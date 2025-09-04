Künstliche Intelligenz ist auch beim Erstellen von Anwendungs-Code beliebt wie nie und mittlerweile allgegenwärtig. Doch wo liegen die Gefahren für die Application Security beim unbedachten Einsatz als Coding-Hilfe? Wo die Chancen für den AppSec-Bereich? Cycode hat die Lage analysiert.
Generative künstliche Intelligenz verbreitet sich rasant und erleichtert den Arbeitsalltag in vielen Branchen. Teils stößt GenAI für Mitarbeitende sogar Türen in Geschäftsbereiche auf, die zuvor komplett verschlossen geblieben sind. Dazu zählen seit geraumer Zeit auch Low-Code- und No-Code-Plattformen, die zu sogenannten Citizen Developers, also Entwicklern ohne technischen Background führten. Doch generative KI abstrahiert selbst die letzten Hürden: Heute kann jeder Anwendungen entwickeln und Code erstellen (lassen). Ein einfacher Prompt in natürlicher Sprache genügt – etwa so: »Erstelle mir eine Taschenrechner-Anwendung in Java, die ein Umrechnen von Werten in verschiedene Währungen ermöglicht«. Schon spuckt der GenAI-Bot den Quellcode aus.
Vibe-Hype versus Sicherheit
Was dieses sogenannte Vibe-Coding allerdings nicht adressiert, ist der Umstand, dass die KI zwar angewiesen werden kann, sicheren Code zu schreiben. Aber wer soll das überprüfen? Die Citizen Developers können es nicht und da auch keine regulierende No-Code- oder Low-Code-Plattform ihrer Coding-Kreativität sicherheitstechnische Grenzen setzt, erstellen Laien mehr und mehr Code, der teilweise ohne Sicherheits-Check in Produktivumgebungen übernommen wird. Der KI vertrauen, dass sie diesen Code sicher erstellt, ist keine Option, denn das ist weder sinnvoll noch tragbar, auch wenn es möglicherweise der Wunschtraum für die Zukunft sein mag.
Die aktuelle Realität sieht jedoch anders aus: Mit jeder der vielen Milliarden Zeilen Code, die GenAI heute im Auftrag der User generiert, vergrößert sich die Angriffsfläche – und die Notwendigkeit, eine sinnvolle Application-Security-Strategie zu besitzen. Dazu gehört unter anderem, Cyber- und Anwendungssicherheit per Shift Left zu implementieren, also bereits zum Zeitpunkt der Code-Erstellung und nicht erst im Nachhinein beim Prüfen der fertigen Anwendung. Denn ab einer bestimmten Größe der Code-Basis, die in der Regel durch APIs mit weiteren Microservices erweitert wird, genügt ein reiner Perimeterschutz nicht mehr. Daher ist es wichtig, das Fundament zu schützen und die Anwendung intrinsisch sicher zu gestalten – von Grund auf. Dafür bedarf es einiger Tools, unter anderem:
- SAST (Static Application Security Testing)-Tools scannen den Quellcode auf Schwachstellen, ohne ihn auszuführen.
- SCA (Software Composition Analysis)-Tools analysieren Open-Source-Komponenten in Anwendungen und Dependencies.
- Tools für die Secrets Detection suchen und finden sogenannte Secrets wie API-Keys, Tokens oder Passwörter, die möglicherweise im Anwendungs-Code enthalten sind.
- CI/CD-Security-Tools überprüfen Pipelines auf potenzielle Risiken und schützen Build- sowie Deployment-Prozesse.
KI dein Freund und Helfer
All diese Werkzeuge sind in guten ASPM-Plattformen (Application Security Posture Management) enthalten. Eine noch bessere Alternative dazu ist eine KI-native Application Security Platform, die KI-generierten Quellcode nicht nur überprüft, absichert und überwacht, sondern künstliche Intelligenz auch proaktiv zum Schutz und zur Generierung sicheren Quellcodes einsetzt. Denn richtig eingesetzt ist KI durchaus ein wertvoller Verbündeter, um die Cybersicherheit zu gewährleisten.
