Microsoft revolutioniert seine Sicherheitsplattform Sentinel mit autonomen KI-Systemen. Die neue "agentische" Architektur soll Cyberangriffe in Minuten statt Tagen abwehren und markiert einen Wendepunkt im Kampf gegen moderne Bedrohungen.

Der Tech-Riese aus Redmond verwandelt sein traditionelles SIEM-Tool (Security Information and Event Management) in eine dynamische, KI-gesteuerte Plattform. Im Zentrum steht Microsofts Security Copilot, der spezialisierte KI-Agenten koordiniert – autonome Systeme, die komplexe Sicherheitsaufgaben eigenständig bewältigen.

"Angriffe bewegen sich sehr schnell durch das System. Manchmal ist das Sicherheitsteam manuell einfach nicht mehr schnell genug", erklärt Scott Woodgate, General Manager für Bedrohungsschutz bei Microsoft. Die Lösung: KI-Systeme, die mit der Geschwindigkeit von Algorithmen operieren.

Neue Architektur für das KI-Zeitalter

Das Herzstück der Transformation bildet eine komplett überarbeitete Sentinel-Architektur. Der neue Sentinel-Datensee ist bereits verfügbar und ermöglicht kostengünstiges Speichern enormer Mengen strukturierter und unstrukturierter Sicherheitsdaten. Organisationen können kritische Telemetriedaten länger vorhalten – die Basis für tiefere Analysen und effektiveres maschinelles Lernen.

Ergänzend dazu befindet sich der Sentinel-Graph in der öffentlichen Vorschau. Diese Technologie kartiert komplexe Beziehungen zwischen verschiedenen Entitäten – Nutzer, Geräte, Warnmeldungen und Assets – quer durch Microsofts Sicherheitsprodukte. Den dritten Baustein bildet der Sentinel Model Context Protocol (MCP) Server als Middleware-Schicht.

Das Protokoll ermöglicht KI-Agenten den sicheren Zugriff auf Echtzeitdaten aus dem Graphen. Billionen von Bedrohungssignalen werden so in verwertbare Erkenntnisse umgewandelt.

Autonome Agenten übernehmen Sicherheitsaufgaben

Microsofts neue Strategie setzt auf "agentische KI" – spezialisierte, autonome Systeme für spezifische Sicherheitsfunktionen. Diese Agenten entlasten menschliche Analysten von repetitiven, volumenstarken Aufgaben und schaffen Raum für komplexere Bedrohungsanalysen.

Ein Phishing-Triage-Agent durchkämmt beispielsweise tausende gemeldete E-Mails, analysiert Inhalte und Links und unterscheidet echte Bedrohungen von harmlosen Nachrichten. Ein anderer Agent kann kompromittierte Nutzeridentitäten in unter drei Minuten deaktivieren – eine Geschwindigkeit, die manuell unmöglich wäre.

Besonders bemerkenswert: der neue No-Code-Agent-Builder in Security Copilot. Sicherheitsteams können eigene Agenten in natürlicher Sprache erstellen. Eine einfache Aufgabenbeschreibung genügt – der Agent versteht automatisch technische Details und Datenquellen, greift auf Sentinel und Microsoft Purview zu und führt seine Funktion aus.

Governance und Sicherheit im KI-Zeitalter

Microsoft ist sich der Risiken autonomer KI bewusst und hat ein umfassendes Governance-Framework entwickelt. Die neue Entra Agent ID hilft Organisationen dabei, ihre gesamte KI-Agenten-Flotte zu entdecken, zu verfolgen und zu verwalten. Jeder Agent erhält eine überprüfbare Identität – seine Aktionen bleiben nachvollziehbar.

Die Plattform erkennt erweiterte Prompt-Injection-Angriffe, bei denen Angreifer versuchen, KI-Modelle zu manipulieren. "Agent Task Adherence Guardrails" greifen in Echtzeit ein und halten Agenten bei ihren designierten Aufgaben. Der Zugriff auf sensible Daten wie personenbezogene Informationen bleibt verwehrt.

Agenten müssen ihre Entscheidungsprozesse dokumentieren und Datenquellen zitieren – für menschliche Aufsicht und Verantwortlichkeit. Microsoft räumt Fehlerrisiken ein, betont aber: Die Tools agieren nur mit "sehr hohem Vertrauen" und Kunden behalten die ultimative Kontrolle.

Schließung der KI-Lücke in der Cybersicherheit

Microsofts aggressive KI-Offensive kommt zur rechten Zeit. Eine aktuelle Studie von DXC Technology und Microsoft offenbart eine bedeutende Lücke bei der Integration fortgeschrittener KI-Technologien für die Verteidigung. Während 83 Prozent der Zero-Trust-Organisationen weniger Sicherheitsvorfälle melden, nutzen nur 30 Prozent KI-gestützte Tools. Veraltete IT-Infrastruktur gilt als Haupthindernis.

Microsofts Strategie adressiert diese Herausforderung direkt: KI wird tief in bestehende, weitverbreitete Sicherheitsplattformen eingebettet. Durch native KI-Funktionen in Sentinel, Defender, Entra und Purview senkt das Unternehmen die Eintrittsbarriere für tausende Unternehmenskunden.

Ausblick: Microsoft Ignite als Showcase

Die jüngsten Ankündigungen sind erst der Anfang einer "neuen Generation der Verteidigung". Microsoft positioniert die weiterentwickelte Sentinel-Plattform als Rückgrat künftiger Sicherheitsoperationen. Der Fokus auf ein offenes Ökosystem deutet auf eine Zukunft hochgradig angepasster, kontinuierlich adaptierender Sicherheitslösungen hin.

Mehr Details wird die Microsoft Ignite Konferenz vom 17. bis 21. November 2025 in San Francisco enthüllen. Die Veranstaltung wird als große Bühne für diese neuen KI- und Sicherheitsintegrationen dienen – mit Tiefenanalysen, praktischen Laboren und strategischen Diskussionen zur Absicherung von KI im Unternehmen.