Agentic AI als Zukunft moderner SOCs: Insights & Trends von der Google Cloud Next `26

Show Notes

Was passiert, wenn KI nicht mehr nur unterstützt, sondern eigenständig Security-Aufgaben übernimmt? In dieser Folge von Cybersecurity Basement sprechen Michael und Andreas über Insights und Trends von der Google Cloud Next `26 in Las Vegas und darüber, wie Agentic AI moderne SOCs grundlegend verändert.

Im Mittelpunkt stehen autonome KI-Agenten, automatisierte Security Operations und die Frage, warum klassische SOC-Strukturen immer stärker an ihre Grenzen stoßen. Andreas berichtet von Gesprächen mit internationalen Security-Teams, neuen Technologien rund um AI-native Cyberabwehr und den Entwicklungen, die in den USA bereits Realität sind.

Die Folge gibt Einblicke in moderne Detection- und Response-Strategien, automatisierte Analyseprozesse und den Wandel hin zu intelligenten, skalierbaren Security Operations. Außerdem geht es um Google, Wiz und die wachsende Bedeutung von Agentic AI für die Zukunft der Cybersecurity.

Wer tiefer in moderne SOC-Strategien, Agentic AI und die Zukunft der Cyberabwehr eintauchen möchte, ist herzlich eingeladen, am 01. Oktober die suresecure.live in München bei Google zu besuchen.

Weitere spannende Folge zum Thema: Autonomes SOC: Realität oder Marketing-Mythos? Threat Intelligence, KI & operative Cyberabwehr

Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:

Cybersecurity Basement - Media Kit

Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok

Chapters

• 0:00: Intro
• 1:11: Erste Eindrücke von der Google Cloud Next
• 2:39: Security-Fokus und Blick in die USA
• 4:04: Erwartungen, Austausch und kritischer Blick
• 5:07: KI-Agenten statt Chatbots
• 7:04: Fully Agentic SOCs und automatisierte Playbooks
• 9:10: Warum Agenten allein nicht reichen
• 10:04: KI-Modelle und schnelle Innovationszyklen
• 13:01: Schwachstellenmanagement und Zero Days
• 14:54: Exploit-Geschwindigkeit durch KI
• 16:31: Droht klassischen SOCs die Überforderung?
• 18:18: Reife Use Cases für Europa und Deutschland
• 21:11: Neue Skills und Teams für Agentic SOCs
• 23:16: AI-native SOC-Anbieter und Grenzen im Mittelstand
• 27:04: Fehler, Vertrauen und Akzeptanz von KI
• 28:44: Warum Google Next 2027 spannend bleibt
• 30:50: Ausblick: Google Next und suresecure.live
• 31:38: Outro

Transcript

Michael
Herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast für echten Security Content. Und wir wollen uns heute beschäftigen mit einer recht großen und stets innovativen Messe von Google Cloud Next `26. Die fand statt vom 22. bis 24. April diesen Jahres – und zwar in Las Vegas. Und wir waren live vor Ort. Und wenn ich sage „wir“, dann meine ich eigentlich meinen heutigen Gast Andreas. Große Überraschung: Stammgast in diesem Podcast.

Michael
Andreas, herzlich willkommen.

Andreas
My friend, nice to be here. Still im Las-Vegas-Modus.

Michael
Das ist sehr gut. Ja, wir müssen über diese doch sehr große Messe reden, denn dort präsentiert Google ja eigentlich das, was die Zukunft dann ist – Innovationen, Neuerungen natürlich für alle Produkte, nicht nur Cybersecurity. Deshalb lass uns darüber sprechen: Wie imposant war das Ganze? Denn du warst jetzt, glaube ich, auch zum ersten Mal da.

Michael
Schilder doch mal deine Eindrücke. Wie hat die Messe auf dich gewirkt?

