KI in der Cybersicherheit: Wo sie wirklich hilft

KI in der Cybersicherheit: Wo sie heute wirklich hilft

Montagmorgen, 7:30 Uhr. Das Postfach des Chief Information Security Officers (CISO) füllt sich mit Alarmmeldungen, neue Security Alerts laufen auf, und ein angekündigtes Audit wirft seine Schatten voraus. In dieser alltäglichen Stresssituation stellt sich eine zentrale Frage: Wo zahlt Künstliche Intelligenz (KI) heute wirklich ein, ohne dabei reinem Wunschdenken zu verfallen?

Eine aktuelle Studie von Microsoft Research aus Juli 2025, die über 200.000 Copilot-Dialoge aus dem Zeitraum Januar bis September 2024 analysiert hat, liefert belastbare Erkenntnisse. Die Forscher ordneten echte Arbeitsaufgaben konkreten Berufsbildern zu und maßen für jede Aktivität, ob ein tatsächlich verwertbares Ergebnis entstand. Daraus wurde für jeden Beruf ein sogenannter "AI-Applicability Score" ermittelt. Die zentrale Aussage: KI bietet messbare Nützlichkeit, ersetzt aber keine Rollen vollständig.

Mit diesem evidenzbasierten Blick lässt sich auch der Einsatz von KI in der Cybersicherheit praxisnah einordnen. Dieser Artikel gibt einen strukturierten Überblick darüber, in welchen Bereichen KI heute bereits substanziell unterstützt und wo menschliche Expertise weiterhin unverzichtbar bleibt.

Hoher KI-Nutzen: GRC, Threat Intelligence und Security Engineering

Governance, Risk und Compliance (GRC)

Im Bereich Governance, Risk und Compliance entfaltet KI bereits heute ihr volles Potenzial. Typische Anwendungsszenarien umfassen:

• Policy-Erstellung und Dokumentation: KI kann Erstfassungen von Sicherheitsrichtlinien erstellen, die auf branchenüblichen Standards basieren
• Audit-Vorbereitung: Automatisierte Zusammenstellung von Evidenzen und Nachweisen für Compliance-Anforderungen
• Lieferanten-Fragebögen: Konsistente Beantwortung wiederkehrender Fragen zu Sicherheitsmaßnahmen
• Board-Reports: Verdichtung technischer Details zu verständlichen Management-Berichten

Die Stärke liegt in der Verdichtung von Informationen, der Vereinheitlichung der Sprache und der Übersetzung technischer Sachverhalte in Klartext. KI liefert eine solide Grundlage, die finale Entscheidung und Verantwortung bleibt jedoch beim Menschen. Sie prüfen, ergänzen und entscheiden letztlich, was bleibt.

Threat Intelligence und Lagebild

Im operativen Alltag der Bedrohungsanalyse hilft KI enorm bei der Bewältigung der Informationsflut:

• Quellenauswertung: Automatisiertes Sichten unterschiedlicher Threat-Intelligence-Feeds
• Duplikatserkennung: Identifikation redundanter Meldungen aus verschiedenen Quellen
• Kerninformationen extrahieren: Herausfiltern relevanter Indikatoren und Zusammenhänge
• Priorisierung: Bewertung der Relevanz für die eigene Infrastruktur

KI fasst zusammen, markiert Prioritäten und hält Wissensobjekte aktuell. Die menschlichen Analysten ergänzen kritische Lücken, setzen den organisationsspezifischen Kontext und validieren die Schlussfolgerungen.

Security Engineering und DevSecOps

Für Sicherheitsingenieure und DevSecOps-Teams bietet KI wertvolle Beschleunigung in der Entwicklung:

• Code-Skizzen: Grundgerüste für Sicherheitstools und Automatisierungen
• Konfigurations-Beispiele: Vorschläge für sichere Baseline-Konfigurationen
• Infrastructure-as-Code (IaC): Template-Erstellung für sichere Cloud-Ressourcen
• Detection Rules: Entwürfe für KQL-Queries, Regex-Patterns oder YARA-Rules

Wichtig: KI liefert Startpunkte und Skelette, keine produktionsreifen Lösungen. Jeder KI-generierte Code oder jede Regel benötigt eine fachkundige Review. Die Rolle der KI ist hier klar definiert als Assistenz, nicht Autopilot.

