Select your country

Not finding what you are looking for, select your country from our regional selector:

Suche

| Blog

Agentic AI im SOC: Architektur, Reifegrade & Roadmap

Joachim Schuster
Solution Architect

Lesezeit: ca. 10 Minuten

Security Operations Center (SOC) entwickeln sich aktuell schneller als jemals zuvor. Während viele Unternehmen ihr SOC noch um klassische Regelwerke und SIEM-Korrelation aufgebaut haben, stehen heute zwei Entwicklungsstufen im Raum: AI-assisted Analysis, also KI als Co-Pilot, und Agentic AI, die definierte SOC-Aufgaben eigenständig in einer Workflow-Kette ausführt. Wer als Security-Verantwortliche:r heute Architektur- oder Investitionsentscheidungen trifft, braucht ein klares Bild davon, welcher Reifegrad welchen Nutzen bringt und welche Schritte realistisch sind. Genau das ordnet dieser Beitrag ein.

Warum die Reifegrad-Frage jetzt entscheidend ist

Angriffsmuster werden schneller, unauffälliger und KI-gestützt. Gleichzeitig steigen Datenmengen aus Identity, Endpoint, Cloud und OT exponentiell. Klassische, rein regelbasierte SOCs stoßen an Grenzen: zu viele Alerts, zu wenig Kontext, zu langsame Triage. Agentic AI verspricht hier einen messbaren Hebel, allerdings nur, wenn Architektur und Reifegrad zusammenpassen.

Die zentrale Frage lautet daher nicht „Setzen wir KI ein?“, sondern: Welcher Reifegrad ist realistisch, welcher passt zu unserem Operating Model und welche Bausteine bringen heute schon Wirkung?

Reifegrad-Modell: Vom Regelwerk zur Agentic-AI-Investigation

Stufe 1: Deterministische SOC-Regelwerke

Ausgangslage in vielen Organisationen. Die Erkennung basiert auf festen Korrelationsregeln, statischen Schwellenwerten und manuellen Playbooks. Stärken: Nachvollziehbarkeit, Auditfähigkeit. Schwächen: hoher Pflegeaufwand, viele False Positives, schlechte Skalierbarkeit.

Stufe 2: AI-assisted Analysis (Co-Pilot)

KI unterstützt Analyst:innen. Sie clustert Alerts, fasst Cases zusammen, schlägt Hypothesen vor und beschleunigt das Reporting. Entscheidungen bleiben beim Menschen. Diese Stufe ist heute der Standard für SOCs, die nachhaltig skalieren wollen.

Stufe 3: Agentic-AI-gestützte SOC-Workflows

Agentic AI führt definierte Schrittfolgen eigenständig aus: Triage, Anreicherung, Investigation-Vorarbeit, Vorschlag von Response-Maßnahmen. Sie arbeitet zielorientiert, nutzt Tools und Datenquellen und bleibt dabei innerhalb klar gesetzter Leitplanken (Guardrails).

Stufe 4: Autonomous SOC mit Mensch-in-Aufsicht

Der höchste sinnvolle Reifegrad. Routine-Investigations, Tier-1- und ausgewählte Tier-2-Schritte laufen ohne menschlichen Eingriff, jedoch mit voller Audit-Trail-Pflicht. Menschen entscheiden weiterhin bei kritischen, unklaren oder hochregulierten Vorfällen (Human-in-the-loop).

Architektur eines Agentic-AI-SOC im Überblick

Eine belastbare Agentic-AI-Architektur besteht aus fünf Schichten, die ineinandergreifen:

  1. Datenebene: SIEM-/Data-Lake-Layer mit normalisierter Telemetrie (Identity, Endpoint, Cloud, Network, OT, Applikationen).
  2. Detection-Layer: EDR/XDR, NDR, Cloud-Detection und ML-Modelle für Verhaltensanalyse.
  3. Orchestrierungs- und Agent-Layer: SOAR und Agentic-AI-Engines, die Workflows planen, Tools aufrufen und Cases vorantreiben.
  4. Governance-Layer: Policies, Guardrails, Logging, Modell-Karten, Genehmigungen und Eskalationen.
  5. Mensch-Layer: Analyst:innen, Threat Hunter, Engineers, mit klaren Rollen und definierten Übergaben.