Andreas
Ja, groß. Also wir waren im riesigen Hotel Mandalay Bay. Da kannst du dich drin verlaufen. Ich habe die Messe trotzdem gefunden. Ich glaube, bis zu 40.000 Menschen waren da. Und natürlich war eines der großen Themen Künstliche Intelligenz, AI. Natürlich nicht nur im Security-Kontext, aber ich war primär da, um mir eben genau diesen Bereich anzugucken. Der Bereich für Cybersecurity war auch echt groß.

Ich glaube, das war mit der größte Bereich auf der Messe. Es gab einen eigenen Bereich, wo dann Security-Vorträge stattfanden und wo Google-nahe Hersteller sich platziert haben – und auch Service Provider. Da konnte man sich schon mal ein bisschen angucken: Wo geht es in Amerika gerade hin? Was passiert da gerade? Und auch Google hat eine Menge präsentiert.

Ich glaube, vor allem was in den Vordergrund gerückt wurde, ist das Thema Wiz als Hersteller, der kürzlich von Google akquiriert wurde. Da wurde sehr viel gezeigt, was jetzt mit Wiz passiert, was Wiz technologisch macht – auch noch mal in Abgrenzung zu Google. Und ja, sehr viele Menschen, die man dort kennenlernen konnte, direkt aus den verschiedenen Unternehmen, mit denen man sich austauschen konnte – über Strategie und auch den Vergleich zu sehen: Wo steht man gerade in Amerika, wo stehen wir in Europa?

Weil wir immer so ein bisschen hinterher sind. Der Trend kommt von dort und wird dann irgendwann bei uns in die Märkte übernommen. Es war quasi wie ein Blick in die Zukunft.

Michael
Hattest du eine bestimmte Erwartungshaltung an die Messe? Und falls ja: Wurde die getroffen?

Andreas
Ja. Also zum einen ging es mir natürlich darum, die verantwortlichen Personen aus Amerika kennenzulernen, weil dort eben die Entscheidungen getroffen werden. Und da muss man auch sagen: Auch wenn Deutschland einer der stärksten Märkte für die Hersteller ist, verstehen sie nicht immer, wie dieser Markt hier funktioniert und wie die Leute ticken.

Weil in Deutschland haben wir schon ein bisschen eine andere Kultur als in Amerika. Da gibt es Unterschiede. Auch Dinge wie Datenschutz werden deutlich ernster genommen und damit muss man sich auseinandersetzen. Und da gab es einen guten Austausch, sodass ich auch ein bisschen den Standort Deutschland vertreten konnte und gleichzeitig verstehen konnte: Wie denken die Amerikaner?

Der Austausch mit den Führungskräften – und die konnte man dort wirklich sehr einfach erreichen und mit ihnen sprechen – war super interessant.

Und auf der anderen Seite war es mir wichtig zu schauen: Was machen die gerade in Amerika? Und das auch kritisch zu hinterfragen. Ich glaube, das können wir hier in Deutschland auch ganz gut. Nicht alles einfach anzunehmen, sondern kritisch draufzuschauen. Und dementsprechend habe ich mir auch die Demos zeigen lassen und genau hingeschaut, wie die Dinge dort wirklich genutzt werden.

Michael
Während wir hier im deutschen Mittelstand noch darüber diskutieren, ob wir überhaupt LLMs in produktiven Umgebungen zulassen, war dort ja das große Thema der Agent – also KI-Agenten, die eigenständig Aufgabenketten ausführen dürfen. So muss man das ja differenzieren.

Und Wiz ist ja auch – so habe ich es zumindest wahrgenommen – gerade marketingtechnisch extrem laut unterwegs und hatte ja, glaube ich, sogar so ein Maskottchen, das da rumlief und für Stimmung gesorgt hat.

Wie weit ist Amerika denn schon bei diesen Themen? Werden solche Dinge dort schon produktiv eingesetzt oder sind die auch noch auf dem Weg dahin?

