Aktuelles, Branche - geschrieben von am Samstag, Juli 18, 2026 0:45 - noch keine Kommentare

KI-Einsatz: Blinder Fleck der Cybersicherheit liegt in den Daten

Isolierte Sicherheitsdaten führen beim KI-Einsatz schneller zu Fehlern statt zu besseren Erkenntnissen

[datensicherheit.de, 18.07.2026] KI-Modelle – zumal im „Security Operations Center“ (SOC) – können nur so gut wie ihre Datenbasis sein. Frank Lange, „Technical Director“ bei Anomali Deutschland, erörtert in seiner aktuellen Stellungnahme u.a. die Fragmentierung als ein Kernproblemisolierte Sicherheitsdaten führen demnach beim KI-Einsatz schneller zu Fehlern statt zu besseren Erkenntnissen. Zudem komme es zur Ungenauigkeit bei mangelhaftem Kontext und die Automatisierung auf Basis mangelhafter Daten beschleunige eben lediglich die Produktion von Fehlalarmen. Ferner unterstreicht Lange die Bedeutung der sogenannten Daten-Hygiene als eine Grundbedingung, d.h. „Threat Intelligence“ müsse bei der Entscheidungsfindung berücksichtigt werden. Nur so liefere Künstliche Intelligenz (KI) schließlich belastbare Ergebnisse innerhalb ständig weiter zunehmender Datenmengen.

Datenbasis für KI zentrale Frage

„Die Cybersicherheitsbranche diskutiert, wie KI-Modelle und Autonomiestufen moderne SOCs verändern werden.“ Die entscheidende Frage werde dabei aber häufig übersehen: „Auf welcher Datenbasis soll diese KI eigentlich entscheiden?“

  • Lange führt aus: „In den meisten ,Enterprise’-Sicherheitsumgebungen lautet die Antwort darauf: auf Rohdaten aus Dutzenden verschiedenen ,Tools’ mit unterschiedlichen Schemata, fehlendem Identitätskontext und vielen Duplikaten.“

Er unterstreicht: „Daten, die für den menschlichen Analysten bereits kaum zu überblicken sind, werden durch KI nicht besser – sie werden zwar schneller verarbeitet, jedoch ist das Ergebnis kein intelligenteres SOC. Es ist dasselbe überforderte SOC, nur schneller.“

Selbst gute KI-Modelle leiden hinsichtlich der Performance bei fragmentierter Datenbasis

Fragmentierte, unstrukturierte oder kontextarme Daten verstärkten Lärm, Risiko und Kosten. Dies gelte unabhängig davon, wie leistungsfähig das KI-Modell darüber ist. „Wir sehen in Praxiseinsätzen immer wieder das gleiche Muster. Das KI-Modell ist gut und tut genau, was es soll. Aber die Datenbasis, auf der entschieden wird, ist fragmentiert, nicht normalisiert und enthält keinen einheitlichen Identitätskontext.“

  • Das Ergebnis sei dann nicht schnellere Bedrohungserkennung, sondern eine schnellere Produktion von Fehlalarmen. Der einzige Unterschied sei, dass diese Fehlalarme jetzt in Sekunden statt in Stunden kämen. „Der Engpass ist nicht das Modell, es ist die Datenbasis“, betont Lange.

Das Datenproblem in modernen IT-Security-Umgebungen sei strukturell. Sicherheitsdaten aus Endgeräten, Netzwerken, „Cloud“-Diensten, Nutzerkonten und industriellen Steuerungssystemen entstünden in verschiedenen Formaten und mit unterschiedlichem Kontext. „Jedes Mal, wenn Analysten oder KI-Agenten diese Quellen zusammenführen müssen, entsteht ein Bruch im Datenformat.“ Dabei gehe Kontext verloren. KI beschleunige diesen Prozess lediglich, löse das Grundproblem jedoch nicht.

Daten-Hygiene von Anfang an ermöglicht KI-Agenten Entscheidung auf Basis eines angereicherten Kontextes

Anomali löse dieses Problem mit einem anderen Architekturansatz: „Im ,Anomali Unified Security Data Lake’ werden sämtliche Sicherheitsdaten nach dem OCSF-Standard normalisiert, dedupliziert und angereichert.“ Daten-Hygiene beginne dort nicht nachträglich, sondern direkt bei der Aufnahme:

  • „,Threat Intelligence’ aus ,ThreatStream Next-Gen’ wird bei der Datenaufnahme eingebettet. Jedes eingehende Signal wird unmittelbar mit Angreiferkontext, Kampagneninformationen, Identitätsdaten und Risikoeinschätzungen angereichert, bevor es einen Analysten oder KI-Agenten erreicht.“

KI-Agenten entschieden auf dieser Grundlage nicht allein auf Basis von Rohdaten. Lange führt abschließend aus: „Sie entscheiden auf Basis von angereichertem Kontext. In mehr als 50 Einführungsprojekten hat dieser Ansatz die Analyseprozesse um das bis zu 300-Fache beschleunigt und die für Fehlalarme aufgewendete Analysezeit um 60 bis 70 Prozent reduziert.“

Weitere Informationen zum Thema:

ANOMALI
AUTONOMOUS SOC WITH GOVERNED AI: Beyond Detecting. Decide. Act. / See everything, know what matters, and act with confidence across your enterprise. Anomali unifies telemetry, threat intelligence, and AI-powered judgment so security teams can act at machine speed.

ANOMALI
Investigate 3× Faster. Hunt Years of Data. Power Agentic Security Without Compromise. / Anomali Unified Security Data Lake: Always-hot security telemetry enriched with threat intelligence and built to drive agentic workflows across detection, investigation, and response.

heise business service
Die wachsende Rolle von KI für mehr Automatisierung und Effizienz im SOC

datensicherheit.de, 29.04.2026
Digitale Hygiene: ERGO empfiehlt Routinen zur Stärkung der Datensicherheit / Alina Gelde gibt Tipps nicht nur zum Digitalen Frühjahrsputz rund um Passwörter, Sicherungen, Datenmüll und Updates

datensicherheit.de, 27.05.2019
Cyber-Hygiene: Grundstein der IT-Security / Christoph M. Kumpa stellt Checkliste für Unternehmen vor

datensicherheit.de, 26.11.2018
Datenschutzverletzungen vermeiden: IT-Hygiene in vier Schritten / Grundlagen für IT-Sicherheit



Kommentare sind geschlossen.

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung