Checkmarx-Studie: 95 Prozent der CISOs stehen unter Druck, Compliance-relevante Sicherheitsprobleme zurückzustellen

Illustration Absmeier foto magnific

Trotz gestiegenen Sicherheitsbewusstseins liefern viele Unternehmen weiterhin verwundbare Software aus.

 

Checkmarx, Marktführer für autonome, Cloud-native Anwendungssicherheit, hat die Ergebnisse seines diesjährigen Future of Application Security Reports vorgestellt [1]. Demnach nutzen inzwischen 96 Prozent der Entwicklerinnen und Entwickler KI-Tools in ihrer IDE und bewerten deren Nutzen überwiegend positiv. Allerdings geben lediglich 18 Prozent an, bereits während der Entwicklung kontinuierliche Sicherheitsprüfungen durchzuführen. Gleichzeitig geben 95 Prozent der CISOs an, unter Druck zu stehen, Compliance-relevante Sicherheitsprobleme zurückzustellen, wenn Projektfristen gefährdet sind. Für die Studie wurden 2.350 CISOs, AppSec-Verantwortliche und Entwickler aus 14 Ländern befragt.

Die Ergebnisse weisen zudem auf einen Zusammenhang zwischen dem Anteil an KI-generiertem Code und dem Sicherheitsniveau von Anwendungen hin: Unternehmen, deren Produktivcode zu 81 bis 100 Prozent KI generiert ist, liefern laut Studie mehr als dreimal so häufig verwundbare Software aus wie Unternehmen mit einem KI-Code-Anteil von lediglich 1 bis 20 Prozent (47 gegenüber 14 Prozent). Grundsätzlich zeigt sich ein strukturelles Problem: Drei Viertel der Unternehmen haben nach eigenen Angaben bereits wissentlich verwundbare Software ausgeliefert. Als Gründe nennen sie Zeitdruck, Komplexität sowie die Hoffnung, dass Schwachstellen unentdeckt bleiben.

 

Sicherheitsstrategien müssen sich an die veränderte Bedrohungslandschaft anpassen

Mit der zunehmenden Verbreitung leistungsstarker KI-Modelle entstehen neue Angriffsflächen, während sich die Zeitspanne zwischen der Entdeckung und der Ausnutzung von Schwachstellen weiter verkürzt [2]. Zu den Best Practices für die Absicherung KI-gestützter Softwareentwicklung zählen laut Report hybride Ansätze, die deterministische Prüfverfahren mit KI-gestützten Analyse- und Bewertungsverfahren kombinieren, klare Governance-Vorgaben für den Einsatz von KI sowie die weitgehende Automatisierung der Schwachstellenbehebung. Die Studienergebnisse zeigen zugleich eine wachsende Kluft zwischen Unternehmen, die ihre Sicherheitsstrategien an die veränderte Bedrohungslandschaft anpassen, und jenen, die weiterhin darauf hoffen, dass Schwachstellen unentdeckt bleiben.

Die wichtigsten Ergebnisse der Studie im Überblick:

Sicherheit wird häufig erst nachgelagert berücksichtigt:
Kontinuierliche Sicherheitsprüfungen sind bei mehr als 80 Prozent der Befragten bislang nicht fester Bestandteil des Entwicklungsprozesses. Schwachstellen werden stattdessen häufig erst in späteren Phasen oder nach einem Vorfall erkannt.

Unternehmen erkennen die Risiken von KI, handeln jedoch nur zögerlich:
Der Anteil der Unternehmen, die nach eigenen Angaben wissentlich verwundbare Software ausliefern, sank innerhalb eines Jahres von 81 auf 75 Prozent. Gleichzeitig stieg der Anteil der Unternehmen mit klaren Governance-Vorgaben für den Einsatz von KI von 18 auf 22 Prozent. Da sich die Zeitspanne zwischen der Entdeckung und der Ausnutzung von Schwachstellen weiter verkürzt, sind diese Fortschritte jedoch nicht ausreichend [3].

Selbstbild und Realität klaffen auseinander:
93 Prozent der befragten Unternehmen berichten von einem Sicherheitsvorfall im Zusammenhang mit eigenen Anwendungen. Gleichzeitig beschreiben 73 Prozent ihr Sicherheitsniveau als »Advanced« oder »Highly Mature«.

Bei der KI-Governance besteht weiterhin erheblicher Nachholbedarf:
78 Prozent der Unternehmen verfügen laut Studie über keine klaren Vorgaben. Dadurch steigt das Risiko einer unkontrollierten Verbreitung von Schatten-KI und verwundbarem Code.

