CISOs verschieben Compliance-Probleme unter Termindruck : KI-Code erhöht Sicherheitsrisiko
Eine Studie zeigt, dass Entwickler KI-Tools breit nutzen, Sicherheitsprüfungen aber kaum in den Entwicklungsprozess einbinden. Unternehmen mit hohem KI-Code-Anteil liefern deutlich häufiger verwundbare Software aus.
Der Sicherheitsanbieter Checkmarx hat die Ergebnisse seines diesjährigen “Future of Application Security”-Reports veröffentlicht. Grundlage ist eine Befragung von rund 2400 CISOs, AppSec-Verantwortlichen und Entwicklern aus 14 Ländern, die das Marktforschungsinstitut Censuswide im März anonym durchführte. Demnach setzen inzwischen 96 Prozent der Entwicklerinnen und Entwickler KI-Tools direkt in ihrer Entwicklungsumgebung ein und bewerten deren Nutzen überwiegend positiv.
Sicherheitsprüfungen bleiben die Ausnahme
Trotz der breiten Nutzung von KI-Werkzeugen werden Sicherheitsaspekte jedoch häufig erst spät berücksichtigt. Nur 18 Prozent der Befragten gaben an, bereits während der Entwicklung kontinuierliche Sicherheitsprüfungen durchzuführen. Bei mehr als 80 Prozent sind solche Prüfungen demnach kein fester Bestandteil des Entwicklungsprozesses. Schwachstellen werden stattdessen oft erst in späteren Phasen oder nach einem Vorfall erkannt.
Besonders deutlich wird der Druck auf der Führungsebene: 95 Prozent der befragten CISOs geben an, unter Druck zu stehen, Compliance-relevante Sicherheitsprobleme zurückzustellen, wenn Projektfristen gefährdet sind. Das deckt sich mit einem strukturellen Befund der Studie: Drei Viertel der Unternehmen haben nach eigenen Angaben bereits wissentlich verwundbare Software ausgeliefert. Als Gründe nennen sie Zeitdruck, die Komplexität der Systeme sowie die Hoffnung, dass Schwachstellen unentdeckt bleiben.
Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx, sieht darin eine ungelöste Umsetzungsfrage. Entscheidend sei es, Sicherheit als festen Bestandteil der Entwicklungsprozesse zu verankern, identifizierte Schwachstellen konsequent zu priorisieren und zeitnah zu beheben. Nur so ließen sich die Vorteile KI-gestützter Entwicklung nutzen, ohne zusätzliche Risiken in Kauf zu nehmen.
Hoher KI-Code-Anteil korreliert mit mehr Schwachstellen
Die Studie weist zudem auf einen Zusammenhang zwischen dem Anteil KI-generierten Codes und dem Sicherheitsniveau von Anwendungen hin. Unternehmen, deren Produktivcode zu 81 bis 100 Prozent von KI erzeugt wird, liefern laut Checkmarx mehr als dreimal so häufig verwundbare Software aus wie Unternehmen mit einem KI-Code-Anteil von lediglich 1 bis 20 Prozent. Konkret nennt die Studie eine Quote von 47 gegenüber 14 Prozent.
Sandeep Johri, CEO von Checkmarx, ordnet die Zahlen ein: Viele Unternehmen hätten die Risiken zwar erkannt, entwickelten ihre Sicherheitsmaßnahmen jedoch nicht im gleichen Tempo weiter. KI könne die Softwareentwicklung erheblich beschleunigen, erhöhe aber zugleich das Risiko und ersetze keine wirksamen Sicherheitskontrollen. Erforderlich seien nach seiner Darstellung Ansätze, die deterministische Prüfverfahren mit KI-gestützten, probabilistischen Analyse- und Bewertungsverfahren kombinieren, neue Angriffsmuster erkennen und Sicherheitsteams in die Lage versetzen, Schwachstellen schneller zu beheben.
Als weitere Best Practices nennt der Report hybride Ansätze aus deterministischen und KI-gestützten Verfahren, klare Governance-Vorgaben für den KI-Einsatz sowie eine weitgehende Automatisierung der Schwachstellenbehebung. Hintergrund sei eine sich verändernde Bedrohungslandschaft: Mit der Verbreitung leistungsstarker KI-Modelle entstünden neue Angriffsflächen, während sich die Zeitspanne zwischen Entdeckung und Ausnutzung von Schwachstellen weiter verkürze.
Selbstbild und Realität klaffen auseinander
Darüber hinaus gebe es eine Diskrepanz zwischen der Selbsteinschätzung der Unternehmen und ihrer tatsächlichen Sicherheitslage. So berichten 93 Prozent der befragten Unternehmen von einem Sicherheitsvorfall im Zusammenhang mit den eigenen Anwendungen. Gleichzeitig beschreiben 73 Prozent ihr eigenes Sicherheitsniveau als „Advanced“ oder „Highly Mature“.
Beim Thema Governance sieht Checkmarx erheblichen Nachholbedarf. 78 Prozent der Unternehmen verfügen demnach über keine klaren Vorgaben für den KI-Einsatz. Dadurch steige das Risiko einer unkontrollierten Verbreitung sogenannter Schatten-KI und verwundbaren Codes. Immerhin zeigt sich laut Studie eine leichte Bewegung: Der Anteil der Unternehmen, die wissentlich verwundbare Software ausliefern, sank innerhalb eines Jahres von 81 auf 75 Prozent, während der Anteil der Unternehmen mit klaren KI-Governance-Vorgaben von 18 auf 22 Prozent stieg. Angesichts der sich verkürzenden Zeitspanne zwischen Entdeckung und Ausnutzung von Schwachstellen bewertet Checkmarx diese Fortschritte jedoch als nicht ausreichend.
Auch bei der Behebung von Schwachstellen zeigt sich ein kritisches Bild, insbesondere in Europa. 35 Prozent der dort befragten Unternehmen gelingt es nicht, innerhalb von drei Monaten mehr als die Hälfte der identifizierten Sicherheitslücken zu schließen. Die Studie verweist damit auf eine wachsende Kluft zwischen Unternehmen, die ihre Sicherheitsstrategien an die neue Bedrohungslage anpassen, und jenen, die weiterhin darauf setzen, dass Schwachstellen unentdeckt bleiben.
Der vollständige Report steht kostenfrei zum Download bereit. (Registrierung erforderlich)