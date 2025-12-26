Künstliche Intelligenz verändert rasant, wie Software entwickelt wird – und wie wir mit Risiken umgehen: Statt sie nachhaltig zu minimieren, werden sie oft bewusst akzeptiert. Der Preis dafür ist hoch – doch CISOs können gegensteuern, wenn sie potenzielle Gefahren aktiv managen, statt sie passiv hinzunehmen. Unternehmen können ihre Sicherheitskultur wieder auf Kurs bringen und Risiko zur steuerbaren Größe machen.

Entwickler stehen unter enormem Zeit- und Innovationsdruck: schneller liefern, agiler arbeiten, neue Features in immer kürzeren Zyklen bereitstellen. KI-gestützte Tools helfen ihnen, mit diesem hohen Tempo Schritt zu halten. Doch was auf den ersten Blick nach Entlastung aussieht, birgt gefährliche Nebenwirkungen: Für das Plus an Geschwindigkeit werden immer öfter Sicherheitsrisiken in Kauf genommen.

Die Risiken entstehen dabei selten unbemerkt – meist werden sie bewusst in Kauf genommen. Wie einst in der Finanzkrise 2008 führt auch hier vermeintlicher Gewinn zu wachsender Verschuldung – diesmal in Form von »Security Debt«, die irgendwann beglichen werden muss.

Sicherheitskompromisse als Strategie. Die Zahlen aus dem aktuellen »The Future of AppSec in the Era of AI«-Report von Checkmarx sprechen Bände: 81 Prozent der befragten Unternehmen geben an, wissentlich verwundbaren Code zu liefern [1]. 98 Prozent erlebten als direkte Konsequenz innerhalb der letzten zwölf Monate mindestens einen Sicherheitsvorfall, 27 Prozent sogar vier oder mehr.

Ein Drittel der Entwickler hofft, dass Schwachstellen unentdeckt bleiben – weniger aus Fahrlässigkeit als aus Resignation. Unter dem Druck harter Deadlines sticht Geschwindigkeit Sicherheit fast immer aus. Es fehlt also nicht an Risikobewusstsein. Die Risikominimierung hat schlichtweg keine Priorität mehr.

Die Ausnahme ist die Norm geworden – und das oft mit stillem Einverständnis der Führung.

Die vier Treiber einer riskanten Entwicklung.

KI ohne Aufsicht

Jedes zweite Unternehmen nutzt bereits KI-Coding-Assistenten. Ein Drittel generiert über 60 Prozent des Codes mittels KI. Doch nur 18 Prozent verfügen über umfassende Richtlinien oder klare Governance. Rund 20 Prozent der Entwickler setzen KI-Tools ohne Genehmigung ein – die »Schatten-KI« ist Realität, und die Dunkelziffer dürfte noch deutlich höher liegen. Die Gefahr dabei: fehlende Nachvollziehbarkeit, rechtliche Unsicherheiten und unerkannte Sicherheitslücken. Business-Vorgaben stechen Sicherheit

Unternehmen bekennen offen, verwundbaren Code auszuliefern, um Deadlines einzuhalten (38 Prozent), oder Patches hinauszuzögern (36 Prozent). Sicherheitslücken erst nach dem Release zu schließen, hat sich vielerorts als Praxis etabliert – mit gravierenden Folgen für die langfristige Stabilität. Unausgereifte AppSec-Technologien

Zwar steigt die Nutzung von Sicherheitslösungen wie SAST, DAST oder IaC-Scans, doch weniger als die Hälfte der Unternehmen hat sie konsequent implementiert. Auch bei API- und Container-Security liegt die Nutzungsquote nur bei rund 50 Prozent. Die Tools sind also vorhanden, werden aber nicht durchgängig in bestehende Workflows eingebunden – die Folge: geringe Wirksamkeit und geringe Akzeptanz. Unklare Zuständigkeiten

Zwischen CISOs, AppSec-Teams und Entwicklern herrscht ein gefährlicher Wahrnehmungsunterschied: 82 Prozent der CISOs glauben, dass Entwickler die meisten Schwachstellen zeitnah beheben – nur 69 Prozent der AppSec-Verantwortlichen bestätigen das. Diese Diskrepanz zeigt, dass nicht klar definiert ist, wer die Verantwortung für das Risikomanagement trägt. So bleiben wichtige Security-Tasks oft liegen. Verstärkt wird dieses Problem, weil weniger als die Hälfte der Unternehmen DevSecOps ganzheitlich etabliert hat – ein Modell, das Rollen, Prozesse und Verantwortlichkeiten eigentlich verzahnen soll.

