Like a Hammer, It Can Build, It Can Break: Large Language Model Uses, Perceptions, and Adoption in Cybersecurity Operations on Reddit

Diese Studie analysiert Reddit-Diskussionen von Cybersecurity-Praktikern und zeigt, dass Large Language Models zwar die Effizienz bei produktivitätsorientierten Aufgaben steigern, ihr autonomer Einsatz jedoch aufgrund von Zuverlässigkeitsproblemen, Verifikationsaufwand und Sicherheitsrisiken stark eingeschränkt bleibt.

Das Wesentliche

Stellen Sie sich vor, ein Hammer ist in die Werkstatt der Cyber-Sicherheit gekommen. Ein Hammer ist ein fantastisches Werkzeug: Er kann Nägel einschlagen, um ein Haus zu bauen (Produktivität steigern), aber er kann auch Fenster einschlagen, wenn man ihn falsch benutzt (Risiko).

Genau darum geht es in diesem Forschungsbericht. Die Wissenschaftler haben untersucht, wie echte Sicherheits-Experten (die „Werkstattmeister") diesen neuen, sehr mächtigen Hammer – genannt Künstliche Intelligenz (KI) oder Large Language Models (LLMs) – in ihrer täglichen Arbeit nutzen, was sie davon halten und ob sie trauen, ihn wirklich loszulassen.

Hier ist die Geschichte, einfach erklärt:

1. Woher wissen wir das? (Der große Marktplatz)

Die Forscher sind nicht in die Büros der Firmen gegangen, um zu fragen. Stattdessen sind sie auf den großen digitalen Marktplatz Reddit gegangen, genauer gesagt in die Foren, wo sich Cyber-Security-Experten austauschen.
Sie haben sich 892 Gespräche aus den Jahren 2022 bis 2025 angesehen. Das ist wie ein riesiges Tagebuch, in dem die Experten ehrlich schreiben: „Hey, ich habe heute dieses KI-Tool ausprobiert, und es hat toll funktioniert!" oder „Vergiss es, das hat mir nur mehr Arbeit gemacht."

2. Was nutzen die Leute eigentlich? (Der Werkzeugkasten)

Die Forscher haben zwei interessante Dinge entdeckt:

• Der Allzweck-Hammer vs. der Spezial-Hammer: Die Experten nutzen viel öfter die großen, allgemeinen KI-Tools (wie ChatGPT oder Microsoft Copilot), die für alles gemacht sind, als die speziellen, teuren Sicherheits-KI-Tools, die nur für Cyber-Sicherheit verkauft werden. Es ist, als würden die Handwerker lieber den großen, bekannten Hammer aus dem Baumarkt nehmen, statt den teuren, spezialisierten Hammer vom Sicherheits-Experten.
• Wofür wird er benutzt?
  • Die beliebtesten Aufgaben: Die KI hilft am meisten beim Sortieren von Alarmen (welcher Alarm ist wichtig, welcher ist nur Lärm?), beim Schreiben von Code (Skripte für die Computer) und beim Erstellen von Berichten.
  • Die riskanten Aufgaben: Niemand traut sich wirklich, die KI den ganzen Kampf gegen Hacker allein führen zu lassen. Die Experten nutzen die KI als Assistenten, nicht als Chef. Sie lassen die KI Vorschläge machen, aber der Mensch entscheidet am Ende.

3. Was denken die Experten? (Die Vor- und Nachteile)

Die Stimmung ist gemischt, wie bei einem neuen Auto, das sehr schnell ist, aber manchmal die Bremsen versagt.

• Das Gute (Die Vorteile):

  • Geschwindigkeit: Die KI kann riesige Datenmengen in Sekunden durchsuchen, was einem Menschen Stunden kosten würde.
  • Hilfe beim Verstehen: Wenn ein Computer-Logbuch (eine Art Tagebuch des Computers) unleserlich ist, kann die KI es in einfache Sprache übersetzen: „Hier ist passiert, und hier ist das Problem."
  • Weniger Langeweile: Sie hilft, die stundenlange Suche nach Fehlalarmen zu verkürzen.