Datenbasis & Telemetrie – die unterschätzte Voraussetzung

Agentic AI ist nur so gut wie die zugrunde liegenden Daten. In der Praxis scheitert die Skalierung häufig an unsauberer Telemetrie: fehlende Identity-Signale, lückenhafte Endpoint-Coverage, unvollständige Cloud-Audit-Logs. Bevor Sie Agentic-AI-Komponenten ausrollen, sollte klar sein, welche Top-Datenquellen vollständig, qualitativ hochwertig und kontextangereichert (Asset, Owner, Kritikalität) vorliegen.

Agentic AI im Zusammenspiel mit MDR, XDR und SIEM

Agentic AI ist kein Ersatz, sondern eine Erweiterung etablierter Security-Bausteine. SIEM bleibt zentrale Korrelations- und Audit-Ebene, XDR liefert domänenübergreifende Detection, MDR übernimmt den Betrieb. Agentic AI verbindet diese Ebenen zu einem konsistenten Workflow und macht Detection & Response messbar schneller.

Vertiefend dazu: Unser Beitrag Vergleich MDR, XDR, EDR und SIEM – technologische Synergien ordnet die Bausteine ein.

Roadmap: Wie Sie Reifegrade pragmatisch entwickeln

  1. Status quo bewerten: Welche Quellen sind angebunden, wie sieht die Detection-Qualität aus?
  2. AI-assisted-Schritte definieren: Welche Aufgaben (Alert-Clustering, Reporting) lassen sich als erstes mit KI unterstützen?
  3. Pilot für Agentic AI starten: Ein eng abgegrenzter Use Case (z. B. Phishing-Triage), klare Erfolgsmetriken (MTTD/MTTR, FP-Rate).
  4. Governance & Guardrails verankern: Was darf der Agent? Wann ist menschliche Freigabe Pflicht?
  5. Skalierung in Phasen: Weitere Use Cases, größere Datendomänen, klar definierte Entscheidungsstufen.

Weitere Informationen, wie Sie einen Pilot für Agentic AI starten, finden Sie in unserem Beitrag Agentic AI operationalisieren: schneller erkennen & reagieren.

„Die wichtigste Architekturentscheidung im Agentic-AI-SOC ist keine technische, sondern: Welche Entscheidung darf der Agent treffen und welche bleibt beim Menschen?“ Joachim Schuster, Solution Architect, Orange Cyberdefense Germany

Fazit: Architektur folgt Operating Model

Agentic AI ist eine Architektur- und Betriebsfrage. Ohne saubere Daten, dokumentierte Use Cases und klare Governance entsteht jedoch selbst mit modernster KI kein belastbarer SOC-Betrieb.

Wer den Weg strukturiert geht, macht aus Agentic AI einen echten Hebel: Schnellere Erkennung, konsistentere Reaktion und ein SOC, das mit der Bedrohungslage skaliert.

Sprechen Sie mit unseren Expert:innen über Ihren individuellen Reifegrad und die nächsten Schritte. Orange Cyberdefense begleitet Sie auf dem Weg zum Agentic-AI-SOC.

Häufig gestellte Fragen (FAQ) zu Agentic AI in der Cybersecurity

Was unterscheidet Agentic AI von deterministischen Regelwerken im SOC?

Deterministische Regelwerke folgen festen Korrelationsregeln und Schwellenwerten: Tritt Muster X auf, wird Reaktion Y ausgelöst. Das ist nachvollziehbar, aber pflegeintensiv und unflexibel. Agentic AI arbeitet zielorientiert. Sie zerlegt eine Aufgabe in Schritte, reichert Cases eigenständig an, nutzt mehrere Datenquellen und Tools und wählt bei Abweichungen einen alternativen Weg, immer innerhalb klar gesetzter Leitplanken. Der Unterschied ist also nicht „mehr Automatisierung", sondern Kontextverständnis und Entscheidungsfähigkeit innerhalb definierter Grenzen.