Für die sichere KI-basierte Code-Generierung ist die GenAI-Funktionalität in diesem Fall fest in die Application Security Platform beziehungsweise über sie in die Entwicklungsumgebung der User integriert und unterliegt den dort festgelegten Sicherheitsregularien. Das KI-Modell lernt zudem von Verbesserungen, die menschliche Entwickler implementieren. Auf diese Weise gelingt es, die Code-Generierung zu jeder Zeit nach aktuellsten Cybersecurity-Standards durchzuführen. Gleichzeitig prüft die KI jede Änderung am Code durch die User und gibt Feedback dazu, ob die Änderungen noch den Sicherheitsstandards entsprechen.
Manch eine Application Security Platform stellt KI zudem in Form von autonom agierenden KI-Agenten bereit. Diese testen Anwendungen und führen bei Schwachstellen bereits eine Triage durch, bei denen sie die Kritikalität prüfen und Entwicklern Empfehlungen dazu geben, welche potenziellen Bugs und Exploits sie zuerst fixen sollten.
»KI ist weder nur Freund und Helfer noch der Feind in unserem Code – sie hat das Potenzial, uns zu unterstützen, kann aber auch Probleme verursachen«, erklärt Jochen Koehler, Vice President of Sales EMEA bei Cycode. »Es ist daher wichtig, sie mit Bedacht einzusetzen und ihr einen klaren, regulatorischen Rahmen zu verpassen, um negative Auswirkungen zu vermeiden und den positiven Nutzen zu maximieren.«
KI-Coding wird zur riskanten Norm – 81 % stellen unsicheren Code bereit
Report »Future of Application Security in the Era of AI« belegt: Unternehmen generieren bis zu 60 % ihres Codes mittels KI-Coding-Assistenten. Allerdings untersagen mittlerweile 20 % deren Nutzung offiziell.
Die Studie »Future of Application Security in the Era of AI« von Checkmarx zeichnet ein umfassendes Bild davon, wie KI-gestützte Softwareentwicklung die Risikolandschaft nachhaltig verändert – und gibt konkrete Handlungsempfehlungen für das kommende Jahr [1]. Befragt wurden rund 1.500 CISOs, AppSec-Verantwortliche und Entwickler aus Nordamerika, Europa und dem asiatisch-pazifischen Raum. Ziel war es, besser nachzuvollziehen, wie Unternehmen in einer zunehmend von maschinell erzeugter Software geprägten Welt agieren.
Die Ergebnisse machen deutlich: KI-generierter Code etabliert sich zunehmend als neuer Standard, doch die Governance hält mit dieser Entwicklung nicht Schritt. Die Hälfte der Befragten nutzt bereits KI-gestützte Secure-Coding-Assistenten, und 34 % geben an, dass mehr als 60 % ihres Codes von KI generiert wird. Zeitgleich verfügen nur 18 % der Unternehmen über klare Richtlinien zur Nutzung solcher Tools. Mit der wachsenden Nutzung von KI-Coding-Assistenten schwindet die Verantwortung der Entwickler – und die Angriffsfläche vergrößert sich.
Der Report zeigt darüber hinaus, dass wirtschaftlicher Druck riskante Praktiken zunehmend normalisiert. 81 % der befragten Unternehmen stellen wissentlich unsicheren Code bereit, und 98 % waren im vergangenen Jahr von einem damit verbundenem Sicherheitsvorfall betroffen – ein deutlicher Anstieg gegenüber 91 % im Jahr 2024. Für die kommenden 12 bis 18 Monate rechnen 32 % der Befragten mit Sicherheitsvorfällen bei Application Programming Interfaces (APIs) – etwa durch Schatten-APIs oder Business-Logic-Angriffe. Dennoch setzt weniger als die Hälfte der Unternehmen auf grundlegende Schutzmaßnahmen wie Dynamic Application Security Testing (DAST) oder Infrastructure-as-Code-Scanning. Während DevSecOps in der Branche intensiv diskutiert wird, nutzt nur die Hälfte der Befragten zentrale Tools – und lediglich 51 % der befragten US-Unternehmen haben bislang eine DevSecOps-Strategie implementiert.
