Agentische SOCs: Die neue KI-Cybersicherheitsmaßnahme des öffentlichen Sektors

Agentische SOCs verändern die Arbeitsweise von Security Operations und Sicherheitsanalysten. Eine Reihe von agentischen Workflows und Fähigkeiten unterstützt Analysten bei automatisierten Aktionen im Hintergrund.

Vollständige SOC-Automatisierung ist nicht das Ziel: Es geht nicht darum, den Menschen aus dem Prozess zu entfernen sondern sicherzustellen, dass sie nicht von der Geschwindigkeit der KI-generierten Angriffe überfordert werden. Die Einbindung des Menschen ist nach wie vor unerlässlich, ebenso wie Transparenz.

Elastic hat seine agentische SecOps-Plattform nach einem Ansatz entwickelt, bei dem der Mensch im Mittelpunkt steht: Autonome Agenten übernehmen den gesamten Lebenszyklus der Sicherheitsbedrohung von der Ingestion bis zur Reaktion, während Analysten für Beurteilung, Verifizierung und Genehmigung zuständig sind. Jede Entscheidung, die die KI trifft, wird sorgfältig dokumentiert, sodass menschliche Prüfer deren Richtigkeit feststellen können.

Als Nächstes wollen wir uns der Rolle zuwenden, die agentische SOCs bei der Unterstützung von Sicherheitsteams bei der Bewältigung zweier kritischer Probleme spielen: 1) Fragmentierung und 2) langsame Reaktionszeiten.

Der öffentliche Sektor ist von Natur aus dezentralisiert. Eine Vielzahl von Systemen und betrieblichen Prozessen unterstützt auftragsbezogene Anforderungen, gesetzliche Vorgaben und Klassifizierungsstufen. Viele Behörden und Abteilungen müssen hochkomplexe Betriebsabläufe in getrennten und luftdichten Netzwerken aufrechterhalten. In der Vergangenheit wurden Silostrukturen als zusätzliche Schutzebenen betrachtet. 

Diese Fragmentierung kann jedoch ein Hindernis im Umgang mit sich schnell entwickelnden, KI-gestützten Bedrohungen darstellen. Untersuchungen der Sicherheitsbranche zeigen, dass 66 % der SOCs wöchentlich einen ganzen Tag mit der manuellen Zusammenführung von Daten aus unverbundenen Tools verbringen.²

Die Fragmentierung ist nicht nur eine Herausforderung für SOCs im öffentlichen Sektor; sie betrifft die gesamte Sicherheitsbranche. Die Industrie ist auf den Verkauf von Komponenten ausgerichtet. Sie kaufen damit Fragmentierung ein. Im Gegenzug sind Sie den damit verbundenen Risiken ausgesetzt:

• Gebühren pro Gerät erzwingen Entscheidungen zur Abdeckung, die niemals eine Budgetfrage sein sollten

• Bei aktiven Vorfällen kommt es zu Ausfällen der fest integrierten Automatisierung

• Proprietäre KI verbirgt ihre Logik

Die Teams müssen erst diese verschiedenen Ebenen bewältigen, bevor sie die eigentliche Bedrohung bekämpfen können. Es ist nicht nur ineffizient, sondern auch kostspielig und eine Belastung. In der Zwischenzeit nutzen die Gegner jede Schwachstelle aus.

Elastic beseitigt Fragmentierung. Alles, was Sie zum Schutz Ihres Ökosystems benötigen, einschließlich SIEM, XDR und nativer Automatisierung, ist auf unserer agentischen SOC-Plattform vereint. Wir beseitigen die „Endpoint-Steuer“, sodass Sie Ihre Sicherheitsstrategie an Ihren Risiken und nicht an der Anzahl Ihrer Lizenzen ausrichten können. Unsere Open-Source-Plattform integriert sich nahtlos in Ihr bestehendes Ökosystem und bietet Ihnen Transparenz über alle Umgebungen hinweg, selbst bei nicht vernetzten Modellen.

Sicherheitsteams leiden unter Alarmmüdigkeit. Die aktuelle Geschwindigkeit der Angriffe macht es schwierig, Alerts schnell genug zu priorisieren und darauf zu reagieren. Die durchschnittliche Zeitspanne zwischen der ersten Kompromittierung und der lateralen Bewegung sank Anfang dieses Jahres auf 29 Minuten, und die Reaktionszeiten werden immer kürzer.³

Erschwerend kommt hinzu, dass die Kontextualisierung von Daten in fragmentierten Umgebungen einen erheblichen Aufwand erfordert. KI-Bedrohungserkennung ohne Kontext kann Teams mit Falschmeldungen überfordern. Der Druck nimmt zu, aber die Teams im öffentlichen Sektor haben nur begrenzte Ressourcen, um mehr zu tun. Burnout ist ein echtes Problem, und wenn Sicherheitsteams frustriert oder müde sind, werden die Abwehrmechanismen schwächer, wodurch die Wahrscheinlichkeit eines Sicherheitsvorfalls steigt. 