Andreas
Ja, definitiv weiter. Also wenn wir uns anschauen, wie KI in Softwareprodukten genutzt wird, dann gab es zuerst die Phase mit Chatbots. Vorher musstest du in einer Knowledge Base nach Artikeln suchen, um Probleme zu lösen oder Best Practices zu finden. Ich weiß noch, da gab es dann PDFs mit 20 Dokumenten und irgendwo auf Seite 150 stand die Information, die du eigentlich gesucht hast.

Das wurde durch Chatbots ersetzt. Du stellst einfach Fragen und bekommst direkt Antworten. Das macht dich effizienter – ist aber jetzt auch noch nicht das große Hexenwerk.

Dann kam die nächste Phase: Automatismen und Anreicherung. Also zusätzliche Informationen aus Threat-Intelligence-Quellen, um Events besser bewerten zu können. Du hast dann vielleicht schon Textvorschläge bekommen wie: „Ich habe dieses Verhalten gesehen und würde so darauf reagieren.“ Aber die KI hat noch nicht eigenständig gehandelt.

Jetzt kommen wir in die dritte Phase: Fully Agentic SOCs. Also komplette Prozessketten, die vorher von Menschen anhand von Playbooks durchgeführt wurden, werden jetzt automatisiert von Agenten übernommen. Und das ist natürlich eine große Aufgabe, weil diese Use Cases den Agenten beigebracht werden müssen.

Wenn du in Automatismen arbeitest – und ich rede jetzt noch gar nicht davon, Systeme oder Benutzer automatisch zu sperren –, sondern beispielsweise verdächtige Dateien automatisch per Reverse Engineering analysieren zu lassen, zu schauen, was diese Datei tut, welche Indikatoren sie erzeugt, welche Webseiten sie aufruft usw. – dann war das früher ein extrem aufwendiger, manueller Vorgang über mehrere Stunden.

Der Agent macht das jetzt in wenigen Sekunden vollautomatisiert.

Diese Use Cases sind aber nicht „out of the box“ verfügbar. Du brauchst Leute – Engineers –, die diese Use Cases bauen. Und da siehst du jetzt erste Service Provider, die das auf Basis von Google-Technologie ihren Kunden anbieten.

Die haben viel Arbeit investiert, um diese Use Cases zu entwickeln und qualitativ abzusichern. Und damit kommen sie jetzt auf den Markt.

Wenn ich das mit Europa vergleiche, dann sehe ich hier oft noch On-Premise-Infrastrukturen oder zentrale Rechenzentren mit Lösungen, die da technisch gar nicht mithalten können. Die bieten dir diese Möglichkeiten überhaupt nicht.

Und da ist wichtig zu unterscheiden: Wenn dir jemand sagt „KI ist drin“, dann musst du fragen: Ist das nur ein Chatbot? Ist das nur Informationsanreicherung? Oder ist das wirklich fully agentic mit automatisierten Abläufen?

Und selbst wenn die Plattform das kann, brauchst du immer noch Menschen oder Service Provider, die diese Use Cases bauen.

Michael
Jetzt war das ja eine Herstellerveranstaltung von Google. Google hat Gemini, also sein eigenes Modell. Gab es rund um die Messe auch Diskussionen darüber, welches Modell aktuell die Vorreiterrolle hat? Also streiten sich Google, OpenAI und Anthropic da wirklich? Oder war das gar kein Thema?

Andreas
Das habe ich schon wahrgenommen, aber ich war ehrlich gesagt nicht tief in diesen Diskussionen drin, weil mein Fokus komplett auf Security lag. Es gab so viel Content und Austausch. Ich habe mich zum Beispiel mit Leuten aus Amerika unterhalten, die riesige Konzerne mit 250.000 Mitarbeitern vertreten und gerade selbst ein SOC aufbauen.

Für mich war interessant zu sehen: Wie sieht deren Journey aus? Wie entwickeln die das?

Deshalb habe ich mich weniger auf die Modell-Diskussionen konzentriert. Wobei man sich die Antwort auf einer Google-Messe natürlich denken kann.

