Schweizer Security Operations Center stehen unter Druck: Alarmvolumen wachsen schneller als die Teams, qualifizierte Analysten sind kaum zu rekrutieren, und seit dem 1. April 2025 zwingt die BACS-Meldepflicht zu strukturierten Vorfallberichten innert 24 Stunden. In dieser Konstellation entsteht eine neue Werkzeugkategorie: der KI SOC Analyst. Dropzone AI ist einer ihrer sichtbarsten Vertreter. Was die Kategorie verspricht, wo ihre Grenzen liegen und welche Fragen Schweizer CISOs jetzt klären sollten.
📑 Inhaltsübersicht
Was ist ein KI SOC Analyst? · Die stille Krise im Tier 1: zu viele Alarme, zu wenig Analysten · Schweizer Bedrohungslage und regulatorischer Druck · Dropzone AI im Überblick: ein KI SOC Analyst von der Stange · Wo Dropzone in der Kategorie steht · Sechs Fragen, die CISOs vor einer Evaluation stellen sollten · Häufig gestellte Fragen
Was ist ein KI SOC Analyst? Definition und Einordnung
Ein KI SOC Analyst ist eine Software, die eingehende Sicherheitsalarme aus SIEM-, EDR-, Cloud- und Identitätssystemen entgegennimmt, fehlenden Kontext eigenständig nachzieht, eine Untersuchung führt und am Ende eine entscheidungsreife Bewertung mit Begründung liefert. Anders als klassische SOAR-Werkzeuge folgt ein KI SOC Analyst keinem fest verdrahteten Playbook. Er entscheidet von Alarm zu Alarm, welche Datenquellen er abfragt, welche Hypothesen er prüft und wann er eine Untersuchung als beendet betrachtet.
Die Kategorie ist jung. Gartner hat sie im Hype Cycle for Security Operations vom Juni 2025 erstmals als eigenen Eintrag «AI SOC Agents» geführt, eingestuft im Innovation Trigger und mit einer geschätzten Marktadoption von ein bis fünf Prozent. Daneben listet Gartner eine zweite Kategorie «Cybersecurity AI Assistants», die analyst-begleitende Copiloten wie Microsoft Security Copilot, CrowdStrike Charlotte AI oder Google Gemini for Security umfasst. Die beiden Konzepte überschneiden sich, sind aber nicht identisch: Der Assistent unterstützt einen Menschen am Bildschirm, der KI SOC Analyst arbeitet eine Schicht des Tier-1-Prozesses autonom ab.
Für Schweizer Sicherheitsverantwortliche ist diese Unterscheidung wichtiger als sie zunächst klingt. Sie entscheidet darüber, ob ein Werkzeug primär die Produktivität bestehender Analysten erhöht oder ob es Personalbedarf in einem bestimmten Reifegrad reduziert. Beides ist legitim, aber die Beschaffungs-, Governance- und Compliance-Anforderungen unterscheiden sich deutlich.
Die stille Krise im Tier 1: zu viele Alarme, zu wenig Analysten
Die Treiber für die Kategorie sind nicht neu, sie haben aber eine kritische Schwelle überschritten. Drei Befunde, die sich in seriösen Quellen quer durch 2024 und 2025 wiederfinden:
Erstens das Alarmvolumen. Mehrere Marktstudien beziffern die täglich eingehenden Alarme in mittleren bis grossen SOCs in der Grössenordnung mehrerer Tausend pro Tag. Die Mehrheit davon sind False Positives. In der Tines-Umfrage 2023 gaben 63 Prozent der befragten SOC-Mitarbeiter an, an Burnout zu leiden. Eine Praxisbeobachtung aus dem US-Anbieter Crogl bringt das Missverhältnis auf den Punkt: Ein Analyst könne pro Schicht rund 24 Alarme sauber bearbeiten, eingehen würden täglich tausende.
Zweitens der Fachkräftemangel. Die ICT-Berufsbildung Schweiz prognostiziert bis 2030 einen Engpass von rund 40’000 ICT-Spezialisten. digitalswitzerland berichtet im Digital Skills Barometer 2024, dass 72 Prozent der Schweizer Arbeitgeber Mühe haben, IT-Stellen zu besetzen. Im Sicherheitsumfeld ist die Lage besonders zugespitzt: Erfahrene SOC-Analysten sind teuer, und der Markt für Berufseinsteiger ist klein. Ein Schweizer Unternehmen, das einen 24/7-Schichtbetrieb mit eigenem Personal aufrechterhalten will, kalkuliert mit zweistelligen Stellenzahlen, also einer Grössenordnung, die ausserhalb regulierter Branchen kaum darstellbar ist.