»Angesichts des hohen Tempos der KI-gestützten Entwicklung darf Sicherheit nicht länger ein bloßes Anhängsel sein. Sie muss vom Code bis in die Cloud mitgedacht und integriert werden«, betont Eran Kinsbruner, Vice President Portfolio Marketing bei Checkmarx. »Unsere Untersuchungen zeigen, dass Entwicklerinnen und Entwickler schon heute große Teile ihres Codes von KI generieren lassen, obwohl es in den meisten Unternehmen an Governance mangelt. Kombiniert mit der Tatsache, dass 81 % aller Befragten wissentlich unsicheren Code bereitstellen, entsteht eine explosive Mischung – und es ist nur eine Frage der Zeit, bis es zum großen Knall kommt.«
Der Report skizziert darüber hinaus zentrale strategische Schritte auf dem Weg zu ganzheitlicher Anwendungssicherheit: Unternehmen müssen vom Bewusstsein zum Handeln übergehen, »Code-to-Cloud«-Sicherheitsmaßnahmen verankern, eine klare Governance für den Einsatz von KI in der Entwicklung definieren, Security-Tools konsequent operationalisieren und Teams auf die »Agentic AI in AppSec«-Ära vorbereiten. Nicht zuletzt gilt es, eine Unternehmenskultur zu fördern, die Entwickler stärkt und ihnen Verantwortung für Sicherheit überträgt.
»Wer den Risiken immer einen Schritt voraus sein will, braucht präventive Security-Tools«, so Kinsbruner weiter. »Ebenso wichtig sind eine klare Governance für den Einsatz von KI und gezielte Investitionen in Agentic AI – auf diese Weise werden mögliche Probleme in Echtzeit erkannt und automatisch behoben. KI-generierter Code wird sich künftig noch stärker durchsetzen. Unternehmen, die angesichts dieses Wandels sichere Software bereitstellen, verschaffen sich einen entscheidenden Wettbewerbsvorteil.«
Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx, ergänzt: »Unternehmen in Deutschland, Österreich und der Schweiz entwickeln ihre Technologien in einem nie dagewesenen Tempo weiter. Die Hälfte der Befragten nutzt bereits KI-Coding-Assistenten – gleichzeitig geben 88 % an, wissentlich unsicheren Code bereitzustellen. Angesichts der zunehmenden Nutzung von KI, Cloud-Technologien und IIoT müssen CISOs und AppSec-Teams Sicherheit als strategische Priorität behandeln. Wir brauchen umfassenden Schutz vom Code bis in die Cloud sowie eine klare Governance für KI-generierten Code, um unsere Innovationen zuverlässig zu schützen.«
[1] Den vollständigen Report »Future of Application Security in the Era of AI” finden Sie hier. https://checkmarx.com/report-future-of-appsec-2025/
Die Veröffentlichung des Reports folgt auf die Ankündigung des Developer Assist Agent, der Erweiterungen für etablierte KI-native Integrated Development Environments (IDEs) wie Windsurf by Cognition, Cursor und GitHub Copilot bietet. Dieses innovative Tool – das erste in einer Reihe von Agentic-AI-Lösungen zur Verbesserung der Sicherheit für Entwickler:innen, AppSec-Verantwortliche und CISOs – unterstützt Entwickler:innen direkt in ihrer IDE mit kontextbezogener Prävention, automatisierter Behebung und konkreten Handlungsempfehlungen in Echtzeit.
