Google erweitert seine Threat-Intelligence-Plattform um ein neues, auf Gemini-KI basierendes Modul, das automatisiert das Darknet überwacht und sicherheitsrelevante Inhalte für einzelne Unternehmen herausfiltert. Der Dienst steht bereits als öffentliches Preview zur Verfügung und adressiert ein Kernproblem moderner Security Operations Center (SOC): zu viel Rauschen, zu wenig Relevanz.
KI-basiertes Darknet-Monitoring: Von Stichwortsuche zu Kontextverständnis
Nach Angaben von Google analysieren die Gemini-Agenten täglich 8 bis 10 Millionen Beiträge auf Darknet-Plattformen – darunter Foren, Marktplätze und geschlossene Chat-Umgebungen. Im Fokus stehen nicht nur Erwähnungen von Markennamen, sondern vor allem tatsächlich verwertbare Indikatoren für Bedrohungen.
Besonders priorisiert werden unter anderem Aktivitäten von Initial Access Brokern (Verkauf kompromittierter Zugänge und VPN-Accounts), Daten- und Account-Leaks, Insider-Angebote sowie Hinweise auf geplante Angriffe und neuartige Angriffswerkzeuge. Damit deckt das System zentrale Taktiken ab, die auch in Berichten wie dem Verizon Data Breach Investigations Report regelmäßig als Einfallstor für Angriffe genannt werden.
Google verweist auf interne Tests mit bis zu 98 % Treffergenauigkeit. Diese Zahl deutet auf eine deutliche Reduktion von Fehlalarmen hin, muss in der Praxis jedoch für jede Organisation individuell validiert und durch Fein-Tuning der Erkennungslogik ergänzt werden.
Warum klassische Darknet-Überwachung an ihre Grenzen stößt
Viele etablierte Darknet-Monitoring-Lösungen basieren weiterhin auf Keyword-Suche und regulären Ausdrücken. Dieser Ansatz erkennt selten den Kontext, ignoriert Slang und Codewörter und erzeugt dadurch hohe Raten an False Positives. In der Praxis berichten SOC-Teams häufig von 80–90 % irrelevanten Alerts, was direkt zu Alert Fatigue führt.
Gemini verfolgt hier einen anderen Ansatz: Statt reiner Zeichenkettenvergleiche setzt Google auf semantisches und kontextuelles Verständnis. Die KI interpretiert Formulierungen, Umschreibungen und Szenejargon und kann so besser zwischen allgemeiner Diskussion und konkreter Bedrohung für ein bestimmtes Unternehmen unterscheiden.
Organisationsprofil als Grundlage für präzise Threat Intelligence
Beim ersten Einsatz erstellt der Dienst anhand öffentlich zugänglicher Informationen (OSINT) ein detailliertes Profil der Zielorganisation. Dieser Schritt dauert laut Google nur wenige Minuten und bildet die Grundlage für alle weiteren Korrelationen.
Das Profil umfasst unter anderem zentrale Geschäftsbereiche und Regionen, den Technologie-Stack (z. B. bestimmte Cloud-Plattformen oder ERP-Systeme), VIP-Personen wie Vorstände und exponierte Führungskräfte sowie Marken, Produktlinien und Tochtergesellschaften. Jeder Eintrag wird mit Quellenangaben versehen, sodass Sicherheitsteams Inhalte prüfen und bei Bedarf korrigieren können.
Vektorbasierte Analyse und Priorisierung von Darknet-Treffern
Auf Basis dieses Profils wertet Gemini fortlaufend neu erkannte Darknet-Inhalte aus. Die KI übersetzt Textbeschreibungen in Vektor-Repräsentationen – also mathematische Punkte in einem mehrdimensionalen Merkmalsraum – und vergleicht diese mit dem Organisationsprofil. Dieses Verfahren, das aus der modernen Sprachmodellforschung stammt, erlaubt eine feinere Ähnlichkeitsanalyse als klassische Suchbegriffe.
Jeder Treffer wird nach Relevanz priorisiert: von direkten Erwähnungen von Unternehmensnamen, Domains oder Systemen bis hin zu indirekten Übereinstimmungen bezüglich Branche, Unternehmensgröße oder Region. Ein von Google genanntes Beispiel: Wird im Darknet der Zugang zu einer „großen nordamerikanischen Bank mit über 50.000 Mitarbeitenden und 50 Milliarden Dollar Assets“ angeboten, kann das System diesen Eintrag als kritische Bedrohung einstufen, selbst wenn der konkrete Name des Instituts nicht genannt wird.
Zusätzlich stützt sich der Dienst auf Erkenntnisse der Google Threat Intelligence Group, die die Aktivitäten von 627 Hackergruppen verfolgt. Dadurch lassen sich neue Indikatoren bestimmten Akteursclustern zuordnen, was die Risikoabschätzung weiter präzisiert.
Gemini-Agenten in Google Security Operations: Auf dem Weg zum teilautonomen SOC
Parallel zum Darknet-Modul führt Google KI-Agenten für Google Security Operations im Preview ein. Diese sollen den gesamten Lebenszyklus von Sicherheitsvorfällen unterstützen – von der automatisierten Triage bis zur Vorbereitung von Reaktionsmaßnahmen.
Die Agenten können eingehende Alerts analysieren, Logdaten, Telemetrie und Netzwerkevents zusammenführen, Hypothesen zum Angriffspfad formulieren und die eigene Entscheidungslogik in verständlicher Sprache dokumentieren. Für überlastete SOCs kann dies die durchschnittliche Untersuchungszeit pro Vorfall deutlich reduzieren – ein Ziel, das auch in Branchenstudien wie dem IBM Cost of a Data Breach Report als zentraler Erfolgsfaktor genannt wird.
Durch die Unterstützung des Model Context Protocol (MCP) lassen sich zudem kundenindividuelle Security-Agenten erstellen, die Besonderheiten der eigenen Infrastruktur und Prozesse berücksichtigen. Die GA-Verfügbarkeit von Remote-MCP-Servern erleichtert die Integration in bestehende SIEM-/SOAR-Workflows und eröffnet Szenarien, in denen Routineaufgaben weitgehend automatisiert ablaufen, während menschliche Analysten die Kontrolle und Eskalationshoheit behalten.
Unternehmen sollten diese Entwicklungen als Anlass nutzen, ihre Threat-Intelligence- und Incident-Response-Prozesse zu überprüfen: Wo lässt sich KI sinnvoll einsetzen, um Rauschen und Fehlalarme zu reduzieren? Wie können SOC-Teams geschult werden, effektiv mit KI-Agenten zusammenzuarbeiten? Und wie werden neue Dienste sauber in die bestehende Sicherheitsarchitektur integriert? Wer diese Fragen frühzeitig adressiert, erhöht die Chance, Aktivitäten von Initial Access Brokern, Datenabflüsse und zielgerichtete Angriffe bereits im Darknet-Stadium zu erkennen – bevor sie sich zu kostspieligen Sicherheitsvorfällen auswachsen.
