LLM‑Sicherheitsplanung: Halluzinationen reduziert, Reaktionszeit verkürzt

Large Language Models (LLMs) werden zunehmend als Entscheidungshilfe im Sicherheitsmanagement eingesetzt, etwa bei der Planung von Incident‑Response‑Strategien. Ihre größte Schwäche bleibt jedoch die Neigung zu Halluzinationen, die die Zuverlässigkeit von Sicherheitsentscheidungen gefährdet.

In der vorliegenden Arbeit wird ein systematisches Framework vorgestellt, das LLMs in einen iterativen Entscheidungs‑Loop integriert. Das Modell generiert zunächst mögliche Maßnahmen, die anschließend auf Konsistenz mit systeminternen Beschränkungen und vorausschauenden Prognosen geprüft werden. Bei niedriger Konsistenz werden die Vorschläge verworfen und stattdessen externes Feedback – etwa aus einem digitalen Zwilling – eingeholt. Dieses Feedback fließt in einen In‑Context‑Learning‑Schritt ein, um die Kandidaten weiter zu verfeinern.

Die Autoren zeigen theoretisch, dass die Kontrolle des Halluzinationsrisikos durch Anpassen eines Konsistenz‑Schwellwerts möglich ist und liefern unter bestimmten Annahmen eine obere Schranke für den Regret‑Wert des ICL‑Verfahrens. Damit wird die Zuverlässigkeit der LLM‑unterstützten Entscheidungen quantifiziert.

In praktischen Tests wurde das Framework auf einen Incident‑Response‑Use‑Case angewendet, bei dem ein Reaktions‑ und Wiederherstellungsplan aus Systemprotokollen erstellt werden soll. Vier öffentliche Datensätze zeigten, dass die neue Methode die Wiederherstellungszeit im Vergleich zu führenden LLM‑Modellen um bis zu 30 % verkürzt.