Mittlerer KI-Nutzen: SOC-Operationen und Playbook-Entwicklung

Security Operations Center (SOC) Tier-1

Im Bereich der erstlinigen Alarmbearbeitung zeigt KI gemischte Ergebnisse:

Nutzen:

• Normalisierung unterschiedlicher Alarmformate in einheitliche Strukturen
• Generierung von Kandidatenlisten für nächste Untersuchungsschritte
• Formulierung klarer Entscheidungsbäume für Standard-Szenarien
• Unterstützung bei der Dokumentation von Incident-Verläufen

Herausforderungen:

• Kontextlücken: KI kennt nicht alle Besonderheiten der Umgebung
• Halluzinationen: Erfundene Details, die plausibel klingen, aber falsch sind
• Fehlende Erfahrungswerte: Subtile Muster, die nur erfahrene Analysten erkennen

Praktische Gegenmittel

Um die Risiken zu minimieren, haben sich folgende Maßnahmen bewährt:

• Eingabevorlagen: Strukturierte Prompts, die relevante Minimal-Metadaten erfassen
• Kontextanreicherung: Bereitstellung von Umgebungsinformationen für die KI
• Review-Gates: Verpflichtende menschliche Prüfung vor Umsetzung von KI-Vorschlägen
• Feedback-Schleifen: Systematisches Lernen aus Fehleinschätzungen

Der Mensch bleibt der entscheidende Faktor: Er verknüpft Umgebungswissen, prüft Plausibilität und trifft die finalen Entscheidungen.

Niedriger KI-Nutzen: Kritische Operationen und physische Sicherheit

Incident Response und Forensik

Bei der Ausführung kritischer Sicherheitsmaßnahmen stößt KI an deutliche Grenzen:

• Incident Response-Ausführung: Direkter Eingriff in laufende Systeme erfordert Präzision
• Forensik-Imaging: Beweissichere Datensicherung duldet keine Fehler
• Privilegierte Aktionen: Änderungen an Kernsystemen benötigen klare Verantwortung
• OT-Eingriffe: Operational Technology toleriert keine Experimente
• Hardware-nahe Tätigkeiten: Physischer Zugriff und spezifische Werkzeuge erforderlich

Warum KI hier zurücksteht

Die Gründe sind vielfältig:

• Physischer Zugriff: KI kann nicht direkt mit Hardware interagieren
• Werkzeugpräzision: Forensische Tools erfordern exakte Parameter und Dokumentation
• Formale Freigaben: Regulatorische und rechtliche Anforderungen an Nachvollziehbarkeit
• Geringe Fehlertoleranz: Ein Fehler kann Beweise vernichten oder Produktionssysteme lahmlegen
• Erfahrungswissen: Jahrelange Praxis lässt sich nicht durch Training simulieren

In diesen Bereichen dominieren etablierte Prozeduren, Checklisten und dokumentierte Freigabeprozesse. KI beobachtet bestenfalls vom Rand, sitzt aber nicht am Schalthebel kritischer Operationen.

Best Practices für den KI-Einsatz in der Cybersicherheit

1. Realistische Erwartungen setzen

KI ist ein Produktivitätsmultiplikator, kein Ersatz für Fachwissen. Setzen Sie KI dort ein, wo sie repetitive, dokumentenlastige oder zusammenfassende Tätigkeiten unterstützt.

2. Klare Verantwortlichkeiten definieren

Legen Sie fest, wer KI-generierte Inhalte reviewt, freigibt und verantwortet. Die Accountability bleibt immer beim Menschen.

3. Datenschutz und Compliance beachten

Prüfen Sie, welche Daten Sie KI-Systemen zur Verfügung stellen dürfen. Besonders bei Cloud-basierten Lösungen sind Datenschutzrichtlinien zu berücksichtigen.

4. Kontinuierliches Lernen etablieren

Dokumentieren Sie Erfolge und Fehlschläge im KI-Einsatz. Teilen Sie Erkenntnisse im Team und passen Sie Prompts und Prozesse kontinuierlich an.

5. Kombinieren Sie KI mit menschlicher Expertise

Die beste Ergebnisse entstehen durch Mensch-KI-Kollaboration: KI liefert Geschwindigkeit und Skalierung, Menschen steuern Kontext, Urteilsvermögen und Verantwortung bei.

Fazit: KI als Werkzeug, nicht als Ersatz

Die Studienlage und praktische Erfahrungen zeigen ein klares Bild: KI entfaltet in der Cybersicherheit dort ihren größten Nutzen, wo sie als intelligente Assistenz fungiert, nicht als autonomer Akteur.

Kritische Schritte bleiben menschlich geführt, mit klaren Freigabeprozessen und lückenlosen Protokollen. Die Kunst besteht darin, KI dort einzusetzen, wo sie echte Zeitersparnis und Qualitätsgewinne bringt, ohne dabei Sicherheit oder Compliance zu gefährden.

Für CISOs und Sicherheitsteams bedeutet das: Experimentieren Sie pragmatisch, messen Sie Erfolge konkret, und behalten Sie die Kontrolle über kritische Entscheidungen. KI ist gekommen, um zu bleiben – als wertvolles Werkzeug im Arsenal moderner Cybersicherheit.

Wie setzen Sie KI in Ihrem Sicherheitsumfeld ein? Teilen Sie Ihre Erfahrungen und diskutieren Sie mit Experten über praxistaugliche Ansätze für mehr Effizienz bei gleichbleibend hoher Sicherheit.