Welche Reifegrade durchläuft ein SOC auf dem Weg zum Autonomous SOC?

Vier Stufen haben sich bewährt. Stufe 1 ist das deterministische Regelwerk mit festen Korrelationsregeln. Stufe 2 ist AI-assisted Analysis: KI clustert als Co-Pilot Alerts und beschleunigt das Reporting, der Mensch entscheidet. Stufe 3 sind Agentic-AI-gestützte Workflows, in denen der Agent Triage, Anreicherung und Investigation-Vorarbeit eigenständig ausführt. Stufe 4 ist der Autonomous SOC mit Mensch-in-Aufsicht (Human-in-the-loop): Routine-Investigations laufen automatisiert, kritische Entscheidungen bleiben menschlich. Wichtig: Jede Stufe ist erst sinnvoll, wenn die darunterliegende stabil läuft.

Wie sieht die Architektur eines Agentic-AI-SOC aus?

Eine belastbare Architektur besteht aus fünf ineinandergreifenden Schichten: der Datenebene (SIEM/Data-Lake mit normalisierter Telemetrie aus Identity, Endpoint, Cloud, Network und OT), dem Detection-Layer (EDR/XDR, NDR und ML-Modelle), dem Orchestrierungs- und Agent-Layer (SOAR plus Agentic-AI-Engines), dem Governance-Layer (Policies, Guardrails, Logging, Modell-Karten) und dem Mensch-Layer mit klaren Rollen. Entscheidend ist nicht eine einzelne Komponente, sondern das saubere Zusammenspiel und ein Governance-Layer, der jede autonome Aktion nachvollziehbar macht.

Welche Voraussetzungen müssen Datenbasis und Telemetrie erfüllen?

Agentic AI ist immer nur so gut wie die Daten darunter. Die Top-Datenquellen aus Identity, Endpoint, Cloud und Network müssen vollständig angebunden, qualitativ hochwertig und kontextangereichert sein, also mit Asset, Owner und Kritikalität verknüpft. In der Praxis scheitert Skalierung meist genau hier: an fehlenden Identity-Signalen, lückenhafter Endpoint-Coverage oder unvollständigen Cloud-Audit-Logs. Deshalb gilt: Erst die Telemetrie konsolidieren, dann Agentic-AI-Komponenten ausrollen, nicht umgekehrt.

Wie passt Agentic AI zu MDR, XDR, EDR und SIEM?

Agentic AI ersetzt diese Bausteine nicht, sie verbindet sie. SIEM bleibt die zentrale Korrelations- und Audit-Ebene, EDR/XDR liefern die domänenübergreifende Detection, MDR übernimmt den 24/7-Betrieb. Agentic AI legt sich als orchestrierende Schicht darüber: Sie führt die Signale aus allen Ebenen zu einem konsistenten Workflow zusammen und macht Detection & Response messbar schneller. Wer bereits in XDR oder MDR investiert hat, baut Agentic AI also nicht auf der grünen Wiese, sondern als logische Weiterentwicklung des bestehenden Stacks.

Welche Risiken bringt eine zu schnelle Einführung mit sich?

Das größte Risiko ist, Reifegrade zu überspringen. Wer Agentic AI auf einer unsauberen Datenbasis oder ohne dokumentierte Use Cases ausrollt, erzeugt schnelle Demo-Effekte, aber keinen belastbaren Betrieb und im schlimmsten Fall automatisierte Fehlentscheidungen. Typische Stolperfallen sind fehlende Guardrails, unklare Eskalationspfade und ein nicht abgestimmtes Operating Model. Die Lösung ist kein Verzicht, sondern Sequenz: Status quo bewerten, AI-assisted-Schritte etablieren, einen eng abgegrenzten Pilot starten und erst dann skalieren.

24/7 Incident Hotline