 

»Der Report macht deutlich, dass viele Unternehmen die Risiken zwar erkannt haben, ihre Sicherheitsmaßnahmen jedoch nicht im gleichen Tempo weiterentwickeln«, erklärt Sandeep Johri, CEO von Checkmarx. »KI kann die Softwareentwicklung erheblich beschleunigen, erhöht jedoch auch das Risiko und ersetzt keine wirksamen Sicherheitskontrollen. Erforderlich sind Ansätze, die deterministische Prüfverfahren mit KI-gestützten, probabilistischen Analyse- und Bewertungsverfahren kombinieren, neue Angriffsmuster zuverlässig erkennen und Sicherheitsteams in die Lage versetzen, Schwachstellen schneller und gezielter zu beheben.«

Was die Schwachstellenbehebung angeht, zeichnen die europäischen Ergebnisse ein besorgniserregendes Bild: 35 Prozent der befragten Unternehmen gelingt es nicht, innerhalb von drei Monaten mehr als die Hälfte der identifizierten Sicherheitslücken zu schließen.

»Die Zahlen zeigen, dass viele Unternehmen bei der Umsetzung von Anwendungssicherheit weiterhin vor erheblichen Herausforderungen stehen«, so Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx. »Entscheidend ist, Sicherheit als festen Bestandteil von Entwicklungsprozessen zu verankern, identifizierte Schwachstellen konsequent zu priorisieren und zeitnah zu beheben. Nur so lassen sich die Vorteile KI-gestützter Entwicklung nutzen, ohne zusätzliche Risiken in Kauf zu nehmen.«

Die Ergebnisse werden auch auf dem virtuellen Agentic AppSec Unleashed Summit vorgestellt, den Checkmarx am 16. Juni 2026 veranstaltet [4]. Security- und Engineering-Verantwortliche aus führenden Unternehmen werden dort gemeinsam mit Branchenexperten und Führungskräften von Checkmarx aktuelle Herausforderungen und Lösungsansätze für die sichere Softwareentwicklung im KI-Zeitalter diskutieren.

Für den Future of Application Security Report befragte Censuswide im Auftrag von Checkmarx zwischen dem 10. und 30. März 2026 insgesamt 2.350 CISOs, AppSec-Verantwortliche und Entwickler aus 14 Ländern. Die Teilnahme erfolgte anonym. Censuswide ist Mitglied der Market Research Society (MRS) sowie des British Polling Council und arbeitet nach den Richtlinien des MRS Code of Conduct und den ESOMAR-Prinzipien.

 

[1] Der vollständige Report steht kostenfrei zum Download bereit: https://checkmarx.com/foa-report/
[2] https://checkmarx.com/blog/somethings-wrong-with-your-code-and-attackers-know-it/
[3] https://checkmarx.com/blog/two-fronts-one-risk-securing-yesterdays-debt-and-todays-ai-code/
[4] https://checkmarx.ai/

 

8071 Artikel zu „Sicherheit Software“

Fast alle Unternehmen betreiben Software mit bekannten Sicherheitslücken

Moderne Sicherheitsteams stecken zwischen veralteter Software mit bekannten Schwachstellen und zu schneller Automatisierung, die die Gefahr birgt, bösartige oder kompromittierte Software gleich mit zu installieren fest. Das Ergebnis ist eine wachsende Lücke zwischen dem Sicherheitsgefühl vieler Organisationen und dem realen Risiko, das bereits in der Produktion läuft.   Der State of DevSecOps Report 2026 zeigt:…

So gehen Unternehmen Sicherheitsrisiken innerhalb der KI- und Softwarelieferketten an

Die Anzahl der Unternehmen, die sogenannte Adversarial Tests (Angriffsfälle) durchführen, hat sich im Vergleich zum Vorjahr verdoppelt. Die Anzahl der Unternehmen, die eine Software Composition Analysis (SCA) für Code-Repositorien nutzen, ist um 67 % gestiegen. Die Zahl der Firmen, die Forschungsgruppen beschäftigen, um neue Angriffsmethoden zu entwickeln, hat sich um 30 % erhöht. Die Zahl…

Building Security in Maturity Model – ein Leitfaden für mehr Softwaresicherheit

  Unabhängig davon, welches Geschäftsmodell einem Unternehmen zugrunde liegt, heutzutage ist es zwangsläufig ein Softwareunternehmen – auch dann, wenn es selbst keine Softwarelösungen anbietet. Das Building Security in Maturity Model (BSIMM) ist dabei mehr als ein Tool, es ist auch eine Gemeinschaft von Unternehmen, die auf dasselbe Ziel hinarbeiten [1].   BSIMM, der jährlich erscheinende Bericht…