Drittens die Vorfallkosten. Der IBM Cost of a Data Breach Report 2025 weist erstmals seit fünf Jahren einen Rückgang der durchschnittlichen Schadenshöhe aus, auf USD 4.44 Millionen. Den Ausschlag dafür geben Organisationen, die Erkennung und Reaktion automatisieren: Sie verkürzen die Zeit bis zur Eindämmung eines Vorfalls im Mittel um 80 Tage und sparen rund USD 1.9 Millionen pro Vorfall. Die Botschaft ist nicht «Automatisierung verhindert Vorfälle», sondern «Automatisierung verkürzt den Zeitraum, in dem ein Vorfall Schaden anrichten kann».
Die Konsequenz ist ein klassisches Skalierungsproblem: Mehr Personal zu rekrutieren ist im Schweizer Arbeitsmarkt mittelfristig unrealistisch, die Alarmflut weiter manuell zu bewältigen ist betriebswirtschaftlich nicht tragbar, und Vorfälle ohne Automatisierung dauern länger und kosten mehr. KI SOC Analysten setzen genau an diesem Engpass an, indem sie den repetitiven Anteil der Tier-1-Triage übernehmen.
Schweizer Bedrohungslage und regulatorischer Druck
Die operative Belastung der SOCs ist ein Spiegel der Bedrohungslage. Das Bundesamt für Cybersicherheit (BACS) verzeichnete für das Jahr 2024 rund 62’954 Meldungen, ein Plus von 28 Prozent gegenüber dem Vorjahr. 2025 stieg die Zahl auf 64’733 und damit auf einen neuen Höchststand. Etwa neun von zehn Meldungen kamen aus dem Privatbereich, der Rest aus Unternehmen, wobei Letztere in der Regel mit grösserem operativem Aufwand verbunden sind.
Check Point berichtete für das erste Quartal 2025 für die Schweiz einen Anstieg von 113 Prozent gegenüber dem Vorjahresquartal und damit den weltweit höchsten Wert. Die Zahl ist mit methodischer Vorsicht zu lesen: Sie basiert auf der Telemetrie von Check-Point-Sensoren bei Kundenorganisationen, nicht auf einer behördlichen Vollerhebung. Sie ist trotzdem ein deutliches Signal, dass die Schweiz für Angreifer 2025 ein lohnendes Ziel war.
Parallel zur Bedrohungslage hat sich die regulatorische Erwartung verschärft. Drei Punkte sind für die SOC-Praxis besonders relevant:
BACS-Meldepflicht (ISG Art. 74a-i): Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden ans BACS melden. Die Bussbestimmungen bis CHF 100’000 sind seit dem 1. Oktober 2025 durchsetzbar. Eine vollständige Meldung ist innert 14 Tagen nachzureichen. Im zweiten Halbjahr 2025 gingen 145 meldepflichtige Vorfälle ein, seit Inkrafttreten der Pflicht insgesamt 325.
nDSG Art. 24: Das revidierte Datenschutzgesetz verlangt seit dem 1. September 2023 die Meldung von Datensicherheitsverletzungen an den EDÖB «so rasch als möglich», wenn ein voraussichtlich hohes Risiko besteht. Anders als die DSGVO setzt das nDSG keine fixe Stundenfrist, fordert aber dieselbe strukturierte Risikoanalyse. Der EDÖB-Leitfaden vom 5. Februar 2025 hat die Anforderungen präzisiert.
FINMA-Aufsicht: Für Banken und Finanzinstitute gilt seit dem 1. Januar 2024 das FINMA-Rundschreiben 2023/1 zu operationellen Risiken und Resilienz. Die Aufsichtsmitteilungen 05/2020 und 03/2024 konkretisieren die Pflicht zur Vororientierung innert 24 Stunden und zur Vollmeldung innert 72 Stunden, jeweils abhängig vom Schweregrad des Vorfalls.
Die regulatorischen Anforderungen verändern den Charakter eines SOC-Vorfalls. Es genügt nicht mehr, einen Alarm intern zu schliessen. Jeder Vorfall, der in den Pflichtkatalog fällt, muss strukturiert dokumentiert, klassifiziert und nach aussen kommuniziert werden, und das innerhalb enger Fristen. Das verschärft die Anforderungen an die Untersuchung selbst und damit indirekt an die Werkzeuge, die diese Untersuchung führen.
