Agentisches SOC

Sophos MDR: Agentisches SOC verkürzt Reaktionszeit auf Cyberbedrohungen auf 89 Sekunden

, Sophos | Autor: Herbert Wieler

Sophos MDR: Agentisches SOC verkürzt Reaktionszeit auf Cyberbedrohungen auf 89 Sekunden

KI gegen Cyberangriffe: Sophos MDR reagiert in nur 89 Sekunden

Cyberangriffe beschleunigen sich durch KI dramatisch – und klassische Security Operations Center geraten zunehmend unter Druck. Sophos zeigt nun mit Produktionsdaten aus zwölf Monaten, wie ein agentisches SOC diese Lücke schließen kann: KI übernimmt Routineentscheidungen, Analysten fokussieren sich auf kritische Fälle. Das Ergebnis ist ein Gamechanger für Unternehmen ohne eigene 24/7-Security-Teams: Sophos MDR verkürzt die Reaktionszeit auf Bedrohungen auf nur 89 Sekunden.

Sophos hat neue Leistungsdaten seiner Managed Detection and Response Services veröffentlicht. Demnach schützt Sophos MDR inzwischen weltweit 40.000 Kunden. Das entspricht einem Wachstum von 39 Prozent gegenüber dem Vorjahr.

Die Zahlen geben einen seltenen Einblick in den produktiven Betrieb eines agentischen Security Operations Centers im großen Maßstab. Im Mittelpunkt steht ein Modell, bei dem künstliche Intelligenz große Mengen an Sicherheitsereignissen autonom verarbeitet, während menschliche Analysten dort eingreifen, wo Kontext, Erfahrung und geschäftliche Bewertung entscheidend sind.

KI verändert Managed Detection and Response

Unternehmen stehen vor einer wachsenden Herausforderung: Telemetriedaten nehmen massiv zu, IT-Umgebungen werden komplexer und qualifizierte Cybersicherheitsfachkräfte bleiben knapp. Gleichzeitig nutzen Angreifer KI-Tools, um schneller zu scannen, zu täuschen, zu automatisieren und Angriffe dynamischer anzupassen.

Sophos reagiert darauf mit einem neu organisierten SOC-Modell. KI-Systeme übernehmen die Verarbeitung großer Ereignismengen, filtern Fehlalarme, korrelieren Signale und priorisieren Vorfälle. Analysten konzentrieren sich auf komplexe Untersuchungen, Threat Hunting, Kundenberatung und die Kontrolle autonomer Reaktionsmechanismen.

Das agentische Modell basiert auf Sophos Central, dem nach Unternehmensangaben ersten KI-nativen Cybersecurity-Defense-System der Branche. Dort greifen Endpoint-, Firewall-, Identity-, SIEM-, Netzwerk-, E-Mail-, Cloud-, Threat-Intelligence- und MDR-Lösungen auf einen gemeinsamen Kontextspeicher, integrierte KI und einheitliche Workflows zu. Die Plattform unterstützt zudem mehr als 350 Drittanbieter-Integrationen und ist besonders auf Microsoft-Umgebungen ausgerichtet.

89 Sekunden bis zur automatisierten Reaktion

Die wichtigsten Produktionsdaten aus zwölf Monaten Sophos MDR zeigen, wie stark Automatisierung und menschliche Kontrolle inzwischen verzahnt sind: 89 Sekunden vergehen im Durchschnitt von der Erstellung eines Falls bis zur vollständig automatisierten Reaktion. Diese Kennzahl bezieht sich auf Fälle, die das Sophos Central Defense System eigenständig lösen darf.

52 Prozent aller MDR-Fälle wurden ohne menschliches Eingreifen vollständig durch KI abgeschlossen. Dabei geht es nicht nur um Alarm-Triage oder erste Eindämmung, sondern um vollständig autonome Bearbeitung innerhalb von Grenzen, die fortlaufend durch Analysten kalibriert werden.

40.000 Kunden nutzen das agentische MDR-Modell von Sophos. Erkenntnisse aus erkannten Bedrohungen fließen in das gesamte Defense System ein und kommen damit allen Kunden zugute – unabhängig von Unternehmensgröße oder Branche.

Für Unternehmen bedeutet das: Bedrohungen können schneller neutralisiert werden, bevor sie den Geschäftsbetrieb beeinträchtigen. Gerade vor dem Hintergrund KI-gestützter Angriffe gewinnt die Geschwindigkeit der Verteidigung entscheidend an Bedeutung.

Human-on-the-Loop und Human-in-the-Loop

Sophos kombiniert in seinem SOC zwei Betriebsmodelle: Human-on-the-Loop und Human-in-the-Loop. Beim Human-on-the-Loop-Ansatz überwachen Analysten autonome Abläufe, greifen aber nicht in jeden einzelnen Fall aktiv ein. Dieses Modell eignet sich vor allem für Aufgaben mit hohem Volumen, klaren Grenzen und hoher Zeitkritikalität.

Beim Human-in-the-Loop-Ansatz bleiben Analysten direkt in kritische Entscheidungen eingebunden. Das gilt insbesondere für neuartige Angriffsmuster, sensible Geschäftsprozesse oder Vorfälle, bei denen Kontext und Auswirkungen erst bewertet werden müssen.

