bedrohungen und Schwachstellen im Zusammenhang mit dem KI-Einsatz. Weitere Hürden sind hohe Kosten für Entwicklung und Betrieb KI-gestützter Lösungen (32 Prozent), fehlende hochwertige Trainingsdaten (29 Prozent) sowie ein Mangel an qualifizierten KI-Experten im eigenen Team (28 Prozent). Letzteres unterstreicht den Bedarf an einem strukturierten und belastbar unterstützten Ansatz für den KI-Einsatz im SOC.

Wo KI im SOC konkret unterstützen soll

Wenn es um konkrete Anwendungsfälle geht, erwarten Unternehmen in Deutschland vor allem, dass KI die Erkennung von Bedrohungen stärkt – durch eine automatisierte Analyse großer Datenmengen zur Identifikation von Anomalien und verdächtigen Aktivitäten (62 Prozent). Zudem soll KI die Reaktion auf Vorfälle durch Automatisierung unterstützen, etwa durch das schnelle Ausführen vordefinierter Incident-Response-Szenarien (39 Prozent). Diese Erwartungen decken sich mit den Hauptmotiven für den KI-Einsatz: eine insgesamt effektivere Bedrohungserkennung (50 Prozent), die Automatisierung wiederkehrender Aufgaben (30 Prozent) sowie höhere Genauigkeit bei weniger False Positives (36 Prozent).

„Unternehmen erkennen klar, welchen Beitrag KI in einem SOC leisten kann – der Schritt von ersten Tests hin zu messbarem Effekt im täglichen SOC-Betrieb bleibt jedoch anspruchsvoll“, sagt Waldemar Bergstreiser, General Manager DACH bei Kaspersky. „Angesichts des Fachkräftemangels in der Cybersicherheit – und zusätzlich knapper KI-Kompetenzen – ist der Aufbau eigener KI-Fähigkeiten im SOC ein begehrtes, aber schwer zu erreichendes Ziel. Daher hat Kaspersky im vergangenen Jahr ein noch umfassenderes Set an KI-Funktionen in seinem B2B-Portfolio eingeführt, um die Nachfrage nach zeitnaher Erkennung fortgeschrittener Bedrohungen zu adressieren und zugleich Effizienz und Nutzerfreundlichkeit der Lösungen weiter zu erhöhen.“

Kaspersky-Empfehlungen zur Einrichtung und Wartung von SOCs

• Für den Aufbau und die Weiterentwicklung von Security Operations sind klare Prozesse, Rollenmodelle und effiziente Abläufe entscheidend. Dabei unterstützen Services wie Kaspersky SOC Consulting [2].
• Um Logdaten aus der gesamten IT-Landschaft zentral auszuwerten, zu korrelieren und langfristig verfügbar zu machen, empfiehlt sich eine SIEM-Plattform mit Kontext- und Threat-Intelligence-Anreicherung, wie Kaspersky SIEM [3]. Erweiterte KI-Funktionen helfen dabei, verdächtige Muster schneller zu identifizieren, unter anderem Hinweise auf Dynamic Link Library (DLL) Hijacking.
• Für Echtzeitschutz sowie Untersuchungs- und Reaktionsfunktionen inklusive EDR und XDR sind integrierte Sicherheitsplattformen ein wichtiger Baustein. Hierzu zählt das Portfolio Kaspersky Next [4], geeignet für Organisationen jeder Größe und Branche.
• Für kontextreiche Einblicke entlang des Incident-Management-Zyklus ist Threat Intelligence eine zentrale Grundlage. Dies unterstützen Lösungen wie Kaspersky Threat Intelligence [5]. Eine um KI erweiterte Open-Source-Intelligence-Suche hilft, neue Risiken schneller zu erkennen, einzuordnen und geeignete Maßnahmen abzuleiten.

[1] Für die Kaspersky-Studie wurden weltweit 1.714 Unternehmen mit mindestens 500 Mitarbeitern in 16 Ländern befragt, darunter 100 Unternehmen in Deutschland. Alle befragten Unternehmen haben bisher noch kein Security Operation Center (SOC) eingerichtet, planen dies jedoch in naher Zukunft. Befragt wurden leitende IT-Sicherheitsverantwortliche, Manager und Direktoren.

[2] https://www.kaspersky.com/enterprise-security/soc-consulting

[3] https://www.kaspersky.de/enterprise-security/unified-monitoring-and-analysis-platform

[4] https://www.kaspersky.de/next

[5] https://www.kaspersky.de/enterprise-security/threat-intelligence

Nützliche Links:

• Kaspersky SOC Consulting: https://www.kaspersky.com/enterprise-security/soc-consulting
• Kaspersky SIEM: https://www.kaspersky.de/enterprise-security/unified-monitoring-and-analysis-platform
• Kaspersky Next: https://www.kaspersky.de/next
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence