Laut IBMs „Cost of a Data Breach Report“ sanken die weltweiten durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2025 auf 4,44 Millionen US-Dollar, ein Rückgang um 9 Prozent und der erste Rückgang seit fünf Jahren. Oberflächlich betrachtet sieht das nach einem Fortschritt aus. Sicherheits-KI und Automatisierung zahlen sich endlich aus, indem sie die Erkennungszeiten verkürzen und den Ermittlungsaufwand verringern.
Aber die Schlagzeilenzahl verschleiert eine unbequemere Realität. Für Unternehmen mit umfassender Automatisierung sind die Kosten für gemeldete Sicherheitsverletzungen um fast 1,9 Millionen US-Dollar niedriger als für Unternehmen, die auf manuelle Prozesse angewiesen sind. Die Kluft zwischen Spitzenreitern und Nachzüglern schließt sich nicht – sie vergrößert sich. Und genau die KI-Tools, die diese Einsparungen vorantreiben, führen zu einer neuen Risikokategorie, die Aufsichtsbehörden, Versicherer und Vorstände nicht länger ignorieren können.
Das Automatisierungsparadoxon
Sicherheitszentralen haben die KI mit der Dringlichkeit angenommen, mit der eine Branche keine Analysten mehr hat. Die Burnout-bedingten Abwanderungsraten liegen in vielen SOC-Teams bei über 25 Prozent pro Jahr und gehören zu den höchsten in der IT. Der Austausch eines ausgebildeten Analysten dauert in der Regel sechs bis zwölf Monate. Die Rechnung ist brutal: Unternehmen können ihre Resilienz nicht durch Personalbeschaffung erreichen.
Die Automatisierung sollte dieses Problem lösen. Und in engen, klar definierten Arbeitsabläufen, Alarmtriage, Protokollkorrelation und sich wiederholenden Anreicherungsaufgaben – das ist der Fall. Der Nextgen 2025/2026 Cybersecurity Trends Report schätzt, dass die Branchentelemetrie im Jahr 2025 308 Petabyte über mehr als vier Millionen Identitäten, Endpunkte und Cloud-Assets erreichte und fast 30 Millionen Ermittlungshinweise lieferte. Analysten bestätigten nur rund 93.000 echte Bedrohungen von diesem Berg, was einer Trefferquote von lediglich 0,3 Prozent entspricht. Ohne Automatisierung wäre allein das Volumen nicht zu bewältigen.
Das 💜 der EU-Technologie
Die neuesten Gerüchte aus der EU-Tech-Szene, eine Geschichte unseres weisen Gründers Boris und fragwürdige KI-Kunst. Es liegt jede Woche kostenlos in Ihrem Posteingang. Jetzt anmelden!
Doch Gartners Hype-Zyklus 2025 für Sicherheitsoperationen stellt KI-SOC-Agenten auf den Höhepunkt überhöhter Erwartungen und warnt davor, dass die Behauptungen immer noch die nachhaltige, messbare Verbesserung übertreffen. Die anfängliche Einführung führt häufig zu zusätzlichem Aufwand, bevor er ihn verringert. Fehlalarme und Halluzinationen bleiben echte Betriebsrisiken. Und Kostenmodelle schränken häufig den breiten Einsatz über alle SOC-Rollen hinweg ein.
Das Paradox liegt auf der Hand: Unternehmen brauchen KI, um mit der Datenflut fertig zu werden, aber unkontrollierte KI bringt genau die blinden Flecken mit sich, die sie eigentlich beseitigen sollte. Der Bericht von IBM aus dem Jahr 2025 ergab, dass Schatten-KI, bei der Mitarbeiter nicht genehmigte generative KI-Tools zur Verarbeitung sensibler Daten nutzen, durchschnittlich 670.000 US-Dollar an den Kosten für Sicherheitsverletzungen verursachte, sofern vorhanden. Erstaunliche 97 Prozent der angegriffenen Organisationen, bei denen es zu einem KI-bezogenen Sicherheitsvorfall kam, verfügten nicht über angemessene KI-Zugriffskontrollen. Unterdessen gaben 63 Prozent der befragten Organisationen zu, dass sie überhaupt keine KI-Governance-Richtlinien haben.
Die Implikation ist stark. Automatisierung ohne Governance verringert das Risiko nicht, sondern verteilt es neu. Und in einem regulatorischen Umfeld, das zunehmend Transparenz erfordert, ist unkontrollierte KI im SOC nicht nur eine technische Belastung. Es handelt sich um eine Compliance-Belastung.
