Ist Cybersecurity bereits voll von KI-Schrott?

Das Nebenprodukt des KI-Hypes ist KI-Schrott. Man denke an die schludrig produzierten Videos und Reels, die das Internet überschwemmen und auf den ersten Blick gut aussehen, bis sich zeigt, dass sie mit billigen KI-Tools zusammengeschustert wurden. Während das für den Durchschnittsmenschen lediglich ärgerlich ist, wird es zu einem ernsteren Problem, wenn dieses Verhalten in wichtige Branchen wie die Cybersicherheit eindringt.

Leider lässt sich das gerade in Echtzeit beobachten. Der Markt ist überschwemmt von schlecht konstruierten KI-Lösungen, die zum großen Teil lediglich darauf ausgelegt sind, noch mehr Schwachstellen zu finden und zu sammeln. Das klingt oberflächlich zwar cool, doch es verbessert die Sicherheit nicht, solange die Prozesse zur Priorisierung und Behebung nicht ebenfalls besser werden.

Sicherheitsteams kämpfen nicht mit einem Mangel an Warnmeldungen – sie leiden unter einer Überlastung. Im Sicherheitskontext erzeugt KI-generierter Schrott ein immer lauter werdendes Grundrauschen an Alarmmeldungen, das die Arbeitslast erhöht, statt sie zu verringern. Gefragt sind weder Zusammenfassungen ohne Erkenntnisse noch generische Handlungsempfehlungen ohne Verständnis der umgebungsspezifischen Risiken oder doppelte Warnmeldungen über fragmentierte Tools hinweg. Sicherheitsfachleute sind ohnehin schon in Warnmeldungen vergraben und brauchen keine zweifelhaften Empfehlungen auf Basis schludriger, unvollständiger Daten. Kurz gesagt: Eine KI, die nur mehr Tickets, Warnmeldungen und Lärm produziert, ist KI-Schrott – die leeren Kalorien der Automatisierung, kurzzeitig befriedigend, aber letztlich hohl.

 

Wo KI wirklich einen spürbaren Unterschied machen kann

In der Cybersicherheit liefert KI nur dann einen Mehrwert, wenn sie die operative Last verringert und die Behebung beschleunigt. Insbesondere agentische KI ist die neueste Speerspitze, um genau das zu erreichen. Während GenAI zusammenfassen, erklären und Inhalte erzeugen kann, ist sie nur ein Teil dieses Puzzles.

Gut konstruierte agentische KI-Systeme verfolgen höhere Ziele. Sie werden von den Absichten und Zielen ihrer Nutzer geleitet und können autonom auf Erkenntnisse reagieren – oder häufiger automatisch, sobald Sicherheitsfachleute ihre Pläne geprüft und genehmigt haben. Diese Agenten sind ideal, um die Flut an Warnmeldungen zu durchdringen, Risiken zu priorisieren und zu beheben und sogar erneutes Auftreten zu verhindern. Agentische KI handelt im Auftrag des Nutzers, um ein Ziel zu verfolgen. Sie erfasst den Kontext, lernt in Echtzeit aus Netzwerken, Risiken und Bedrohungen und passt sich kontinuierlich an, indem sie ihre Entscheidungen auf Basis vergangener Ergebnisse verbessert.

In der Praxis ist die kontextbezogene Lärmreduzierung der Bereich, in dem agentische Systeme enorme Wirkung entfalten können – insbesondere durch die Korrelation von Erkenntnissen über verschiedene Systeme und Umgebungen hinweg, um doppelte Warnmeldungen zu vermeiden. Sie kann außerdem dabei helfen zu priorisieren, worauf der Fokus liegen sollte, echte Gefährdung von rein theoretischem Risiko zu unterscheiden und zu weniger, aber hochgradig verlässlichen Tickets zu führen.

KI-Schrott kann sich in selbstbewusster, gewandter Sprache präsentieren, ist aber oft nicht verifiziert – und genau hier kann er vom Ärgernis zur Gefahr werden. Ein KI-System, das weiß, wann es sich nicht übernehmen sollte, dämmt unverifizierte Schwachstellenbehauptungen ein und reduziert unnötige Eskalationen. Es erreicht dies, indem es tatsächliche Ausnutzbarkeit, reale geschäftliche Auswirkungen, Angriffs- und Schadensradius sowie sicherheitsrelevante Aktivitäten bezüglich Bedrohungen korreliert, sodass sich Teams auf die Schwachstellen konzentrieren können, die wirklich zählen – und nicht auf die Hunderte, die möglicherweise existieren.

Sobald der Fokus klar ist, lässt sich die sichere, verifizierte Behebung angehen. Dieser Schritt geht weit über das bloße Generieren eines Behebungsskripts hinaus. Agentische KI kann dabei helfen, kontextbezogene Informationen über die betroffenen Systeme und Komponenten aufzunehmen, einen Plan zu erstellen, Nebenwirkungen und Fehler zu berücksichtigen, Behebungen in bewährte Automatisierungs-Frameworks einzubetten (was dies elegant mit den Operations- und Engineering-Teams verbindet) und schließlich die Ergebnisse auszurollen und zu verifizieren. Blindes Vertrauen in die KI ist dabei nicht nötig – sie ist mit Leitplanken und Rollback-Mechanismen ausgestattet, um Automation Drift zu vermeiden (die langsame, unbeabsichtigte Verlagerung der Entscheidungsgewalt vom Menschen zur KI).

Diese Schritte sind entscheidend und zeigen, wie sich agentische Systeme von bloßem GenAI-Schrott unterscheiden. Wer den Workflow und die Ergebnisse selbst in der Hand hat, handelt mit weitaus geringerer Wahrscheinlichkeit auf Basis unverifizierter Ausgaben, die Behebungsrisiken mit sich bringen.

 

Weniger Inhalt, mehr behobenes Risiko

Bei der Bewertung der Ausgaben von KI-Sicherheitstools gibt es verräterische Anzeichen für Schrott. Entscheidend ist, ob das Ticketvolumen tatsächlich sinkt und ob sich die Zahl der Rückfragen sowie die mittlere Behebungszeit (Mean Time to Remediation, MTTR) reduzieren. Wo viele Fehlalarme und selbstbewusste Warnmeldungen ohne jegliche Validierung auftreten, handelt es sich wahrscheinlich nur um Lärm, der die Arbeitsabläufe erheblich behindert.

Es besteht kein Zweifel, dass die Zukunft eines effektiven Schwachstellenmanagements auf KI-gestützten Lösungen aufbaut. Doch KI sollte die operative Last verringern und Sicherheitsteams nicht unzähligen neuen Problemen aussetzen. Ein konsequenter Fokus auf die Lösung minimiert den KI-Schrott – denn jede Ausgabe muss entweder durch eine verifizierte und genehmigte Aktion getrieben oder als nicht handlungsrelevant markiert werden, sodass unnützer Lärm systematisch ignoriert wird. Letztlich ist der wahrste Maßstab für den Wert von KI in der Sicherheit ein spürbar geringeres Risiko, erreicht durch Vereinfachung der Arbeit statt durch deren Vermehrung.

Von Dominik Richter, Mitgründer von Mondoo