Wenn die Productivity-Wirkung der Augmentation real ist (Teil 1) und die strukturellen Grenzen dagegen ehrlich anerkannt werden (Teil 2), ändert sich konkret etwas an der Art, wie SOC-Teams gebaut werden. Die Verschiebungen, die ich in Engagements regelmässig sehe, betreffen Hiring-Profile, Training-Curricula und Architektur-Entscheidungen. Keine davon ist „weniger Personal", auch wenn Sales-Folien das so framen.
TL;DR: Wer KI-Augmentation ernst nimmt, verändert SOC-Teams in drei Richtungen, ohne Headcount zu reduzieren. Senior-Profile werden aufgewertet (Detection-Engineering ist Cross-funktional, nicht Tier-1-Silo). Training-Budget gehört von Tool-Bedienung zu Adversarial-Awareness umgeschichtet. Architektur bleibt bei Co-Pilot mit Human-in-the-Loop-Gates für jede destruktive Aktion. Klarna 2024 zu 2025 ist die Cross-Industry-Lehre dazu.
Hiring: Senior-Aufwertung statt Tier-1-Reduktion
Die SANS-2024-SOC-Survey zeigt einen Trend, der den meisten Marketing-Pitches widerspricht. SOC-Analyst-Tenure ist auf drei bis fünf Jahre gestiegen, von vorher ein bis drei. 46 Prozent der befragten Teams nutzen Hyperautomation für Threat-Hunting. Die Survey ist Torq-gesponsert und damit nicht ohne Bias zu lesen. Aber die Tenure-Bewegung deckt sich mit dem, was ich in Engagements sehe.
Der zweite Datenpunkt steht im IBM Cost-of-a-Data-Breach-Report 2024. 53 Prozent der Organisationen mit Breach hatten „severe staffing shortages", ein Plus von 26 Prozent gegenüber dem Vorjahr (IBM 2024). Der ökonomische Druck Richtung Augmentation kommt nicht aus dem KI-Pitch. Er kommt aus dem ISC2-Workforce-Gap von 4,8 Millionen offenen Stellen. Augmentation bedeutet hier: bestehende Senior-Profile produktiver machen, weil Tier-1-Personal nicht skalierbar nachzubekommen ist.
Was sich entsprechend ändert, ist das Skill-Profil. Detection-Engineering wird Senior-Disziplin, weil es Cross-functional ist und kein Tier-1-Silo, das sich wegautomatisieren liesse. Wer Detection-Regeln schreibt, betreibt Detection-Engineering. Egal ob er den Titel „Threat-Intel-Analyst", „Malware-Analyst" oder „Incident-Responder" trägt. AI-Output-Validation wird zur Pflicht-Skill für jede Senior-Rolle, die mit Co-Pilot-Tooling arbeitet. Risk-Translation für Leadership wird wichtiger, also die Fähigkeit, einer Geschäftsleitung methodisch zu erklären, warum „KI ersetzt Analysten" eine Marketing-Behauptung ist, nicht ein Datenpunkt.
Was ich in Engagements explizit nicht sehe: SOC-Headcount-Reduktion als Folge von KI-Einführung. Was ich sehe: Tenure steigt, Skill-Profile verschieben sich nach oben, der Workforce-Gap ist die strukturelle Begründung. Nicht der KI-Hype. Wer’s anders sieht, soll mir die Headcount-Tabelle vor und nach KI-Einführung zeigen. Ich habe sie in keiner Engagement-Diskussion jemals zu sehen bekommen.
Training: Adversarial-Awareness statt KI-Marketing-Schulung
In fast jeder Curricula-Diskussion mit Kunden sehe ich das gleiche Verhältnis: rund 80 Prozent Tool-Bedienungs-Schulung, rund 20 Prozent Adversarial-Awareness. Das umgekehrte Verhältnis wäre das Mindest-Notwendige. Mich ärgert das jedes Mal aufs Neue, weil das Training-Budget eine Investition ist, deren Halbwertszeit normalerweise nicht reflektiert wird. Tool-Bedienung wird mit jedem UI-Update obsolet. Adversarial-Awareness ist die Skill, die ein Team über das nächste Modell-Release hinaus tragfähig macht.
Empirisch begründbare Bausteine kommen aus der Forschung. Prompt-Injection-Erkennung in IOC-Feeds, Log-Files und Mail-Bodies, also den direkten Angriffs-Vektoren für jeden LLM-basierten Triage-Agent, orientiert sich an Greshake et al. und Liu et al. (siehe Teil 2). Output-Validation als Pflicht-Pass vor Production: jeder LLM-Output, der in eine Detection-Pipeline oder einen Customer-Report fliesst, durchläuft eine menschliche oder regelbasierte Validation. NIST AI 100-2 als Adversarial-ML-Referenz-Taxonomie. Die Klassifikation der Angriffe (Evasion, Poisoning, Privacy) liefert die Sprache, in der ein Team die eigenen Risiken benennt (NIST 2023/2025).
Was ich in der Praxis nicht empfehle: Schulungen, die das Tool als Black-Box behandeln. Wenn ein Detection-Engineer einen LLM-Output in eine Sigma-Regel kompiliert, ohne die Trainings-Daten-Limits zu kennen, baut er strukturelle Schwächen in die Detection-Pipeline ein, ohne sie als solche zu erkennen.
Architektur: Co-Pilot mit Human-in-the-Loop-Gates
Die empirisch belegteste Architektur ist nicht die spektakulärste. Co-Pilot-in-Console (Microsoft Security Copilot, Google Sec Gemini, ähnliche Patterns) liefert das, was die Microsoft-RCTs in Teil 1 gezeigt haben: Mikrotask-Beschleunigung. Der Analyst behält die Hand auf dem Steuer, der Co-Pilot beschleunigt definierte Aufgaben.