Wenn Risiko zur Routine wird – und die Transparenz fehlt. Unsicheren Code zu veröffentlichen, kann in bestimmten Fällen ein bewusster Business-Trade-off sein – etwa, um eine Marktchance zu nutzen oder einen wichtigen Release-Termin zu halten. Doch in den meisten Unternehmen wird diese Entscheidung nicht sorgfältig abgewogen, sondern reflexartig getroffen. Nur ein Viertel der CISOs übersetzt Sicherheitsrisiken in geschäftsrelevante Kennzahlen. Fast ein Fünftel informiert den Vorstand nicht über die Risiken, und in 20 Prozent der Unternehmen wird das Thema auf dieser Ebene schlicht nicht adressiert.

So bleibt das Risiko real, die Entscheidungsgrundlage jedoch lückenhaft – ein gefährlicher Blindflug. Die Folgen zeigen sich deutlich: 38 Prozent der Unternehmen erleiden nach Sicherheitsvorfällen Geschäftsausfälle, 35 Prozent finanzielle Verluste, 32 Prozent Reputationsschäden.

Wie CISOs die Kontrolle zurückgewinnen. Die gute Nachricht: Risiko lässt sich zwar nicht gänzlich vermeiden, aber bewusst steuern. Um die »stillschweigende Risikoakzeptanz« zu durchbrechen, braucht es einen klaren Kultur- und Strukturwandel – weg von Kompromissen, hin zu einer klaren Sicherheitsstrategie:

KI-Governance etablieren: Statt die Nutzung zu verbieten, braucht es klare Leitplanken für sicheren und nachvollziehbaren KI-Einsatz.

Statt die Nutzung zu verbieten, braucht es klare Leitplanken für sicheren und nachvollziehbaren KI-Einsatz. DevSecOps unternehmensweit vorantreiben: Gemein-same KPIs, abgestimmte Prozesse und Verantwortlichkeiten über Abteilungsgrenzen hinweg sind entscheidend.

Gemein-same KPIs, abgestimmte Prozesse und Verantwortlichkeiten über Abteilungsgrenzen hinweg sind entscheidend. Sicherheit in den Entwickleralltag integrieren: Tools müssen nahtlos in die Workflows eingebettet sein – nur dann werden sie konsequent genutzt.

Tools müssen nahtlos in die Workflows eingebettet sein – nur dann werden sie konsequent genutzt. ASPM und Agentic AI einsetzen: Sie schaffen Transparenz, Echtzeitüberwachung und automatisierte Steuerung von Sicherheitsmaßnahmen.

Sie schaffen Transparenz, Echtzeitüberwachung und automatisierte Steuerung von Sicherheitsmaßnahmen. Risikokommunikation neu denken: CISOs sollten technische Risiken konsequent in geschäftliche Auswirkungen übersetzen – etwa mit Blick auf Verfügbarkeit, Kosten, Compliance oder Reputation – und fundiert auf Vorstandsebene entscheiden.

Fazit: Risiko steuern heißt Verantwortung übernehmen. KI hat der Softwareentwicklung einen nie dagewesenen Schub verliehen – sie hat aber auch das In-Kauf-Nehmen von Risiken normalisiert. Die eigentliche Gefahr liegt nicht in der Technologie, sondern in der Einstellung: im stillen Konsens, dass Sicherheit nachrangig ist. Doch genau das können CISOs ändern – durch bewusste Entscheidungen, klare Governance und eine Unternehmenskultur, die Risiken nicht verdrängt, sondern aktiv steuert.

Noch stehen wir nicht in einer Krise, aber definitiv an einem Wendepunkt. Wer jetzt handelt, kann Geschwindigkeit und Sicherheit in Einklang bringen – und so die Zukunft einer sicheren, verantwortungsvollen Softwareentwicklung mitgestalten.

Patrick Siffert,

Regional Director DACH & Iberia

bei Checkmarx