Dropzone AI im Überblick: ein KI SOC Analyst von der Stange
Dropzone AI ist ein 2023 in Seattle gegründetes Unternehmen, das sich ausschliesslich auf die Kategorie autonomer Tier-1-Triage konzentriert. Gründer und CEO ist Edward Wu, zuvor langjähriger Senior Principal Scientist bei ExtraHop und MITRE-ATT&CK-Mitwirkender. Nach Anbieterangaben schützt die Plattform aktuell über 300 Organisationen, darunter benannte Kunden wie UiPath, Zapier, Pipe, Mysten Labs, Avalara, Indiana Farm Bureau Insurance, Kwik Trip, Awin, Bolttech sowie der US-Managed-Security-Provider CBTS und der MSSP ECS Federal.
Funktionsweise. Trifft ein Alarm aus einem angebundenen System ein, bestimmt Dropzone, welche Informationen für eine Bewertung fehlen, ruft die entsprechenden APIs ab, korreliert Logs aus SIEM, EDR, Identitäts- und Cloud-Systemen, prüft Hypothesen und kommt zu einem Verdict mit Schweregrad. Der Vorgang läuft rekursiv: Neue Erkenntnisse können neue Abfragen auslösen. Am Ende steht ein Bericht, der den Untersuchungspfad, die abgefragten Quellen und die Begründung der Entscheidung dokumentiert. Die Plattform integriert nach Anbieterangaben über 90 Sicherheits- und Datenquellen, darunter Splunk, Microsoft Sentinel, Google SecOps, IBM QRadar, CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Okta, Entra ID, AWS, Azure und GCP.
Architektur. Dropzone betreibt nach eigenen Angaben eine Single-Tenant-Architektur auf AWS, ist SOC 2 Type II zertifiziert und unterzieht sich jährlich einem externen Penetrationstest. Die LLM-Aufrufe laufen an Anthropic, Azure OpenAI und Perplexity, jeweils mit vertraglich zugesicherter Nicht-Verwendung der Tenant-Daten für Modelltraining. Eine dedizierte Schweizer Datenregion ist öffentlich nicht ausgewiesen; eine EU-Region kann auf Anfrage konfiguriert werden.
Preismodell. Die Einstiegslizenz wird nach Anbieterangabe als jährliche Pauschale berechnet und umfasst ein definiertes Kontingent an Untersuchungen pro KI-Analyst, unbegrenzte Benutzer, sämtliche vorgefertigten Integrationen, gebündelte Threat-Intelligence-Feeds sowie einen 8-Stunden-Support-SLA. Eine «Untersuchung» bezeichnet dabei ein Bündel korrelierter Alarme, nicht einen einzelnen Einzelalarm. Diese Definition sollte in der Beschaffung sauber dokumentiert werden, ebenso wie das jährliche Kontingent und die Konditionen für dessen Überschreitung.
Erkennbare Differenzierung. Dropzone positioniert sich konsequent als reine Software ohne menschliche Hintergrund-Analysten. Das unterscheidet die Plattform sowohl von hybriden MDR-Anbietern, die einen menschlichen Backoffice-Service beilegen, als auch von analyst-begleitenden Copiloten innerhalb grosser Sicherheitsplattformen. Die Anbieter-Erzählung lautet, dass jede Untersuchung mit denselben Schritten und derselben Methodik abläuft. Diese Konsistenzbehauptung ist in der Praxis nur durch ein nachvollziehbares Audit-Log überprüfbar. Dieses Thema vertieft die zweite Folge dieser Serie.
Wo Dropzone in der Kategorie steht
Die Kategorie der KI SOC Analysten ist von Bewegung geprägt. Neben Dropzone treten Anbieter wie Prophet Security, Simbian, Intezer, Radiant Security, Crogl, AirMDR, Conifers, 7AI und Exaforce mit ähnlichen oder verwandten Konzepten auf. Daneben drängen Plattform-Inkumbenten in das Feld: CrowdStrike hat Charlotte AI mit Charlotte Agentic SOAR zu einer Agentic-SOC-Plattform erweitert, Microsoft Security Copilot ist tief in Defender und Sentinel integriert, Google Gemini for Security in Google SecOps. Die IDC-Marktbeobachtung spricht für 2026 von «über 40 Anbietern» im weiteren Agentic-SOC-Umfeld.