Die zweite Architektur, die in der Forschung dokumentiert ist, ist Agent-mit-Tool-Use plus Human-in-the-Loop-Gate. Der Phishing-Triage-Agent in Microsoft Defender ist das Beispiel. Ein Agent klassifiziert, eskaliert und reichert an, aber jede destruktive Aktion (Account-Suspension, Endpoint-Isolation, Quarantäne) bleibt menschlich gegated. Das ist die Variante, die ich in Engagements als arbeitsfähig empfehle.
Was ich nicht empfehle, sind Mesh-Agent-Architekturen, in denen mehrere Agenten autonom kommunizieren und produktive Entscheidungen treffen. Aktuell überwiegend Marketing-Kategorie. Peer-reviewte Belege sind dünn. Wer das in eine produktive SOC-Umgebung baut, kauft sich Adversarial-Risiken (Prompt-Injection zwischen Agenten), Halluzinations-Kaskaden (ein Agent glaubt einem anderen) und einen Audit-Albtraum, der spätestens beim ersten NIS2- oder DORA-Review auf den Tisch kommt. Mir kann jemand zeigen, wo das geprüft funktioniert. Ich kenne den Beleg nicht.
Detection-Engineering-Pipelines mit Sigma als Output-Standard bleiben meine primäre Empfehlung. Open-Source, hersteller-unabhängig, mit dokumentierter Coverage (SigmaHQ). KI-Augmentation kann hier als Refinement-Schicht eingebaut werden, ohne dass die Detection-Logik in einer kommerziellen Black-Box landet. Nicht spektakulär, aber es altert besser. Und es passt zu jeder regulatorischen Frage, die in den nächsten 24 Monaten auf DACH-Unternehmen zurollt.
Cross-Industry: Was Klarna 2024 zu 2025 zeigt
Im Februar 2024 verkündete Klarna eine 700-Agent-AI-Replacement-Story als Erfolgsmodell. Im Mai 2025 ruderte CEO Siemiatkowski öffentlich zurück: „lower quality", „investing in the quality of human support is the way of the future" (Fortune 09.05.2025). Customer-Service ist nicht SOC, und die direkte Übertragung wäre methodisch unsauber. Was übertragbar ist, ist das Pattern. Headcount-Reduktion auf KI-Versprechen, gefolgt von einer Qualitäts-Korrektur.
Die IBM-Global-CEO-Survey 2025 liefert die Zahl daneben. Nur etwa 25 Prozent der KI-Projekte liefern den angekündigten ROI, 16 Prozent werden enterprise-weit skaliert. Die Mehrheit der KI-Investments verfehlt die eigene Erwartung.
Klarna konnte zurückrudern. Customer-Satisfaction lässt sich in zwölf Monaten reparieren, wenn man wieder Menschen einstellt. Im SOC kann man eine drei-Jahres-Pipeline-Lücke nicht zurückrudern. Die Senior-Detection-Engineers, die du nicht entwickelt hast, sind nicht da, wenn du sie brauchst. Und du brauchst sie nicht in zwölf Monaten. Du brauchst sie spätestens beim nächsten Incident.
Was das in Praxis-Empfehlungen heisst
Hire-less-Tier-1 trage ich nur dann mit, wenn die Detection-Engineering-Fundamente stehen. Sigma-Coverage, Hunt-Baselines, dokumentiertes Asset-Inventar. Wenn nicht, bleibt Tier-1-Hiring auf der Liste, und der Skill-Mix shiftet darüber hinaus Richtung Senior.
Beim Training fliesst mir das Budget falsch herum. Vom 80/20-Verhältnis Tool-Bedienung gegen Adversarial-Awareness müsste mindestens 50/50 werden. Adversarial-Awareness ist die Skill, die ein Team über das nächste Modell-Release hinaus tragfähig macht. Tool-Bedienung wird mit jedem UI-Update obsolet.
Auf Architektur-Seite ist die Entscheidung langfristig. Wer heute eine Mesh-Agent-Architektur einführt, hat in fünf Jahren ein Lock-in-Problem mit dem Anbieter und ein Audit-Problem mit dem Regulator. Co-Pilot mit Human-in-the-Loop, Sigma als Output-Standard. Die konservativere Variante altert besser und überlebt jeden Regulatorik-Schnitt.
Den wichtigsten Punkt führe ich in Teil 5 aus: die Karriere-Pipeline. Junior-Tier-1-Hiring ist die Voraussetzung dafür, dass es in fünf Jahren noch Senior-Detection-Engineers gibt. Wer Tier-1 durch KI ersetzt, gewinnt eine kurzfristige Headcount-Effizienz und verliert die Senior-Schicht der mittleren Zukunft. Seniors, die du nicht entwickelt hast, kannst du auch nicht von extern ersetzen. Der Markt hat sie auch nicht. Das ist meine wichtigste Sorge zu der ganzen Diskussion.
In Teil 4 wird’s ungemütlich, denn Angreifer haben dieselben Werkzeuge zur Verfügung. Was sie tatsächlich damit machen, und was sie nicht tun, ist eine Differenzierung, die in CISO-Briefings selten ehrlich gemacht wird.
Teil 3 von 5 dieser Reihe zu KI im defensiven Cyber, Augmentation, nicht Ablösung:
- Teil 1, Was die Daten tragen
- Teil 2, Wo Augmentation aufhört
- Teil 3, Was es für SOC-Teams heisst (aktuell)
- Teil 4, KI gegen KI
- Teil 5, Was wie doch gehen könnte