Michael
Ja gut, was die Leute an den Ständen gesagt hätten, kann man sich wahrscheinlich denken. Aber bei 30.000 bis 40.000 Besuchern hätte man ja durchaus auch andere Meinungen aufschnappen können.

Andreas
Was ich vor allem wahrnehme, ist: Die Innovationszyklen sind extrem schnell.

Mal ist ChatGPT vorne, dann redet jeder über Claude, dann wieder über Gemini. Das hängt oft auch an den Releases. Es ist ein Wettrennen. Alle versuchen gerade, möglichst schnell neue Features rauszubringen und innovativ zu bleiben.

Ich glaube, das wechselt sich immer ein bisschen ab. Gerade verspüre ich schon, dass viele sagen, Gemini sei weiter – aber das ist am Ende auch Geschmackssache. Der eine mag BMW, der andere Mercedes.

Das sind oft Details. Aber ich bin jetzt auch kein Sprachmodell-Experte.

Michael
Das kann ich teilen. Kürzlich gab es erst das große Design-Update bei Claude und zwei Tage später zog OpenAI nach. Ich glaube, alle drei Modelle sind extrem stark und manchmal ist die Kombination sogar noch stärker. Man muss sich wahrscheinlich gar nicht endgültig für eins entscheiden.

Du hast schon gesagt: Die Innovationszyklen werden kürzer. Das liegt ja auch daran, dass die Angreiferseite KI-Werkzeuge nutzt. Die greifen Unternehmen damit an – und man muss sich ja fragen: Ist meine Verteidigung überhaupt ready?

Dieses von dir beschriebene klassische On-Prem-SOC klingt erstmal schon recht alt. Gab es auf der Messe Ansätze oder Empfehlungen, wie man seine Cyberverteidigung ready machen kann? Natürlich verkauft Google seine Produkte – aber gab es auch einen objektiveren Blick auf das Thema?

Andreas
Ein großes Thema war definitiv Schwachstellenmanagement. Wiz hat beispielsweise gezeigt, dass sie mit ihren Modellen in sehr kurzer Zeit Zero Days finden können – also unbekannte Schwachstellen.

Früher war das ein manueller Prozess von Menschen. Heute wird das automatisiert durchgeführt. Und dadurch wurden in kürzester Zeit in vielen Produkten Schwachstellen gefunden, die teilweise jahrelang existierten.

Das wird ein riesiges Thema. Es wird für Angreifer immer einfacher, Schwachstellen zu finden. Und wir müssen auf der Verteidigerseite mithalten können.

Deshalb gab es viele automatisierte Tools, um Schwachstellen aufzudecken, Exploits zu testen, automatisiertes Patching usw. Das Thema Geschwindigkeit zieht sich überall durch.

Aber das Hauptproblem vieler Unternehmen ist gar nicht das Finden von Schwachstellen – sondern das effiziente Beheben. Das dauert oft viel zu lange.

Michael
Und die Zeit zwischen Finden und Ausnutzen wird ja immer kürzer. Früher lagen da teilweise über 200 Tage dazwischen, heute teilweise weniger als zwei Stunden. Diese Herausforderung rast gerade auf Unternehmen zu.

Andreas
Definitiv. Und man muss verstehen: Eine Schwachstelle zu finden bedeutet noch nicht automatisch, dass du sie ausnutzen kannst. Dafür brauchst du einen Exploit.

Und dieser gesamte Prozess – Schwachstelle finden, Exploit entwickeln, testen, optimieren – passiert heute teilweise in wenigen Minuten.

Das ist die Geschwindigkeit, die KI reinbringt.

Und gleichzeitig sprechen wir hier in Deutschland noch mit Unternehmen, die überhaupt kein SOC haben. Egal ob KI-basiert oder nicht. Das ist oft noch der Status quo.

Michael
Kommen wir dadurch an einen Punkt, an dem klassische SOC-Teams überfordert werden? Unternehmen haben teilweise 80 oder mehr Security-Lösungen im Einsatz, die alle Logs und Alerts produzieren.

Andreas
Das ist heute schon so – viele wollen es nur nicht wahrhaben.