In dieser Landschaft lassen sich Dropzone drei Eigenschaften zuordnen, die Schweizer Beschaffer einordnen sollten:
Reine Software, klare Tier-1-Fokussierung. Dropzone tritt nicht als MDR-Anbieter auf und bietet keinen menschlichen Schichtdienst an. Das vereinfacht die vertragliche Gestaltung und die Datenflüsse, schiebt aber die Verantwortung für Reaktion und Eskalation vollständig auf den Kunden oder einen separaten Managed-Service-Partner zurück.
Breite Integrationsbasis. Mit über 90 Konnektoren deckt die Plattform die für DACH-Kunden typischen SIEM-, EDR- und Identitäts-Stacks gut ab. Microsoft-Sentinel- und Defender-Umgebungen, in der Schweiz weit verbreitet, sind unterstützt. Das senkt die Onboarding-Reibung, ändert aber nichts an der Notwendigkeit eines sauberen Anbindungs- und Berechtigungskonzepts.
Vendor-geprägte Begriffswelt. Begriffe wie «Glass Box SOC» oder «Agentic SOC» stammen aus dem Anbieter-Lexikon. Sie beschreiben reale Architekturmerkmale, vor allem die Sichtbarkeit jedes Untersuchungsschritts, sind aber keine Industriestandards. In Ausschreibungen sollten sie operationalisiert werden: Welche Log-Formate liefert das Werkzeug? Welche Versionierung der eingesetzten Modelle wird mitprotokolliert? Wie reagiert es auf manipulierte Eingaben, etwa Phishing-Mails mit eingebetteten Prompt-Injection-Versuchen?
Kritische Stimme zur Einordnung. Gartner hat im Dezember 2024 eine bemerkenswert nüchterne Analyse mit dem Titel «There Will Never Be an Autonomous SOC» publiziert. Forrester-Analystin Allie Mellen warnt davor, falsche KI-Triage als «neue Form von False Positives» zu unterschätzen. Auch Anton Chuvakin, vormals Gartner und heute im Office of the CISO bei Google Cloud, formuliert pointiert: «AI in a SOC? Yes. AI SOC? No.» Diese Stimmen sind keine Argumente gegen die Kategorie. Sie sind Argumente für eine differenzierte Beschaffung.
TECHWAY-POSITION
Warum wir die Kategorie trotzdem ernst nehmen
Die Diagnose von Chuvakin, Mellen und Gartner teilen wir. Heutige KI-Systeme sind keine Intelligenz im strengen Sinn. Sie treffen Wahrscheinlichkeitsentscheidungen auf der Basis statistischer Muster, nicht freie Bewertungen wie ein Mensch. Diese Einschränkung anzuerkennen, ist die Voraussetzung für jede ernsthafte Beschaffung.
Aus derselben Diagnose ziehen wir aber einen anderen Schluss. Dass ein Werkzeug keine «echte» Intelligenz hat, macht es nicht unbrauchbar. Moderne neuronale Netze in Verbindung mit Sprachmodellen sind bemerkenswert gut darin, realistische Interpretationen von Sicherheitsereignissen zu liefern. Agentbasierte Architekturen, in denen mehrere Komponenten Hypothesen prüfen und gegeneinander abwägen, verbessern diese Interpretationen weiter, ohne dabei den Status einer zweiten unabhängigen Meinung zu erlangen. Die Komponenten greifen auf strukturell ähnliche Modelle zu und können dieselben Biases teilen. Diese Differenzierung gehört in jedes CISO-Briefing.
Der entscheidende Punkt liegt für uns auf einer anderen Ebene: Die unternehmerische Verantwortung für Sicherheitsentscheide liegt bei der Geschäftsleitung und beim Verwaltungsrat, unabhängig davon, ob ein Mensch, ein Skript oder ein neuronales Netz den Alarm bearbeitet hat. Diese Verantwortung lässt sich weder delegieren noch automatisieren. Aus ihr folgt das Designprinzip: Bei nicht-trivialen Entscheidungen behält der Mitarbeiter das letzte Wort, und die Entscheidungsgrundlage muss inspizierbar sein.
Das ist kein Notbehelf, sondern eine Konsequenz aus der Verantwortungsstruktur. Wer am Ende für eine Sicherheitsentscheidung geradesteht, muss die Möglichkeit haben, sie zu prüfen, zu hinterfragen und zu korrigieren. Ein KI SOC Analyst, der das ermöglicht, ist ein Werkzeug. Ein KI SOC Analyst, der das verhindert, ist mit der Schweizer Verantwortungskultur nicht vereinbar, unabhängig davon, wie gut seine Trefferquote ist.
