Warum KI die Cybersicherheit neu definiert

Die Grundlage dieses Wandels sind aus Schneiders Sicht nicht allein leistungsfähige KI-Modelle. Entscheidend seien vielmehr jahrzehntelange operative Erfahrung aus dem Security Operations Center, enorme Datenmengen aus realen Kundenumgebungen und eine große Vielfalt tatsächlicher Angriffsszenarien. Erst diese Kombination ermögliche es, Bedrohungen präzise zu erkennen, richtig zu priorisieren und schneller darauf zu reagieren.

Im Interview erläutert Schneider, wie Arctic Wolf dieses Wissen in sein KI-System „Alpha AI“ überführt, welche Rolle menschliche Analysten weiterhin spielen – und warum autonome Security Operations in den kommenden Jahren zum neuen Standard werden könnten.

connect professional: Der Markt spricht viel über KI in der Cybersicherheit – meist aber im Kontext einzelner Tools. Sie betonen hingegen, dass KI den Fokus der Branche grundlegend verschiebt: weg von Technologien, hin zu intelligenten Security Operations. Können Sie erklären, was Sie mit diesem Paradigmenwechsel meinen?

Nick Schneider: KI verändert die Cybersicherheit tiefgreifend. Früher standen einzelne Tools im Mittelpunkt, die man einzeln bedienen und miteinander orchestrieren musste. Heute nutzen wir KI, um Daten in einem viel größeren Zusammenhang zu verstehen und daraus unmittelbar handlungsrelevante Entscheidungen abzuleiten. Dadurch rückt das Ergebnis in den Vordergrund: Ein SOC, das schneller reagiert, Bedrohungen präziser erkennt und Teams spürbar entlastet. KI ist damit kein weiteres Werkzeug, sondern der Kern moderner Security Operations.

connect professional: Sie argumentieren, dass KI nur dann wirksam ist, wenn sie auf großer operativer Erfahrung, enormen Datenmengen und einer Vielfalt realer Kundenumgebungen basiert. Warum sind diese Faktoren für den Erfolg von KI in der Security so entscheidend?

Schneider: Cybersecurity muss heute inhärenter Teil jeglicher SaaS-Leistung sein. Das Spektrum von Cybersicherheitsmaßnahmen ist dabei äußerst umfangreich: Endpoint Security, Firewalls, VPNs, Detection-und-Response-Maßnahmen, Security-Awareness-Trainings und Incident-Response-Pläne, um nur einige zu nennen. Zudem gibt es unzählige weitere Aspekte wie stark variierende Kundensituationen, Branchen, Technologien, Angriffsvektoren und Verhaltensmuster. Ein Sammelsurium des Sicherheitsfacettenreichtums also. KI-Technologie kommt bei der Bewältigung dieser unterschiedlichen Situationen unterstützend zum Einsatz, ist aber nur dann wirklich wirksam, wenn sie Zugang zu den wichtigen sicherheitsrelevanten Daten erhält und diese auswerten kann.

Damit KI in der Security wirklich verlässlich arbeitet, braucht sie drei Dinge:

1. enorme Datenmengen,
2. eine Vielfalt realer Kundenumgebungen
3. und tiefes operatives Know-how.

Erst die Kombination erlaubt es, Muster eindeutig zu erkennen und Anomalien richtig einzuordnen. Ohne diese Breite bleibt KI theoretisch, doch mit ihr wird sie zu einem Werkzeug, das Entscheidungen fundiert unterstützt und Risiken besser bewertet.

connect professional: Arctic Wolf betreibt seit über zehn Jahren Security Operations und sammelt dabei Daten aus tausenden Kundenumgebungen. Wie verwandelt man dieses praktische Erfahrungswissen in KI-Modelle, die tatsächlich besser schützen als generische Ansätze?

Schneider: Durch mehr als 10.000 Kunden-Onboardings, Millionen täglicher Interaktionen und eine enorme Anzahl an Workflows sowie mehr als acht Billionen erfasster und analysierter Security Events pro Woche haben wir ein sehr präzises Verständnis davon, wie Bedrohungen aussehen, wie Analysten reagieren und wie man Sicherheitslagen entspannt und stabilisiert.

Dieses Know-how bildet das Trainingsfundament unserer Modelle. Wir nutzen reale Abläufe und Analystenentscheidungen, um Modelle zu entwerfen, die nicht nur theoretisch funktionieren, sondern auch im Praxiseinsatz bestehen. Die KI lernt nicht von synthetischen Daten oder „Laborfällen“, sondern von realen Ereignissen: Wie erkannt man einen Vorfall? Wie priorisiert man richtig? Welche Schritte stabilisieren die Sicherheitslage nachhaltig?

Das Ergebnis sind Modelle, die genauer, schneller und zuverlässiger sind als generische KI-Modelle ohne operativen Kontext und in Zusammenarbeit mit den menschlichen Expertinnen und Experten die bestmögliche Cyberabwehr sicherstellen.

connect professional: Viele Unternehmen sind derzeit skeptisch, sicherheitskritische Entscheidungen einer KI zu überlassen. Wie stellen Sie sicher, dass Ihre Modelle nachvollziehbar, überprüfbar und vertrauenswürdig sind, bevor Kunden ihnen Verantwortung übertragen?

Schneider: Unternehmen betrachten KI nicht mehr nur als Werkzeug, sondern als Partner in Security Operations. Dennoch bleibt eine gewisse Skepsis bestehen. Derlei Bedenken sind auch nicht komplett aus der Luft gegriffen. Denn KI ist nur dann wirksam, wenn vor der Implementierung bestimmt wird, wo sich KI sinnvoll einsetzen lässt und sie mit einem umfangreichen Datensatz an realen Informationen trainiert wurde. Sonst kann es schnell zum „Shiny Object Syndrom“ kommen.

Unternehmen akzeptieren KI nur, wenn sie ihre Entscheidungen nachvollziehen können. Deshalb trainieren und testen wir unsere Modelle ausschließlich in realen, aber kontrollierten SOC-Abläufen. Jeder Schritt ist belegbar und wird zusätzlich durch unseren AI Judge überprüft. Erst wenn unsere Analysten überzeugt sind, geben wir die Modelle frei.

connect professional: Mit Ihrem „AI Judge“ führen Sie eine Art Qualitätssicherung ein, die Entscheidungen von Menschen und KI in Echtzeit bewertet. Welche Rolle spielt dieses System bei der Vertrauensbildung und beim Erreichen höherer Automatisierungsgrade?

Schneider: Der AI Judge ist unsere zentrale Kontrollinstanz. Er bewertet jede Entscheidung – unabhängig davon, ob sie vom Menschen oder der KI stammt – und schafft so ein kontinuierliches Feedback-System, indem er die Qualität und Konsistenz aller Entscheidungen misst, Fehlerquellen identifiziert und die Leistung der KI-Agenten überwacht. Der AI Judge ist die Brücke zwischen menschlicher Expertise und maschineller Autonomie.