• Das Schlechte (Die Bedenken):

  • Halluzinationen (Lügen): Das ist das größte Problem. Die KI kann manchmal Dinge erfinden, die so plausibel klingen, aber falsch sind. In der Cyber-Sicherheit ist ein falscher Alarm oder eine falsche Information gefährlich. Man kann der KI nicht blind vertrauen.
  • Datenschutz: Die Experten haben Angst, dass sie sensible Firmendaten in die KI eingeben und diese Daten dann irgendwo gespeichert oder von der KI gelernt werden.
  • Kosten: Die KI-Tools sind teuer. Manche sagen: „Für den Preis könnte ich einfach einen neuen Mitarbeiter einstellen."
  • Überprüfung: Man muss jede Antwort der KI nochmal prüfen. Das kostet Zeit. Manchmal nimmt die Prüfung mehr Zeit in Anspruch als das Erledigen der Aufgabe ohne KI.

4. Die große Angst: Wer wird wann arbeitslos?

Ein sehr wichtiger Punkt im Bericht ist die Sorge um die Zukunft der Mitarbeiter.
Stellen Sie sich vor, die KI übernimmt die einfachen Aufgaben (wie den ersten Alarm prüfen). Das ist gut für die Senior-Experten, aber wie lernen die neuen, jungen Mitarbeiter (die Azubis) ihren Job, wenn die einfachen Aufgaben, an denen sie früher gelernt hätten, jetzt von der KI erledigt werden?
Es entsteht ein Teufelskreis: Um die KI gut zu überwachen, braucht man erfahrene Experten. Aber wie werden diese Experten, wenn die Einstiegsaufgaben automatisiert sind?

Fazit: Der Hammer ist nützlich, aber wir halten ihn fest

Die Botschaft der Forscher ist klar:
Die KI ist ein wunderbares Werkzeug, um die Arbeit schneller und effizienter zu machen. Aber sie ist kein Ersatz für den Menschen.

• Vertrauen ist begrenzt: Die Experten nutzen die KI gerne, aber nur für Aufgaben, bei denen sie die Kontrolle behalten.
• Der Mensch bleibt der Chef: Die KI schlägt vor, der Mensch entscheidet.
• Vorsicht ist geboten: Bevor man die KI komplett loslässt, muss man sicherstellen, dass sie nicht lügt und keine Firmengeheimnisse stiehlt.

Kurz gesagt: Die Cyber-Sicherheit nutzt die KI wie einen sehr schnellen, aber manchmal etwas verwirrten Assistenten. Man lässt ihn arbeiten, aber man hält ihm immer die Hand auf die Schulter, falls er etwas Falsches tut.

Technische Zusammenfassung

1. Problemstellung und Motivation

Security Operations Centers (SOCs) stehen vor der Herausforderung, eine wachsende Flut an Sicherheitswarnungen (Alerts) zu bewältigen, was zu „Alert Fatigue", Stress und Burnout bei Analysten führt. Obwohl traditionelle Automatisierungstools (SIEM, SOAR, ML) existieren, bleiben SOC-Teams unter Druck.
Große Sprachmodelle (LLMs) werden zunehmend als vielversprechende Lösung beworben, um SOC-Workflows zu unterstützen, von der automatisierten Triage bis hin zur Incident Response. vendors wie Microsoft (Copilot for Security) und CrowdStrike (Charlotte AI) vermarkten autonome KI-Lösungen.
Das Forschungsproblem: Es fehlt an empirischen Erkenntnissen darüber, wie diese Tools in der Praxis tatsächlich genutzt, wahrgenommen und adoptiert werden. Bisherige Studien konzentrierten sich oft auf spezifische Tools oder Aufgaben, nicht jedoch auf ein breites Bild der Nutzung durch Sicherheitspraktiker in realen Umgebungen.