Unsere Empfehlung ist deshalb weder Begeisterung noch Ablehnung. Sie ist nüchterne Beschaffung: Die richtigen Fragen stellen, klare Eskalationsregeln vereinbaren, Reasoning-Pfade inspizierbar machen, und am Ende einen Menschen vorsehen, der die Verantwortung trägt und sie auch tragen kann, weil er sie tragen muss.
Sechs Fragen, die CISOs vor einer Evaluation stellen sollten
Eine seriöse Evaluation eines KI SOC Analysten beginnt nicht beim Produktvergleich, sondern bei der eigenen Organisation. Die folgenden sechs Fragen helfen, den Entscheidungsraum zu strukturieren:
1. Welcher Anteil unseres Tier-1-Aufwands ist tatsächlich repetitiv? Ein Werkzeug, das Standardabfragen automatisiert, bringt nur Mehrwert, wenn ein signifikanter Anteil der eingehenden Alarme einem stabilen Muster folgt. Eine ehrliche Kategorisierung der letzten drei bis sechs Monate Alarm-Historie ist die belastbarste Grundlage.
2. Welche Datenquellen müssen erschlossen werden, und wo liegen die Daten? Ein KI SOC Analyst ist nur so gut wie seine Anbindung. Identitäts-, Endpoint- und Cloud-Quellen müssen sauber integriert sein. Bei regulierten Branchen oder besonders schutzwürdigen Daten ist parallel die Frage der Datenverarbeitungsorte zu klären.
3. Wie verändert sich die Rolle der menschlichen Analysten? Übernimmt das Werkzeug Tier 1 vollständig, oder eskaliert es Grenzfälle? Wer entscheidet, ab welcher Konfidenz automatisch geschlossen wird? Eine klar dokumentierte Eskalationslogik ist die Voraussetzung dafür, dass Mensch und Maschine sinnvoll zusammenarbeiten.
4. Welche Auditspur entsteht? Für Schweizer Sicherheitsverantwortliche unter BACS-, nDSG- oder FINMA-Pflichten ist die Frage nach der Nachvollziehbarkeit jedes Untersuchungsschritts nicht akademisch. Sie bestimmt die Verteidigungsfähigkeit gegenüber Aufsicht und Verwaltungsrat.
5. Was passiert bei Falschentscheidungen? Halluzinationen und Automatisierungs-Bias sind dokumentierte Phänomene. Welche Mechanismen verhindern, dass ein automatisch geschlossener Alarm einen echten Vorfall verdeckt? Wie wird kontinuierlich gegengeprüft?
6. Wer trägt am Ende die Verantwortung? Aus aufsichtsrechtlicher Sicht ist die Antwort eindeutig: das Unternehmen. Aus betrieblicher Sicht muss diese Verantwortung mit nachvollziehbaren Kontrollen unterlegt sein. Eine ungeprüfte «Black Box» genügt dafür nicht.
Schlussfolgerung
Die Kategorie der KI SOC Analysten ist real, sie ist von Investoren und Analysten ernst genommen, und sie adressiert ein Problem, das in Schweizer SOCs nicht mit zusätzlichem Personal allein lösbar ist. Dropzone AI ist einer der sichtbarsten Vertreter und liefert eine technisch ausgereifte Variante des Konzepts. Ob die Plattform oder eine ihrer Alternativen für ein konkretes Schweizer Unternehmen das richtige Werkzeug ist, entscheidet sich nicht im Demo, sondern in der ehrlichen Analyse von Alarm-Profil, Datenarchitektur, regulatorischer Lage und vorhandener Reife im SOC-Betrieb.
In der zweiten Folge dieser Serie vertiefen wir den vom Anbieter geprägten Begriff der «Glass Box», also die Forderung nach vollständig nachvollziehbaren Reasoning-Pfaden, und legen die regulatorischen Anker im Detail offen: BACS-Meldepflicht, nDSG Art. 24, FINMA-Aufsichtsmitteilungen und die Implikationen des EU AI Act für KI SOC Werkzeuge in der Schweiz. Ausserdem ordnen wir den Schweizer MSSP-Markt ein und diskutieren das Souveränitäts-Trade-off zwischen US-Plattformen und einem in der Schweiz verarbeiteten Service.