Wenn Alarmmüdigkeit zum Angriffsvektor wird
Die menschlichen Kosten sind messbar und gehen weit über die Budgetgrenzen hinaus. Im Nextgen-Bericht zitierte Studien zeigen, dass SOC-Teams routinemäßig bis zu 30 Prozent der eingehenden Warnungen ignorieren oder ablehnen – nicht aus Fahrlässigkeit, sondern aus Notwendigkeit. Wenn jede Warnung gleich aussieht und der Kontext fragmentiert über nicht verbundene Konsolen eintrifft, sind erfahrene Analysten gezwungen, ihre Sichtung eher auf ihr Instinkt als auf Beweise zu stützen.
Die Folgen variieren je nach Sektor, aber das Muster wiederholt sich. Im Gesundheitswesen, das mit 7,42 Millionen US-Dollar pro Vorfall und 279 Tagen für die Eindämmung immer noch die kostspieligste Branche für Verstöße ist, ist Alarmmüdigkeit nicht nur ein IT-Problem. Der ENISA-Datensatz zu 215 Vorfällen im Gesundheitswesen zwischen 2021 und 2023 ergab, dass es sich bei 54 Prozent um Ransomware handelte, wobei Patientendaten in 30 Prozent der Fälle das Hauptziel waren. Krankenhäuser haben über umgeleitete Krankenwagen und verzögerte Operationen berichtet, die direkt auf überlastetes Personal und verstopfte Erkennungsleitungen zurückzuführen sind.
Im verarbeitenden Gewerbe und im Energiesektor, wo die Durchsetzung von NIS2 im Jahr 2025 begann, kann ein einziger Ausfalltag in einer Hochdurchsatzanlage Millionen von Euro kosten. Angreifer nehmen zunehmend industrielle Steuerungssysteme ins Visier, indem sie sich durch schlecht segmentierte IT-Netzwerke bewegen und genau die Art mehrdeutiger, kontextabhängiger Warnungen ausnutzen, die überforderte Analysten gerne abtun.
Die Finanzdaten untermauern diesen Punkt. Im Jahr 2025 beliefen sich die Verstöße, die in weniger als 200 Tagen auftraten, auf durchschnittlich 3,87 Millionen US-Dollar, während sich die Verstöße über diesen Schwellenwert hinaus auf durchschnittlich 5,01 Millionen US-Dollar beliefen. Vorfälle in mehreren Umgebungen, die sich gleichzeitig über Cloud-, SaaS- und lokale Infrastrukturen erstreckten, waren mit durchschnittlich 5,05 Millionen US-Dollar und Lebenszyklen von nahezu 276 Tagen sogar noch kostspieliger. Die Betriebsumgebung bestimmt die Komplexität und Komplexität bestimmt die Kosten.
Die Lehre aus dem Jahr 2025 ist, dass das reine Datenvolumen nur zunehmen wird, aber die Teams, die Erfolg haben, sind diejenigen, die Korrelation und Anreicherung als architektonische Notwendigkeiten und nicht als optionale Add-ons betrachten.
Europas regulatorische Konvergenz
Drei Regulierungsrahmen vereinen sich nun auf eine einzige Forderung: Belastbarkeit kontinuierlich nachweisen und nicht erst im Nachhinein melden.
Der Digital Operational Resilience Act (DORA), der im Januar 2025 in der gesamten EU in Kraft trat, definiert die Cybersicherheit für Finanzdienstleistungen neu und richtet sich dabei auf die betriebliche Belastbarkeit bei schwerwiegenden IT-Störungen. Die Berichtspflicht ist das störendste Element – Institutionen müssen innerhalb von Stunden Vorfallberichte einreichen, die durch forensische, prüfungstaugliche Beweise untermauert sind. Protokolle müssen digital signiert und mit einem Zeitstempel versehen sein, um die Prüfung durch die Aufsichtsbehörden Monate später zu überstehen.
Die NIS2-Richtlinie, die 2024–2025 europaweit in nationales Recht umgesetzt wurde, erweiterte den Regulierungsrahmen von sieben Sektoren auf achtzehn wesentliche und wichtige Sektoren. In Rumänien wurde es als Gesetz 124/2025 umgesetzt, das die Fertigung erstmals ausdrücklich als regulierten Sektor benennt und Produktionsstätten dazu zwingt, Compliance-Rahmenwerke einzuführen, die denen von Krankenhäusern und Banken ebenbürtig sind. Gemäß NIS2 sind Vorstände direkt rechenschaftspflichtig, wobei die Strafen unter anderem Geldstrafen und den Ausschluss von der Übernahme von Vorstandsposten in der EU umfassen.