Generative KI hat enorme Auswirkungen auf Softwareentwicklung und Softwaresicherheit

Seit der Veröffentlichung von ChatGPT im November 2022 arbeitet die Technologiebranche daran, solche auf annähernd menschlichem Level funktionierenden Konversationsschnittstellen zu etablieren und praktisch zu nutzen. Fast jedes größere Unternehmen verbindet heute seine interne oder produktbezogene Dokumentation mit einem großen Sprachmodell, sogenannten »Large Language Models« oder kurz LLMs, um Fragen möglichst schnell zu beantworten. Gleichzeitig kommen…

Cloud-Euphorie – Kooperation zwischen BMC Software und Materna für mehr Datensicherheit

Laut PWC wächst in Deutschland in der Bankenbranche die Begeisterung für die Cloud und auch Versicherungen und Behörden beginnen sich für die Public Cloud zu öffnen [1]. Die Anforderungen in Deutschland sind allerdings bei der Datensicherheit weiterhin sehr hoch. Drei von diesen stechen besonders hervor: Datenresidenz, Zugriff auf die Daten und Betrieb.

SBOM Stücklisten für Software: Unerlässlich für mehr Cybersicherheit 

Softwarestücklisten (Software Bill of Materials, kurz SBOM) bilden ein wichtiges Fundament für die Sicherheit von Softwarelieferketten, aber auch für andere Bereiche der IT-Sicherheit im Unternehmen. Deshalb kann heute kein Unternehmen auf SBOMs verzichten.    Die meisten proprietären Anwendungen und viele Open-Source-Programme enthalten nicht nur eigenen Quellcode, sondern oft auch weiteren, externen Code für bestimmte Funktionen.…

»State of Software Security 2023« zeigt, wie sich Sicherheitslücken in Anwendungen verändern

Über 30 Prozent der Anwendungen enthalten Fehler beim ersten Scan; nach fünf Jahren haben fast 70 Prozent der Apps mindestens einen Fehler.   Der neu veröffentlichte Report »State of Software Security 2023« von Veracode, dem weltweit führenden Anbieter von Application Security Testing (AST), zeigt auf, wie sich Schwachstellen in Anwendungen über die Zeit verändern: sind…

Die Zukunft der Softwaresicherheit – und was man dabei im Blick behalten sollte

In den meisten Fällen sind wir dann stärker, wenn wir zusammenhalten. Das gilt nicht zuletzt auch für die Cybersicherheit. Erkenntnisse austauschen, gegenseitig aus Fehlern und Erfolgen lernen, darüber diskutieren, wie sich die Bedrohungslandschaft entwickelt und wie man am besten darauf reagiert, all das bereitet uns besser auf die Zukunft und die damit verbundenen Herausforderungen vor.…

BSIMM13: Grundlegende Verbesserung der Softwaresicherheit

Wer sich mit den aktuellen Trends des BSIMM13-Berichts auseinandersetzt, ist deutlich besser in der Lage, die eigenen Sicherheitsbemühungen strategisch anzugehen.   Das jährlich erscheinende »Building Security in Maturity Model« (besser bekannt unter dem Namen »BSIMM Report«), inzwischen in der 13. Auflage, ist das Ergebnis einer mehrjährigen Studie über in Unternehmen existierende Software-Security-Initiatives (SSIs). Als datengesteuertes…

Sicherheit in der Software Supply Chain – DevOps braucht DevSecOps

Im Gespräch erklärt Frank Fischer, Product Marketing bei Snyk, warum Open Source in Software-Projekten gleichzeitig Fluch und Segen sein kann, warum Sicherheit integraler Bestandteil jedes Prozessschrittes in DevOps werden muss und das Security im Wesentlichen aus den drei Aspekten Technologie, Prozesse und Menschen besteht und die alle gleich bedacht und gestärkt werden müssen.