Eine vendor-neutrale Einschätzung für Ihr SOC
Als unabhängiger Beratungspartner für Cyber-Risikointelligenz unterstützen wir Schweizer Unternehmen bei der Bewertung von KI SOC Analysten und Agentic-SOC-Lösungen. Wir analysieren Ihre Alarm-Profile, prüfen die Eignung passender Werkzeuge im Markt und begleiten Sie durch eine strukturierte Evaluation ohne Bindung an einen einzelnen Anbieter.
🎯 Key Take-Aways für Entscheider
Zusammenfassung für Verwaltungsrat, Geschäftsleitung und CISO:
✓ Tier 1 ist der Engpass: Hohe Alarmvolumen, Burnout-Werte über 60 Prozent und ein Schweizer Fachkräftemangel von rund 40’000 ICT-Spezialisten bis 2030 machen Tier-1-Automatisierung zu einem strukturellen Thema.
✓ KI SOC Analyst ist eine eigene Kategorie: Gartner führt sie seit Juni 2025 als «AI SOC Agents». Sie unterscheidet sich von Copiloten und von klassischer SOAR-Orchestrierung.
✓ Schweizer Regulatorik verschärft die Anforderungen: BACS-Meldepflicht seit 1. April 2025, durchsetzbar ab 1. Oktober 2025; nDSG Art. 24; FINMA-Aufsichtsmitteilungen. Strukturierte Vorfallnarrative sind kein Nice-to-have mehr.
✓ Dropzone AI ist ein technisch ausgereifter Vertreter: Reine Software, über 90 Integrationen, SOC 2 Type II, kontingentbasiertes Lizenzmodell. Keine dedizierte Schweizer Datenregion.
✓ Differenzierte Beschaffung statt Begeisterung: Gartner, Forrester und unabhängige Stimmen mahnen zur Nüchternheit. Eine Evaluation beginnt bei Alarm-Profil, Datenarchitektur und Verantwortungsmodell, nicht beim Vendor-Demo.
Häufig gestellte Fragen: FAQ zum KI SOC Analyst
Was ist ein KI SOC Analyst?
Ein KI SOC Analyst ist eine Software, die eingehende Sicherheitsalarme aus SIEM, EDR, Cloud und Identitätssystemen entgegennimmt, fehlenden Kontext eigenständig nachzieht, Hypothesen prüft und eine entscheidungsreife Bewertung mit Begründung liefert. Anders als SOAR folgt er keinem festen Playbook, sondern entscheidet je nach Alarm, welche Datenquellen er abfragt.
Was ist der Unterschied zu Microsoft Security Copilot oder CrowdStrike Charlotte AI?
Microsoft Security Copilot und CrowdStrike Charlotte AI sind primär Cybersecurity AI Assistants, also analyst-begleitende Copiloten im Bildschirmgespräch. KI SOC Analysten wie Dropzone AI arbeiten dagegen Tier-1-Untersuchungen autonom ab. Gartner führt seit Juni 2025 beide Konzepte als getrennte Kategorien im Hype Cycle for Security Operations.
Wie ist Dropzone AI lizenziert?
Dropzone AI wird nach Anbieterangabe als jährliche Pauschale lizenziert. Die Einstiegslizenz umfasst ein definiertes Kontingent an Untersuchungen pro KI-Analyst, unbegrenzte Benutzer und sämtliche Standardintegrationen. Eine Untersuchung bezeichnet dabei ein Bündel korrelierter Alarme, nicht einen einzelnen Alarm. In der Beschaffung sollten Kontingent und Konditionen für dessen Überschreitung explizit dokumentiert werden.
Ersetzt ein KI SOC Analyst menschliche Analysten?
In der Praxis nicht. Die Werkzeuge automatisieren repetitive Tier-1-Untersuchungen und entlasten Analysten für komplexere Fälle. Die aufsichtsrechtliche Verantwortung für Sicherheitsentscheide bleibt beim Unternehmen, und Eskalationen, forensische Tiefe und Incident Response brauchen weiterhin menschliche Expertise. Gartner formuliert es deutlich: einen vollständig autonomen SOC wird es absehbar nicht geben.
Wie hängt das mit der Schweizer BACS-Meldepflicht zusammen?
Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innert 24 Stunden ans BACS melden. Sanktionen bis CHF 100’000 sind seit dem 1. Oktober 2025 durchsetzbar. Eine schnelle, strukturierte Untersuchung ist Voraussetzung für eine fristgerechte Meldung. KI SOC Analysten können hier unterstützen, müssen aber nachvollziehbare Reasoning-Pfade liefern, die im Audit standhalten.
