KI-Agenten für Cybersicherheit: Hintergründe zum Vorgehen

Ontinue geht in einer aktuellen Stellungnahme auf die Besonderheiten solcher Multi-Agenten-Systeme (MAS) ein – die neueste Evolutionsstufe bei KI-Agenten

[datensicherheit.de, 26.02.2026] Immer mehr „Security Operation Centers“ (SOC) setzten im Kampf gegen Hacker und „Downtimes“ auf die Hilfe Künstlicher Intelligenz (KI) – KI-Agenten, welche wie SOC-Teams miteinander autonom kollaborierten, seien in diesem Zusammenhang die neueste Evolutionsstufe. Ontinue geht in einer aktuellen Stellungnahme auf die Besonderheiten solcher Multi-Agenten-Systeme (MAS) ein. Diese fänden vor allem im Cybersecurity-Kontext zunehmend Verbreitung.

Foto: Ontinue

Theus Hossmann: Es werden immer Fälle bleiben, bei denen menschliche Analysten unabdingbar sind!

MAS gliedern komplexe Aufgaben selbstständig in Teilprozesse

MAS, bestehend aus hochspezialisierten KI-Agenten, welche im Verbund miteinander arbeiteten, seien vor allem im Cybersecurity-Kontext auf dem Vormarsch. Als integraler Bestandteil mancher KI-basierter „SecOps“-Plattformen übernähmen sie mittlerweile eigenständig „Tier 2“- und „Tier 3“-Incident-Untersuchungen, erstellten detaillierte Analyseberichte und formulierten Handlungsempfehlungen, welche dann menschliche Security-Analysten validierten.

• Dafür zerlegten MAS komplexe Aufgaben selbstständig in Teilprozesse und replizierten damit die Arbeitsweise eines gesamten SOC-Teams.

Der Unterschied sei folgender: Sie lieferten Ergebnisse innerhalb weniger Minuten, wofür menschliche Analysten 30 Minuten bis zu mehrere Stunden benötigten.

Ontinue erläutert Schritt für Schritt, wie genau MAS vorgehen:

• Schritt 1: Erstellung einer ersten Hypothese
  Ähnlich wie ein menschlicher Analyst werte ein KI-Agent die initial verfügbaren Informationen aus. Dazu gehörten beispielsweise ausgelöste Alarme und Meldungen über beteiligte Entitäten, welche IT-Umgebungen betroffen sind sowie aktuell offene oder abgeschlossene Incidents. Auf dieser Basis stelle der Agent eine erste Hypothese auf, was passiert sein könnte.
• Schritt 2: Beginn der Untersuchung
  Auf Grundlage der ersten Hypothese entwickele der KI-Agent einen strukturierten Untersuchungsplan, um den tatsächlichen Vorfall zu rekonstruieren. Im Zuge dessen validiere oder verwerfe das MAS die ursprüngliche Annahme und ergänze sie bei Bedarf durch neue Hypothesen.
• Schritt 3: Aktivierung des Gedächtnises
  Zur Erstellung eines effektiven Untersuchungsplans greife das MAS auf frühere Erfahrungen zurück und analysiere proaktiv, wie menschliche Analysten vergleichbare Szenarien bearbeitet haben. Dazu zählten typische Prüfschritte, die Interpretation der damaligen Ergebnisse sowie die Anpassung der Vorgehensweise auf Basis von Zwischenerkenntnissen.
• Schritt 4: Durchführung einer gezielten Investigation
  Zur Umsetzung des Untersuchungsplans setze der KI-Agent Abfragen, API-Aufrufe und weitere Werkzeuge ein, um belastbare Beweise zu sammeln, welche die Hypothese stützen und zur Aufklärung des Sachverhalts beitragen könnten.
• Schritt 5: Kontinuierliche Reflexion
  Während der Untersuchung reflektiere das MAS kontinuierlich die gewonnenen Erkenntnisse und verfeinere den Untersuchungsplan bei Bedarf auf Basis neuer Beweise und fortlaufend erlernter Informationen.
• Schritt 6: Lieferung vorläufiger Ergebnisse
  Sobald ausreichend Evidenz zur Untermauerung eines Szenarios und einer konkreten Hypothese vorliegt, beende das MAS die Untersuchung. Anschließend erstelle der entsprechende KI-Agent einen detaillierten Bericht mit nachvollziehbaren, reproduzierbaren Ergebnissen sowie einer transparenten Darstellung des Analyseprozesses.
• Schritt 7: Anpassung der Logik in Echtzeit
  Fortschrittliche Systeme wie z.B. der „Autonomous Investigator“ von Ontinue erfassten sowohl explizite Signale (wie das Feedback von Analysten) als auch implizite Signale (wie das Nutzerverhalten), um die zugrunde liegende Logik gezielt an die individuellen und differenzierten Anforderungen unterschiedlicher IT-Umgebungen anzupassen.

KI als Erfolgsbasis für Cybersecurity-Teams

„Ohne den Einsatz von KI wären Cybersecurity-Teams heute konstant überlastet“, betont Theus Hossmann, „Chief Technology Officer“ bei Ontinue.

• Zu viele Sicherheitsvorfälle, zu viele Informationsquellen und zu viel zu beachtender Kontext lähmten Verteidigungsmaßnahmen. KI-Agenten und MAS schafften hierzu massiv Abhilfe, indem sie viele Aufgaben automatisiert übernähmen.

„Doch auch wenn bis zu 97 Prozent aller Incidents im vergangenen Jahr bei uns bereits ohne menschliches Zutun gelöst werden konnten, werden immer Fälle bleiben, bei denen menschliche Analysten unabdingbar sind“, so Hossmann abschließend.

Weitere Informationen zum Thema:

Ontinue
Our Story of Nonstop Security / Born in the cloud, built to be the best, engineered to deliver, and backed by the newest technology and the sharpest minds. Ontinue is all of this … and so much more.

Ontinue
Leading the Way to Security Success: A team is only as good as its leadership. And we’ve got some of the best in the industry. / Leadership

WIKIPEDIA
Multiagentensystem