Elastic beschleunigt Untersuchungs- und Reaktionszeiten. Unsere agentische SOC-Plattform vereint Daten über Cloud-, Hybrid- und On-Prem-Umgebungen (einschließlich vollständige Air-Gapped-Enklaven) mit einer Data-Mesh-Architektur, die eine ganzheitliche Echtzeit-Transparenz bietet, ohne Daten an einen zentralen Ort zu verschieben. Jede Sicherheitswarnung enthält ein automatisiertes Narrativ, das das Verhalten von Endpoints mit Identitätsverschiebungen, Netzwerkverkehr und Cloud-Logs verknüpft. Durch die Bereitstellung von Kontext in großem Maßstab ermöglicht Elastic Teams, Entscheidungen in Echtzeit zu treffen, ohne dass dafür zusätzliche Ressourcen erforderlich sind.

Es ist offensichtlich, dass Regierungsbehörden neue Cyberbedrohungen nicht mehr mit den früheren Methoden bekämpfen können. Weltweit ergreifen Länder Maßnahmen, um ihre nationalen Framework und Richtlinien zur Cybersicherheit zu stärken und setzen dabei verstärkt auf KI-gestützte Cybersicherheit. 

In den USA beschleunigt sich diese Dynamik weiter. Eine Verfügung des Weißen Hauses vom Juni 2026 zur Förderung der künstlichen Intelligenz fordert, sowohl die KI-Innovation als auch die KI-Sicherheit zu stärken. Die Regierungen müssen ihre technologische Infrastruktur modernisieren und gleichzeitig die Risiken bewältigen, die von immer leistungsfähigeren KI-Systemen ausgehen. Organisationen des öffentlichen Sektors stehen vor der Herausforderung, KI verantwortungsvoll einzusetzen und gleichzeitig sicherzustellen, dass Sicherheit, Transparenz und operative Resilienz intakt bleiben.

Transparenz und Kontrolle stehen im Vordergrund, da Behörden beginnen, wichtige Sicherheitsentscheidungen an KI-Agenten zu delegieren. Gemeinsame Leitlinien der USA, des Vereinigten Königreichs, Kanadas, Australiens und Neuseelands zur Cybersicherheit im Bereich der agentischen KI betonen die Notwendigkeit operativer Transparenz. Menschen müssen verstehen können, was die Systeme tun, warum sie es tun und welche Absichten die Nutzer verfolgen.⁴

Gleichzeitig erkennen Unternehmen schnell den umfassenden Wert, den das agentische SOC von Elastic bietet, indem sie Elastic Security regional und programmübergreifend implementieren.  

Die Integration von Elastic in Google Distributed Cloud (GDC) für luftdichte Netzwerke ist der jüngste Meilenstein in einer Reihe von Etappen zur Sicherung hochsensibler Workloads. Mit Elastic als eingebetteter Sicherheitsebene in GDC für luftdichte Netzwerke können GDC-Kunden, die Workloads vollständig vom öffentlichen Internet getrennt betreiben, vom Schutz einer agentischen SOC-Plattform profitieren. In den USA dient Elastic als KI-gestützte Sicherheitsplattform für das SIEM-as-a-Service (SIEMaaS)-Angebot für zivile Bundesbehörden der Exekutive, das kürzlich von der Cybersecurity and Infrastructure Security Agency (CISA) der USA eingeführt wurde.

Elastic ist die agentische SecOps-Plattform, die entwickelt wurde, um zu schützen, nicht zu belasten. Sie entlastet Ihr Sicherheitsteam in Bezug auf Zeitaufwand, Budget und Arbeitsaufwand. Bedenken Sie, welche Auswirkungen Elastic auf Ihre Cybersicherheitsstrategie haben kann:

• Verbesserung der Transparenz bei gleichzeitiger Wahrung der Sicherheit: Eine offene, flexible Architektur verbindet Informationen in jeder Umgebung und ermöglicht es Ihnen, kritische Daten sofort an der Quelle zu identifizieren, an der sie entstehen. Dies unterstützt die Einhaltung strenger lokaler Datenschutzbestimmungen.

• Risiken einen Schritt voraus sein: Geben Sie Ihren Analysten die Mittel an die Hand, um Bedrohungen zu stoppen, bevor sie Ihr Unternehmen erreichen. KI-Agenten für Cybersicherheit sind in Workflows eingebettet und verkürzen die Zeit von der Erkennung bis zur Behebung auf wenige Sekunden. Teams verfügen über Echtzeit-Kontextinformationen, um Entscheidungen zu beschleunigen.

• Schaffung von Vertrauen in KI: Sorgen Sie für Transparenz bei jeder KI-Aktion, damit Analysten die Eingaben verstehen und die Logik der Ergebnisse nachvollziehen können.

• Effektiver Einsatz begrenzter Ressourcen: KI-gestützte Technologien reduzieren den Zeitaufwand, den Sicherheitsteams für die manuelle Korrelation von Sicherheitsdaten und das Durchsuchen nicht dringender Alerts aufwenden müssen, sodass mehr Zeit für die Weiterentwicklung strategischer Kompetenzen und die Feinabstimmung von KI-Maßnahmen bleibt.

• Erzielung besserer Ergebnisse: Elastic Security ist in der Lage, Cyberbedrohungen im gesamten Datenökosystem eines Unternehmens zu erkennen und zu beseitigen, was zu einer Verringerung der Sicherheitsereignisse und Vorfälle um 90 % führt. Unser auf Prävention ausgerichteter Ansatz ist nicht nur ein Lippenbekenntnis, sondern wurde von unabhängiger Seite validiert. 2025 war Elastic der einzige Anbieter, der in den Real-World- und Malware-Tests von AV-Comparatives über das gesamte Jahr hinweg eine konstante Schutzrate von 100 % erzielte.