Künstliche Intelligenz ist längst Teil moderner Softwareentwicklung – und birgt neue Risiken. Laut Cycodes «State of Product Security Report» setzen alle befragten Unternehmen bereits KI-generierten Code ein. Doch mit der Effizienz steigt die Angriffsfläche: Schatten-KI, also unkontrolliert genutzte Tools, umgehen Sicherheitsprozesse. Unternehmen müssen daher Product Security ganzheitlich denken – von Code bis Kultur.
Künstliche Intelligenz ist Fluch und Segen, das gilt auch im Hinblick auf die Anwendungssicherheit. Cycode, der Pionier im Bereich Application Security Posture Management (ASPM), hat in seinem aktuellen State of Product Security Report die größten Herausforderungen für Unternehmen untersucht. Der Bericht gibt zudem Tipps für den sicheren Umgang mit KI.
Die zwei zentralen Ergebnisse des Reports: Jedes Unternehmen hat bereits KI-generierten Code in seine Anwendungen implementiert, und 97% von ihnen nutzen KI-gestützte Coding-Assistenten oder testen deren Einsatz. Künstliche Intelligenz steht also nicht mehr wie Hannibal mit seinen Elefanten vor den Toren der Unternehmen, sie ist längst in deren System angekommen. Die Vorteile der Technologie liegen auf der Hand: verkürzte Entwicklungszeiten und geringere Kosten.
Sicherheitsbedenken durch Schatten-KI
Allerdings wächst auch der Angriffsvektor mit den durch KI angereicherten Code-Basen, weil die KI oft Schwachstellen einschleust – sehr zur Freude von Cyberkriminellen. Kein Wunder also, dass 65% der für den State of Product Security Report befragten Unternehmen von einem gestiegenen Sicherheitsrisiko seit der Implementierung von KI-gestützten Coding-Tools berichten. Die massive Verbreitung von KI-Coding-Assistenten können Unternehmen ob der Vorteile, die sie durchaus mit sich bringen, kaum noch aufhalten. Die Herausforderung von Product-Security-Teams ist, die Kontrolle wiederzuerlangen und ihre Anwendungen wieder sicher zu machen.
Das ist einfacher gesagt als getan, denn neben problematischem KI-generiertem Code wächst auch die sogenannte Schatten-KI. Gemeint ist die Verwendung von KI-Tools, die nicht genehmigt sind und sich mittlerweile in vielen Unternehmen im gesamten Software-Development-Lifecycle breitmachen. Mitarbeitende umgehen dabei viel zu oft formale Kontrollmechanismen wie Sicherheitsprüfungen, Einkaufsprozesse und Compliance-Kontrollen. Dadurch entstehen versteckte Abhängigkeiten und weitere Angriffsflächen – vor allem dann, wenn diese Tools vertrauliche oder sensible Daten verarbeiten, ohne auf ihre Unbedenklichkeit geprüft worden zu sein. Mehr als die Hälfte (54%) der Sicherheitsverantwortlichen sorgen sich daher nicht nur wegen KI-generierten Code, sondern mehr noch über die ihn erzeugende Tool- und Systemlandschaft. Oder anders ausgedrückt: Es genügt einfach nicht mehr, den Code abzusichern. Unternehmen müssen ebenso Systeme, Tools und Kultur auf Linie bringen.
Produktsicherheit ist der unterschätzte Erfolgsfaktor des KI-Zeitalters
Die zentrale Maßnahme dafür ist die Einführung von Product Security. Sie stand lange im Abseits der Diskussionen rund um die Sicherheit von Anwendungen, gewinnt im KI-Zeitalter aber immer mehr an Bedeutung. Der Unterschied zu AppSec ist, dass Product Security das gesamte Softwareprodukt als System betrachtet, inklusive Hardware, Firmware, Konfigurationen, Lieferkette, Sicherheitsfeatures, Compliance und den Betrieb über den gesamten Software Development Lifecycle hinweg. Nahezu alle befragten Unternehmen (99%) decken diesen Bereich mittlerweile auf die ein oder andere Weise ab, in 4 von 5 Fällen in Form eines dedizierten Product-Security-Teams. Trotz ihrer zentral gewordenen Bedeutung ist Product Security in vielen Unternehmen allerdings weiterhin fragmentiert, und die organisatorische Verankerung variiert stark. Am häufigsten berichten Product-Security-Teams an den CISO (36%), 24% an die Führung der Engineering-Teams, 23% an den CTO und weitere 17% an den CIO. Diese Zuordnung hat unmittelbare Auswirkungen auf die Prioritäten des Teams. Für jene, die dem CISO unterstellt sind, liegt der Fokus ganz klar auf der Sicherheit. Ist das Team dem Engineering unterstellt, können jedoch Produktivität oder Geschwindigkeit des Rollouts wichtiger sein.
Die Fragmentierung ist jedoch nicht nur strukturell, denn Verantwortlichkeiten sind oft auf mehrere Teams verteilt, die mit unterschiedlichen Tools und Metriken arbeiten. In Kombination mit einer Vielzahl von Assets – von Code über Hardware bis hin zu Cloud-Umgebungen – wird damit eine einheitliche Sicht auf das gesamte Produktrisiko erschwert. Der primäre Fokus der Product-Security-Teams liegt allerdings, so zeigt die Untersuchung, auf der Anwendungssicherheit (66%): das ist ein deutliches Zeichen dafür, dass sich die Bereiche Product Security und AppSec zunehmend annähern. Product-Security-Teams avancieren somit zum Verbindungsglied zwischen Sicherheit, Entwicklung und Governance für das KI-Zeitalter.
«Das KI-Zeitalter bringt für die Softwareentwicklung in Unternehmen enorme und vielfältige Herausforderungen mit sich», warnt Jochen Koehler, Vice President of Sales EMEA bei Cycode. «Auch der sogenannte Tool-Sprawl, also der Einsatz zahlreicher Tools für die Anwendungssicherheit, ist ein Risiko. Unternehmen sollten daher eine Konsolidierung vornehmen, um einheitliche Sichtbarkeit, Kontext und Kontrolle zu erhalten. Glücklicherweise haben das so gut wie alle befragten Unternehmen vor.»