Und dann ist da noch das EU-KI-Gesetz, dessen wesentlichste Verpflichtungen am 2. August 2026 in Kraft treten. Hochriskante KI-Systeme, eine Kategorie, die viele Sicherheitsautomatisierungstools umfasst, müssen die Einhaltung von Anforderungen in Bezug auf Risikomanagement, Datenverwaltung, technische Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit nachweisen. Anbieter müssen technische Maßnahmen gegen Datenvergiftung, Modellumgehung und gegnerische Angriffe implementieren.
Für globale Finanzkonzerne vervielfacht sich die Komplexität. Ein einzelner Verstoß kann eine gleichzeitige Meldung gemäß DORA, DSGVO und nationalen Rahmenwerken erfordern, jeweils mit unterschiedlichen Formaten und Fristen. Für Hersteller, die neu in den Geltungsbereich von NIS2 fallen, ist die Herausforderung sogar noch grundlegender: Vielen fehlt die Werkzeuginfrastruktur, um überhaupt Nachweise auf Compliance-Niveau zu erstellen, geschweige denn unter Zeitdruck.
Zusammen schaffen diese drei Frameworks ein regulatorisches Umfeld, in dem Cybersicherheits-KI nicht einfach nur effektiv sein kann – sie muss überprüfbar, erklärbar und kontrollierbar sein. Die Frage, vor der Unternehmen stehen, lautet nicht mehr: „Wie sicher sind wir?“ aber „können wir es den Aufsichtsbehörden innerhalb weniger Stunden nachweisen?“. Für Organisationen, die Plattformen evaluieren, die für dieses regulatorische Umfeld entwickelt wurden, bietet ein aktueller Vergleich europäischer SIEM-Anbieter zusätzlichen Kontext.
Das Argument für kontrollierte Autonomie
Diese regulatorische Konvergenz verändert das Aussehen einer guten Sicherheitsarchitektur. Die Branche verlagert sich von der regelbasierten Automatisierung – bei der Playbooks vorgegebene Schritte ausführen – hin zu etwas, das man kontrollierte Autonomie nennen könnte: halbautonome SOC-Operationen mit integrierten Compliance-Schutzmaßnahmen.
In einem Modell der kontrollierten Autonomie ersetzt KI nicht das menschliche Urteilsvermögen. Es engt den Entscheidungsspielraum ein. Die Korrelation erfolgt bei der Aufnahme, wodurch Dutzende fragmentierter Warnungen in einem einzigen angereicherten Fall mit vollständigen Prüfnachweisen zusammengefasst werden.
Das UEBA-Scoring ordnet anomale Identitäten und Vermögenswerte nach Risiko, sodass sich Analysten auf das Wesentliche konzentrieren können, anstatt sich durch das Chaos zu kämpfen. Und jeder Untersuchungszeitplan dient gleichzeitig als Compliance-Artefakt, digital signiert, im Rahmen abgebildet und bereit für den Export durch die Regulierungsbehörden.
Das Architekturprinzip ist schlank: Jeder Sicherheitsfall ist gleichzeitig ein Compliance-Fall. Analysten führen einmal eine Untersuchung durch, und das System erstellt sowohl operative Ergebnisse als auch für die Regulierungsbehörde bereitstehende Berichte. Dadurch wird die Duplizierung vermieden, die Unternehmen mit separaten SIEM-, SOAR- und Compliance-Tools belastet, die jeweils Kosten, Latenz und Integrationsaufwand verursachen.
Europäische Plattformen basieren zunehmend auf dieser Philosophie. Das in Rumänien ansässige Unternehmen Nextgen Software hat beispielsweise seine CYBERQUEST-Plattform entwickelt, um Erkennung, Untersuchung und Compliance-Berichte in einem einzigen Workflow zu vereinen, sodass jeder angereicherte Fall automatisch den Prüfpfad DORA und NIS2-Anforderung generiert. Sein agentenloses OT-Überwachungsmodul schließt eine Lücke, die für Hersteller und Versorgungsunternehmen von Bedeutung ist: Einblick in industrielle Steuerungssysteme ohne den Einsatz aufdringlicher Endpunktagenten. Ähnliche Konvergenzbemühungen sind in der gesamten europäischen Anbieterlandschaft sichtbar, von nordischen SIEM-Anbietern, die Compliance-fähige Exporte erstellen, bis hin zu von Deutschland geführten Initiativen, die ISO 27001- und NIS2-Zuordnungen direkt in die Erkennungslogik einbetten.
