Wenn Maschinen denken lernen, muss Sicherheit mitdenken

Wir erleben gerade, wie KI das Tempo und die Angriffsdynamik markant verschiebt. Agentenbasierte KI steuert heute Zielwahl, Taktikwechsel und Täuschung nahezu autonom und in selbstlernenden Zyklen.

Michael Stampfli: KI entfaltet Wirkung auf der Seite, auf der sie eingesetzt wird. In der Abwehr verschafft sie uns wertvolle Zeit, indem sie mögliche Bedrohungen präzise aus dem Rauschen herauslöst. Wir betrachten KI als Partnerin unter klarer menschlicher Kontrolle, definierten Grenzen und Aufsicht. Kluge Abwehr beruht auf dem Ansatz, dass Mensch und Maschine im Human-AI-Teaming einander ergänzen. KI skaliert und korreliert Daten, erkennt Muster und Zusammenhänge. Der Mensch ordnet ein und interpretiert mehrdeutige Situationen.  

Stampfli: Vertrauen verlangt klare Definitionen: Wann darf eine Maschine autonom entscheiden, wann ist menschliches Eingreifen nötig und welche Entscheidungen bleiben beim Menschen? Jede überprüfbare Entscheidung und die Fähigkeit, diese zu erklären und zu belegen, baut Vertrauen auf. So wächst Autonomie, wo Nachweise belastbar sind, und bleibt begrenzt, wo Unsicherheit beginnt.

Stampfli: In der Praxis folgen wir drei Prinzipien. Erstens arbeiten wir intensiv mit Human-in-the-Loop-Gates: Jede Automatisierung ist an Risiko und Konfidenz gebunden – etwa durch menschliche Freigaben, Reviews und ein doppeltes Sicherheitsnetz. Zweitens nutzen wir KI-gestützte Triage, die Telemetrie anreichert und zu prüfbaren Hypothesen verdichtet, welche Analyst*innen gezielt prüfen. Und drittens ist Auditierbarkeit Standard: Jede automatisierte Aktion wird geloggt und geprüft, um Qualität und Haftbarkeit sicherzustellen.

Stampfli: Bei uns im SOC ist 24/7-Eyes-on-Glass als lernende Betriebsform konzipiert, in der KI-unterstützte Triage und Human-In-The-Loop-Gates zusammenwirken. Die Erfahrungen aus dem SOAR-Ansatz der automatisierten Abwehr sind in ein gemeinsam mit Kunden entwickeltes System eingeflossen, das den Handlungsspielraum in verschiedenen Szenarien definiert. Für die Praxis bedeutet das: Wir stärken unsere Teams in Modellkritik, Bias-Awareness und Fehlerkultur und verankern zugleich Leitplanken, Drift-Monitoring und Transparenzkriterien. Das Ergebnis: Ein SOC-Betrieb, in dem nicht nur Alarme abgearbeitet, sondern Entscheidungen ­nachvollziehbar getroffen und Verantwortung wahrgenommen wird.

Stampfli: Drei elementare Achsen prägen die Cyber Defence der Zukunft: Geschwindigkeit, Transparenz und Vertrauen. Geschwindigkeit, weil KI-gestützte Angriffe den OODA-Loop verkürzen. Transparenz, weil Blackbox-Entscheidungen ohne Kontrolle versagen. Vertrauen, weil nur kalibrierte Modelle, nachvollziehbare Fehlertypen und ein aktiver Human-in-the-Loop verlässliche Entscheidungen ermöglichen. KI wird risikoadaptiert als Co-Pilot oder eigenständiger Akteur agieren. In klar definierten High-Volume-Bereichen kann KI autonomer handeln. Doch in geschäftskritischen, ambigen Szenarien bleibt der Mensch am Steuer. Eine resiliente Cyberabwehr ist hybrid. Maschine, Mensch und Governance formen Sicherheit, die mitdenkt, mit KI Schritt hält und die Zukunft aktiv mitgestaltet.