Die neue Realität der Cybersecurity

Dieses Buch existiert, weil mich die Diskussionen über Künstliche Intelligenz in der Cybersecurity zunehmend frustrieren. Zu viel Marketing, zu viele Prognosen, zu wenig Substanz. Was dabei oft fehlt, ist eine ehrliche Auseinandersetzung mit der Frage, was sich für Security-Teams tatsächlich verändert - und was lediglich eine neue Verpackung alter Probleme ist.

Künstliche Intelligenz wird in der Cybersecurity häufig auf konkrete Versprechen reduziert: bessere Detection, weniger Alerts, schnellere Reaktion. Diese Perspektive greift zu kurz. Aber KI ist kein Allheilmittel und kein Ersatz für saubere Architektur, belastbare Prozesse oder verantwortliche Entscheidungen. Sie ist ein Werkzeug, das bestehende Stärken verstärken kann - und bestehende Schwächen schonungslos sichtbar macht. Genau darin liegt ihr Wert, aber auch ihr Risiko.

Mein Buch richtet sich an Praktiker, die operative Verantwortung tragen. An Menschen, die nachts aufstehen müssen, wenn etwas schiefläuft. An Security-Architekten, Incident-Response-Verantwortliche und Führungskräfte, die entscheiden müssen, ob und wie KI sinnvoll in bestehende Strukturen integriert wird. Es richtet sich nicht an Leser, die einfache Antworten oder fertige Rezepte erwarten. Die gibt es in diesem Kontext nicht.

Ich arbeite seit gut fünfzehn Jahren in der IT, davon seit mehreren Jahren primär im Bereich Security Architecture und Incident Response. Mein Weg war klassisch: Systemadministrator, später IT-Leiter mit Verantwortung für Infrastruktur und Security, anschließend in größeren Organisationen mit dem Aufbau und Betrieb operativer Sicherheitsprozesse und Notfallumgebungen betraut. Heute arbeite ich als IT-Security Manager mit Schwerpunkt Incident Handling, Vulnerability Management und Sicherheitsarchitekturen. Incident Response hat meinen Blick nachhaltig geprägt. Sie ist gnadenlos ehrlich. Alles, was in Architekturen nur theoretisch existiert, was in Prozessen halbgar umgesetzt wurde oder in Dokumentationen schöngeredet ist, wird im Incident sichtbar. Solche Situationen schärfen den Anspruch an Detection, Architektur und Reaktionsfähigkeit - und relativieren viele vermeintlich elegante Konzepte.

KI ist für mich kein Selbstzweck. Ich bin weder Evangelist noch grundsätzlicher Skeptiker. In den letzten Jahren habe ich zahlreiche ML-basierte Ansätze in Security-Architekturen gesehen: EDR mit Behavior Analytics, SIEM mit automatisierter Korrelation, SOAR mit KI-gestützter Priorisierung. Manches davon funktioniert gut. Anderes erzeugt neue Probleme, weil Erwartungen, organisatorische Reife und technische Realität nicht zusammenpassen.

Die erste Frage in typischen Projektmeetings lautet fast immer: „Kann KI das?" Schon seltener hört man: „Sollten wir das so umsetzen?" Und die dritte Frage - „Was machen wir, wenn es schiefgeht?" - stellt fast niemand.

Genau dieses Spannungsfeld - zwischen technischer Machbarkeit, operativer Realität und organisatorischer Reife - bildet den Kern dieses Buches. Es geht nicht darum, das perfekte KI-gestützte SOC zu entwerfen. Ein solches Ideal existiert nicht. Stattdessen geht es darum, Denkmodelle zu hinterfragen, Annahmen offenzulegen und realistische Erwartungen zu formulieren.

Dieses Buch liefert keine Checklisten und keine Garantien. Ich will damit Orientierung geben in einem Bereich, der sich schneller entwickelt, als viele Organisationen Schritt halten können. Wenn es dazu beiträgt, dass auch nur zwei oder drei Architekten, IR-Leads oder Entscheider bewusstere Entscheidungen treffen - oder zumindest die richtigen Fragen stellen -, dann hat es seinen Zweck für mich erfüllt.

Genannte Beispiele sollen zur Anschaulichkeit dienen und sind frei erfunden.