Viele denken: Je mehr ich erkenne, desto besser. Aber wenn du keine Agenten hast, die das automatisiert durcharbeiten, dann reden wir über Tausende oder Hunderttausende Events pro Tag.

Und irgendwann sagt der Analyst: „Den Alert kenne ich schon, da muss ich nicht mehr draufschauen.“

Wir haben es mittlerweile so weit automatisiert, dass über 90 Prozent der Events automatisch bearbeitet werden und wir uns nur noch um die restlichen zehn Prozent kümmern müssen.

Andere müssten eigentlich 100 Prozent anschauen, tun es aber nicht und sagen dann: „Wir konzentrieren uns nur auf High Critical Events.“

Aber Angriffe beginnen oft mit kleinen, unauffälligen Events. Wenn du die schon früh erkennst, kannst du viel verhindern. Wenn du erst beim Critical Event reagierst, sind die Daten oft schon weg.

Michael
Du hast gesagt, die Amerikaner seien da schon weiter. Hast du denn auch Use Cases gesehen, die du für Deutschland oder Europa schon als realistisch einschätzen würdest?

Andreas
Definitiv. Ich habe Use Cases gesehen, an die ich selbst gar nicht gedacht hätte. Teilweise sehr komplexe Abläufe mit vielen Quellen und mehreren Reaktionsschritten.

Wir sind hier oft noch bei den Basic-Use-Cases – auch aus Gründen der Qualitätssicherung. Wir starten lieber mit einfachen Dingen, die keinen großen Schaden anrichten können.

Was uns manchmal fehlt, ist Kreativität. Und das war für mich spannend: Zu sehen, wie kreativ dort gedacht wird.

Natürlich müssen wir hier erstmal prüfen: Ist das DSGVO-konform? Passt das regulatorisch? In Amerika werden Dinge oft einfach gemacht. Das inspiriert schon.

Nicht immer gut – aber inspirierend.

Michael
Was nicht immer gut ausgeht.

Andreas
Natürlich nicht. Alles hat Vor- und Nachteile. Du bekommst Geschwindigkeit, aber natürlich auch Risiken, wenn Daten irgendwo landen, wo sie nicht hingehören.

Aber rein aus der Perspektive „Was machen die mit Agenten?“ – da kann man sich definitiv einiges abschauen.

Michael
Das heißt, es liegt auch an Kreativität. Jetzt sind Engineers ja nicht immer die kreativsten Leute. Brauchen wir neue interdisziplinäre Teams?

Andreas
Das würde definitiv helfen.

Der Agent macht letztlich das, was der Mensch macht – nur effizienter. Du brauchst Security-Leute, die die Use Cases modellieren, und Leute, die sie technisch umsetzen.

Wobei das auch immer einfacher wird. Es gibt visuelle Oberflächen, Drag-and-Drop-Systeme, Prompting usw.

Aber wenn du tiefergehende Anforderungen hast, brauchst du trotzdem Fachwissen. Das ist wie bei diesen KI-Webseiten-Buildern: Am Anfang bist du begeistert, aber wenn du Details anpassen willst, brauchst du doch wieder Know-how.

Michael
Leider ja.

Andreas
Du musst trotzdem damit arbeiten.

Michael
Jetzt kommen ja auch neue Anbieter auf den Markt, die sagen: „Vergesst die alten SOCs, hier ist ein komplett KI-natives SOC.“ Dropzone AI zum Beispiel. War das ein Thema?

Andreas
Ja, absolut. Es gab einige Service Provider, die genau solche Lösungen vorgestellt haben – oft auf Google-Technologie basierend, aber erweitert um eigene Komponenten.

Ich habe mir das angeschaut und war wirklich beeindruckt. Da wurden komplexe Eventketten automatisch zusammengeführt und bewertet. Das Tool sagt dir dann beispielsweise: „Zu 97 Prozent bösartig“ – und schlägt direkt Gegenmaßnahmen vor.