Vom Assistenten zum Agenten – sorgfältig
Die nächste Grenze ist der Übergang von KI-Assistenten zu KI-Agentensystemen, die nicht nur die nächsten Schritte vorschlagen, sondern aktiv Erkennungs-, Untersuchungs- und Reaktionsabläufe ausführen. Es ist ein Übergang, dem die Branche mit einer Mischung aus Ehrgeiz und Vorsicht entgegengeht.
Vlad Gladin, CTO von Nextgen Software, beschreibt diese Entwicklung in praktischen Worten: „Unsere Cyber Minds AI Personas entwickeln sich von beratenden Assistenten zu kontextbewussten Ermittlungsagenten. Anstatt nur eine Antwort zu empfehlen, können diese Agenten Telemetriedaten über Identitäts-, Netzwerk- und Endpunktdaten in Echtzeit korrelieren, vorläufige forensische Analysen durchführen und Analysten eine erweiterte Untersuchungserzählung präsentieren, nicht eine Warteschlange getrennter Warnungen. Das Ziel besteht nicht darin, den Analysten aus der Situation zu entfernen.“ Schleife, aber um sicherzustellen, dass der Kontext bereits zusammengesetzt ist, wenn sie eingreifen.“
Dies spiegelt die allgemeine Entwicklung der Branche wider. Gartner empfiehlt, KI-SOC-Agenten als Tools zur Workflow-Erweiterung und nicht als autonomen Ersatz zu behandeln, wobei der Schwerpunkt auf der Aufrechterhaltung der menschlichen Aufsicht liegen sollte. Die Sorge ist berechtigt: Überautomatisierung birgt Risiken, wenn Agenten auf der Grundlage fehlerhafter Annahmen handeln, und die meisten aktuellen Anwendungsfälle bleiben eng und aufgabenspezifisch und nicht durchgängig.
Der kontrollierte Ansatz bedeutet, schrittweise Vertrauen aufzubauen. Beginnen Sie mit der automatisierten Anreicherung und Gehäusemontage. Ebene der UEBA-gesteuerten Priorisierung. Erst dann auf halbautonome Reaktionsmaßnahmen ausweiten – und immer mit Prüfprotokollen, die eine Aufsichtsbehörde oder ein Versicherer im Nachhinein überprüfen kann.
Es gibt einen Grund, warum dieses inkrementelle Modell in Europa besonders großen Anklang findet. Die Regulierungslandschaft des Kontinents belohnt die nachweisbare Kontrolle über die Rohkapazitäten. Ein KI-Agent, der tausend Warnungen pro Stunde selektieren kann, ist beeindruckend; Ein KI-Agent, der tausend Alarme pro Stunde selektieren und für jeden einen DORA-konformen Vorfallzeitplan erstellen kann, ist bankfähig. Die kommerzielle Logik und die Regulierungslogik konvergieren bei denselben architektonischen Anforderungen.
Was 2026 verlangt
Die Organisationen, die für 2026 am besten aufgestellt sind, sind nicht unbedingt diejenigen mit der fortschrittlichsten KI, aber diejenigen, die nachweisen können, dass ihre KI vertrauenswürdig ist. In einem Umfeld, in dem DORA forensische Beweise innerhalb weniger Stunden verlangt, NIS2 Vorstände persönlich haftbar macht und das EU-KI-Gesetz eine nachweisbare Steuerung von Hochrisikosystemen erfordert, ist das eigentliche Unterscheidungsmerkmal nicht die Geschwindigkeit der Erkennung, sondern die Geschwindigkeit des nachweisbaren Vertrauens.
Dies bedeutet, dass Compliance keine ergänzende Aufgabe bleiben darf, die vierteljährlich von einem separaten Team durchgeführt wird. Es muss in den Arbeitsablauf von der Erkennung bis zur Lösung eingebettet sein und automatisch als Nebenprodukt der Vorfallbearbeitung generiert werden. Plattformen, die revisionssichere Beweise als natürliches Betriebsergebnis liefern, anstatt von Analysten eine nachträgliche Rekonstruktion zu verlangen, werden den neuen Standard setzen.
Die Cybersicherheitsbranche hat im letzten Jahrzehnt einen Wettlauf um die Automatisierung verbracht. Im Jahr 2026 verlagert sich das Rennen auf die Steuerung dieser Automatisierung und beweist gegenüber Regulierungsbehörden, Versicherern und Vorständen, dass die Maschinen, die das Netzwerk verteidigen, selbst verantwortlich sind. Die Gewinner werden nicht die Organisationen mit der meisten KI sein. Sie werden diejenigen sein, deren KI zeigen kann, dass sie funktioniert.