2. Methodik

Die Autoren führten eine Mixed-Methods-Analyse (qualitativ und quantitativ) durch, basierend auf Diskussionen in Online-Foren.

• Datenerhebung:
  • Quelle: Reddit-Subreddits (hauptsächlich r/cybersecurity, r/Information_Security, r/ciso).
  • Zeitraum: Dezember 2022 bis September 2025.
  • Datensatz: 1.703 gesammelte Posts aus 76 relevanten Threads, von denen 892 Posts als relevant für die Forschungsfragen kodiert wurden.
  • Filterung: Nutzung von Keyword-Suchen und KI-gestützter Klassifizierung (GPT-4.1-mini), gefolgt von manueller Überprüfung zur Sicherstellung der Relevanz.
• Analyseverfahren:
  • Qualitativ: Hybrid-Codierung (induktiv und deduktiv) zur Erstellung eines Codebuchs. Themen umfassten genutzte Tools, Anwendungsfälle, Wahrnehmungen (Vor-/Nachteile) und Implikationen für die Adoption. Die Inter-Rater-Reliabilität wurde durch Krippendorffs Alpha (α) sichergestellt.
  • Quantitativ: Statistische Tests (Chi-Quadrat-Unabhängigkeitstests, Zwei-Stichproben-Tests für Anteile) zur Analyse der Häufigkeit von Erwähnungen und Sentiment-Unterschieden zwischen verschiedenen Faktoren (z. B. Zuverlässigkeit vs. Effizienz).
• Ethische Aspekte: Die Studie nutzte ausschließlich öffentliche Daten, erhielt eine IRB-Befreiung und anonymisierte alle Benutzerdaten (Usernames, Organisationen).

3. Schlüsselbeiträge und Forschungsfragen

Die Studie beantwortet drei zentrale Forschungsfragen (RQs):

1. RQ1: Welche LLM-Tools und Anwendungsfälle werden diskutiert?
2. RQ2: Welche Vor- und Nachteile werden im Kontext von SOC-Workflows wahrgenommen?
3. RQ3: Wie wird die Adoption diskutiert und welche Implikationen hat dies für die Zukunft?

4. Wichtige Ergebnisse

A. Tools und Anwendungsfälle (RQ1)

• Dominanz allgemeiner LLMs: Entgegen der Erwartung werden allgemeine LLMs (z. B. ChatGPT, Microsoft Copilot, Claude) deutlich häufiger diskutiert und genutzt als spezialisierte Sicherheits-LLMs (z. B. Security Copilot, Dropzone).
  • Statistik: 60,5 % der Erwähnungen betrafen allgemeine Tools, nur 43,9 % spezifische Sicherheits-Tools.
• Fragmentierung des Sicherheitsmarktes: Es gibt eine „Long Tail" von über 30 spezialisierten Sicherheits-Tools, aber nur wenige (Security Copilot, Dropzone, Intezer) werden häufig erwähnt. Das Ökosystem ist stark fragmentiert.
• Häufigste Anwendungsfälle:
  1. Incident Response & Triage: (42,77 %) – Unterstützung bei der Analyse, Korrelation und Eindämmung von Warnungen.
  2. Scripting & Query Support: (27,08 %) – Generierung von Python/PowerShell-Skripten und SIEM-Abfragen (KQL, SQL).
  3. Reporting & Dokumentation: (25,85 %) – Zusammenfassung von Vorfällen, Erstellung von Berichten.
  • Weniger häufig: Bedrohungsanalyse und reines Wissensmanagement.
• Autonomie-Level: Die Nutzung bewegt sich meist im Bereich der Entscheidungsunterstützung („Human-in-the-Loop"). Vollautonome Maßnahmen (z. B. automatische Isolierung von Endgeräten) sind selten und werden nur bei hochvertrauenswürdigen, niedrig-riskanten Aufgaben diskutiert.