Aber auch hier gilt: Marketing und Realität unterscheiden sich manchmal.

Diese Lösungen funktionieren hervorragend in modernen Büro-IT-Umgebungen mit SaaS und APIs. Aber im deutschen Mittelstand hast du oft On-Premise-Systeme, Spezialsoftware oder OT-Umgebungen. Da wird es deutlich komplexer.

Und genau da stoßen viele dieser Lösungen aktuell noch an Grenzen.

Michael
Die Systeme müssten ja auch verstehen, wie die ganzen Abhängigkeiten funktionieren. Welche Prozesse kritisch sind, was man besser nicht automatisch abschaltet usw.

Andreas
Genau. Und deshalb wird auch in Zukunft der Service Provider eine wichtige Rolle spielen, um spezielle Dinge individuell abzubilden.

Michael
Es werden auf jeden Fall spannende 24 Monate. Die Akzeptanz für KI dreht sich ja auch langsam. Wenn Angreifer KI massiv nutzen, bleibt Unternehmen wahrscheinlich gar nichts anderes übrig, als ebenfalls darauf zu setzen.

Andreas
Ja. Und der Konsens in Amerika war oft: KI macht Fehler – Menschen aber auch.

Natürlich halluziniert KI manchmal oder liefert Fehlinformationen. Aber Menschen tun das ebenfalls. Der Unterschied ist: KI hat in der Regel viel mehr Informationen zur Verfügung, wenn sie Entscheidungen trifft.

Deshalb glaube ich: Fehlerfreiheit gibt es sowieso nicht. Aber wenn du weniger Fehler und mehr Geschwindigkeit bekommst, dann ist das ein sinnvoller Trade-off.

Zu sagen: „Ich nutze keine KI, weil sie Fehler machen kann“, kann aus meiner Sicht nicht die Antwort sein.

Michael
Das ist ein spannender Gedanke. Warum sollte man denn 2027 wieder zur Google Next?

Andreas
Weil du dort die neuesten Innovationszyklen direkt mitbekommst. Du kannst dich mit Security-Leuten aus Amerika austauschen, die technologisch und vom Mindset oft schon weiter sind.

Und ich bin gespannt, was Google als Nächstes akquiriert. Sie haben Mandiant gekauft, Wiz gekauft – also absolute Top-Player. Man sieht klar die Strategie: Google will einer der größten Cybersecurity-Player werden.

Und das Spannende ist: Du musst kein Google-Cloud-Kunde sein, um Google Security einzusetzen.

Vor fünf Jahren hieß es noch: „Google? Was wollen die mit Security?“ Heute findest du Google überall im Gartner Leader Quadrant. Und technologisch sind sie wirklich innovativ.

Michael
Das stimmt. Die Geschichte hinter Chronicle ist übrigens auch spannend. Vielleicht mal was für eine eigene Folge.

Trifft man dich denn nächstes Jahr wieder auf der Google Next?

Andreas
Ja, ich gehe stark davon aus. Das macht definitiv Sinn. Und bis nächstes Jahr sind wir wieder ein ganzes Stück weiter.

Für mich war der Austausch dort extrem wichtig, um zu sehen: Wo stehen wir in Deutschland beim Thema Agenten? Wo stehen die Kollegen in Amerika? Was können wir mitnehmen und wie bringen wir unser eigenes SOC auf die nächste Stufe?

Michael
Man muss aber nicht nach Las Vegas reisen, um guten Security-Input zu bekommen. Dafür gibt es auch starke Veranstaltungen in Deutschland. Wir haben im Oktober suresecure.live – du bist dort als Speaker dabei. Den Link packen wir euch in die Shownotes.

Schaut es euch an, wir würden uns freuen, wenn ihr dabei seid.

In diesem Sinne: Andreas, danke für die Insights von der Google Next. Vielen Dank dafür. Und wir hören uns in der nächsten Ausgabe wieder. Bleibt sicher und gesund.

Andreas
Bis dann.

Michael
Tschüss. Ciao.