Investitionen in die Sicherheit der Softwarelieferkette steigen

Neue Untersuchung zeigt, dass 73 % der Unternehmen infolge von Log4Shell, SolarWinds und Kaseya deutlich mehr in die Sicherheit der Softwarelieferkette investiert haben. Die von der Enterprise Strategy Group durchgeführte Studie bestätigt, wie  verbreitet Risiken in der Softwarelieferkette bei Cloud-nativen Anwendungen sind.   Synopsys hat eine neue Untersuchung veröffentlicht. Sie basiert auf einer kürzlich durchgeführten…

Stücklisten für Software: Unerlässlich für mehr Cybersicherheit 

Softwarestücklisten (Software Bill of Materials, kurz SBOM) bilden ein wichtiges Fundament für die Sicherheit von Softwarelieferketten, aber auch für andere Bereiche der IT-Sicherheit im Unternehmen. Deshalb kann heute kein Unternehmen auf SBOMs verzichten.    Die meisten proprietären Anwendungen und viele Open-Source-Programme enthalten nicht nur eigenen Quellcode, sondern oft auch weiteren, externen Code für bestimmte Funktionen.…

Sicherheitsrisiken in der Softwarelieferkette managen

Bei der modernen Softwareentwicklung verlassen Teams sich auf eine Mischung aus proprietärem und Open-Source-Code, Kommunikations-APIs, Protokollen und Geschäftslogik. Die Aufgabenstellung ist komplex, und der Druck, den Code möglichst schnell zu liefern, wächst stetig. Das führt oftmals dazu, dass Entwickler darauf verzichten, eine genaue Bestandsaufnahme aller Komponenten in der Softwarelieferkette durchzuführen.   Dies birgt schwerwiegende Risiken,…

Mehr Sicherheit in der Softwarelieferkette – und wie man dafür den Grundstein legt

Im weitesten Sinne gehört zu einer Lieferkette alles, was zur Herstellung und Lieferung eines Produkts an den Endverbraucher erforderlich ist. Bei einer Softwarelieferkette verhält es sich nicht anders – der einzige Unterschied besteht darin, dass sie sich auf Code und Anwendungen sowie auf alles bezieht, was mit deren Entwicklung und Bereitstellung zu tun hat. Genauso…

Risikobasierte Sicherheit in der Software-Entwicklung

In der allgemeinen Informationssicherheit sind Risiko-gestützte Vorgehensweisen mit entsprechend priorisierten und dosierten Einzelmaßnahmen längst »State of the Art«. In der Software-Entwicklung dagegen gilt nach wie vor meist der Grundsatz: »Alle Fehler sind auszumerzen«. Vor dem Hintergrund der Komplexität und notwendigen Agilität heutiger Projekte sollte diese Maxime überdacht werden.   Von der Maxime, »absolute Sicherheit« in…

Sicherheitsbedenken in der Software-Lieferkette

64 Prozent der Führungskräfte wissen nicht, an wen sie sich im Falle eines Angriffs auf ihre Lieferkette wenden könnten. Eine neue globale Umfrage unter Führungskräften wurde von CloudBees, Spezialist für die Bereitstellung von Unternehmenssoftware, veröffentlicht. Sie zeigt ein hohes Vertrauen in die Sicherheit der Software-Lieferkette, aber ein begrenztes Verständnis für die wesentlichen Komponenten, die eine…

Softwareentwicklung erste Wahl bei Informatikstudenten: Sicherheitsausbildung mangelhaft

Studie zeigt Bildungslücken künftiger Entwickler bei IT-Sicherheit und Programmiersprachen auf. Unter den Informatikstudenten, die gerade ihr Studium abgeschlossen haben, rangiert Softwareentwicklung an erster Stelle bei der Berufswahl. Dies ist das Ergebnis einer Befragung von CloudBees mit 1000 Teilnehmern zwischen 19 und 24 Jahren aus Deutschland, Frankreich, den USA und dem Vereinigten Königreich. 90 % der…

Software-Sicherheitstrends 2021

Die Spezialisten von Checkmarx sagen für 2021 einige grundlegende Security-Trends voraus. So müssen Unternehmen die Sicherheit schneller machen, mehr auf Open-Source-Angriffe achten, Infrastructure-as-Code ins Auge fassen, die Integration der Security in die Software-Entwicklung vorantreiben, einen ganzheitlichen Blick auf das Security-Standing ihrer Anwendungen werfen, Cloud-native Security in den Fokus rücken, anfällige APIs als Hauptursache software- und…

Von der Zielscheibe zur Festung: Cloud-Software bringt kleinen Betrieben Sicherheit 

Wer denkt, sein Unternehmen ist zu klein und daher für Hacker kein lohnendes Ziel, liegt falsch. Denn nicht nur große Betriebe und Einrichtungen von öffentlichem Interesse sind von Cyberangriffen betroffen. Auch kleine Firmen oder Startups fallen ihnen immer häufiger zum Opfer. Die Cloud kann hier Abhilfe leisten: Provider von Cloud-Software und -Infrastrukturen ermöglichen Unternehmen ohne…