„Das agentische SOC ist das neue Betriebsmodell für Managed Security, und Sophos definiert, wie dieses Modell in der Praxis aussieht“, sagte Raja Patel, President von Sophos. „Wenn man das weltweit größte SOC betreibt, macht jede erkannte Bedrohung die Verteidigung aller Kunden stärker.“

Rob Harrison, Senior Vice President Product Management bei Sophos, betonte die Rolle menschlicher Analysten trotz hoher Automatisierung: „Die 52 Prozent ziehen die Aufmerksamkeit auf sich, aber die übrigen 48 Prozent sind genauso wichtig. Indem KI die große Menge routinemäßiger Vorgänge aus der menschlichen Bearbeitung übernimmt, erhalten unsere Analysten mehr Freiraum für Aufgaben, die menschliches Urteilsvermögen erfordern.“

Warum agentische SOCs für Unternehmen wichtiger werden

Agentische Security Operations Center gelten als nächste Entwicklungsstufe klassischer SOC-Strukturen. Statt nur Alarme zu melden oder einzelne Workflows zu automatisieren, übernehmen KI-Systeme zunehmend eigenständige Aufgabenketten: Erkennen, Bewerten, Priorisieren, Eindämmen und Dokumentieren.

Für Unternehmen mit begrenzten Sicherheitsressourcen ist das besonders relevant. Ein vollständig internes SOC ist teuer, personalintensiv und schwer rund um die Uhr zu betreiben. Managed Detection and Response mit agentischer KI kann hier eine Alternative bieten, weil es Geschwindigkeit, Skalierung und Expertenwissen kombiniert. Gleichzeitig bleibt menschliche Kontrolle entscheidend. Gerade bei kritischen Geschäftsprozessen, potenziellen Fehlalarmen oder neuen Angriffstechniken müssen Analysten bewerten, ob und wie eingegriffen wird.

Marktanerkennung für Sophos MDR

Sophos verweist zudem auf mehrere aktuelle Auszeichnungen und Marktbewertungen. In den G2 Summer 2026 Reports wurde Sophos auf Basis verifizierter Kundenbewertungen in fünf Kategorien als beste Gesamtlösung ausgezeichnet: Endpoint Protection, EDR, XDR, MDR und Firewall. Sophos MDR wurde dabei bereits das achte Quartal in Folge als Gesamtsieger geführt.

Im Gartner Peer Insights „Voice of the Customer“ für Managed Detection and Response erhielt Sophos die Auszeichnung „Customers’ Choice“. Die Bewertung lag bei 4,8 von 5,0 Punkten auf Basis von 290 Bewertungen.

Auch im KuppingerCole Analysts Leadership Compass for Managed Detection and Response 2026 wurde Sophos als „Overall Leader“ eingestuft. Das Unternehmen erzielte Spitzenbewertungen in den Kategorien Overall Leadership, Product Leadership, Innovation Leadership und Market Leadership.

Sophos will agentisches Modell ausbauen

Bis Ende 2026 will Sophos das agentische Betriebsmodell über Sophos Central auf das gesamte Produktportfolio ausweiten. Geplant sind unter anderem die Integration von XDR- und Next-Gen-SIEM-Funktionen in einen gemeinsamen Kontextspeicher, neue Secure-AI-Funktionen für KI-basierte Kundentools sowie die Einführung von „Sophos CISO Advantage“ im Herbst 2026. Diese Lösung soll strategische Sicherheitsberatung für Unternehmen mit und ohne eigene Sicherheitsleitung bereitstellen. Grundlage ist dasselbe Defense System, das Sophos MDR bereits im produktiven Betrieb einsetzt.

Die neuen Sophos-Zahlen zeigen, wohin sich Managed Security entwickelt: weg von rein manueller Alarmbearbeitung, hin zu KI-gestützten, agentischen Betriebsmodellen. Entscheidend wird dabei nicht allein die Automatisierungsquote sein, sondern die Balance zwischen Geschwindigkeit, Kontrolle und menschlichem Urteilsvermögen. Mit 89 Sekunden bis zur automatisierten Reaktion und 52 Prozent vollständig KI-gelösten MDR-Fällen positioniert Sophos sein agentisches SOC als Antwort auf eine Bedrohungslage, in der auch Angreifer zunehmend mit KI-Geschwindigkeit agieren.

Haftungsausschluss: Die Inhalte von Gartner Peer Insights bestehen aus den Meinungen einzelner Endnutzer, die auf ihren eigenen Erfahrungen basieren. Sie sind nicht als Tatsachenbehauptungen zu verstehen und spiegeln weder die Ansichten von Gartner noch die seiner verbundenen Unternehmen wider. Gartner unterstützt keine Anbieter, Produkte oder Dienstleistungen, die in diesen Inhalten dargestellt werden, und übernimmt keinerlei ausdrückliche oder stillschweigende Gewährleistungen hinsichtlich der Richtigkeit oder Vollständigkeit dieser Inhalte, einschließlich jeglicher Gewährleistungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck. GARTNER und PEER INSIGHTS sind Marken von Gartner, Inc. und/oder deren verbundenen Unternehmen. Gartner, Gartner Peer Insights „Voice of the Customer“: Managed Detection and Response, Peer Contributors, 31. März 2026.