B. Wahrnehmung und Faktoren (RQ2)

Die Analyse identifizierte sechs Schlüsselfaktoren, die die Wahrnehmung prägen:

1. Fähigkeiten (Capabilities): Überwiegend positiv. LLMs helfen beim Kontextualisieren von Alerts und machen komplexe Log-Daten verständlich.
2. Effizienz: Überwiegend positiv. Deutliche Verkürzung der „Mean-Time-To-Triage" (z. B. von 45 auf <2 Minuten).
3. Zuverlässigkeit (Reliability): Kritisch negativ. Das Hauptproblem sind Halluzinationen (falsche, aber selbstbewusste Antworten) und mangelnde Deterministik. Analysten trauen den Ergebnissen nicht ohne manuelle Verifikation.
4. Sicherheit & Datenschutz: Kritisch negativ. Große Bedenken bezüglich des versehentlichen Einspeisens sensibler Unternehmensdaten in öffentliche Modelle und der Erweiterung der Angriffsfläche durch die LLMs selbst (Prompt Injection).
5. Autonomie: Negativ. Trotz Marketingversprechen wird eine vollständige Autonomie abgelehnt. LLMs werden eher als „Praktikanten" gesehen, die Informationen sammeln, aber keine kritischen Entscheidungen treffen dürfen.
6. Kosten: Negativ. Hohe Inferenzkosten und Zweifel am Return on Investment (ROI). Viele Analysten bezweifeln, dass die Kosten den Wert rechtfertigen, verglichen mit der Einstellung menschlicher Analysten.

C. Adoption und Implikationen (RQ3)

• Aktive Adoption: Ca. 53 % der diskutierenden Praktiker nutzen LLMs bereits aktiv, oft unabhängig (Shadow IT) für produktivitätssteigernde Aufgaben (Skripte, Reports).
• Unternehmensadoption: Die Adoption von Enterprise-Lösungen verlangsamt sich durch Skepsis gegenüber Marketingversprechen („Autonomous SOC"), hohe Kosten und fehlende Governance-Rahmenwerke.
• Krise der Fachkräfteentwicklung: Es besteht eine gefährliche Zirkularität: LLMs automatisieren L1-Aufgaben (Entry-Level), die traditionell zur Ausbildung von Analysten dienten. Wenn diese Aufgaben automatisiert werden, fehlt zukünftigen Analysten die praktische Erfahrung, um die Entscheidungen der KI kritisch zu hinterfragen („Co-Learning"-Paradoxon).

5. Signifikanz und Schlussfolgerungen

Die Studie liefert ein nuanciertes Bild der LLM-Nutzung in der Cybersicherheit:

• Pragmatismus statt Hype: Praktiker nutzen LLMs pragmatisch für niedrig-riskante, produktivitätssteigernde Aufgaben, lehnen aber eine vollständige Autonomie aufgrund von Zuverlässigkeits- und Sicherheitsbedenken ab.
• Vertrauen als Engpass: Die Zuverlässigkeit (Vermeidung von Halluzinationen) ist die „harte Obergrenze" für die Autonomie von LLMs in SOCs. Ohne Verifizierung durch Menschen sind LLMs kein Ersatz, sondern ein Werkzeug zur Unterstützung.
• Empfehlungen:
  • Entwicklung von vertrauenswürdigen Systemen, die Unsicherheiten transparent kommunizieren.
  • Neue Ausbildungsmodelle, die „Co-Learning" zwischen Mensch und KI fördern, um die Lücke in der Erfahrungsbildung zu schließen.
  • Klare Governance-Richtlinien für den Umgang mit Daten und die Vermeidung von „Shadow IT" bei Sicherheits-Tools.

Zusammenfassend zeigt das Paper, dass LLMs in SOCs zwar ein mächtiges Werkzeug sind („Hammer"), das sowohl bauen als auch brechen kann, deren Einsatz jedoch derzeit durch menschliche Aufsicht, Validierung und regulatorische Rahmenbedingungen stark eingeschränkt bleibt.