Inhalt
Cybersicherheit bleibt ein komplexes Feld, in dem jede neue Cloud-Innovation Türen für neue Fehler und Schwachstellen öffnet. Das alte Sprichwort, dass eine Organisation nur so sicher ist wie ihr schwächstes Glied, oft der Mensch, bleibt schmerzhaft wahr. Neue Technologien fordern unser tägliches Verhalten heraus und testen, wem oder was wir wirklich vertrauen können. Doch jetzt schleicht sich das Risiko tiefer ein – in die Kerninfrastruktur und sogar in die Apps, die Unternehmen herausgeben. Das Beängstigende? Manchmal können nicht einmal die Entwickler selbst diese Schwachstellen genau lokalisieren, geschweige denn beheben.\n\nDas trifft Chief Information Security Officers (CISOs) und ihre Teams am härtesten. Der Übeltäter? Künstliche Intelligenz, insbesondere der Anstieg von KI-generiertem Code und das Aufkommen von Vibe Coding – wo Code schnell mit KI-Hilfe produziert wird. Ein aktueller Bericht von Aikido, einem Spezialisten für Cloud- und Codesicherheit, beleuchtet diese wachsende Bedrohung. Ihr Bericht „State of AI in Security and Development“ zeichnet ein lebendiges Bild des Tauziehens zwischen Geschwindigkeit und Sicherheit angesichts der explosionsartigen KI-Adoption. Es ist klar, dass Teams Produkte oft mit der Einstellung „Jetzt veröffentlichen, später patchen“ auf den Markt bringen, was die Angriffsfläche nur vergrößert.\n\nDie Studie, basierend auf Interviews mit 450 Fachleuten aus Europa und den USA – darunter Entwickler, Sicherheitsleiter und Anwendungssicherheitsingenieure – fand heraus, dass 69 % der Organisationen Schwachstellen in KI-generiertem Code entdeckt haben. Noch alarmierender: 20 % berichteten von schweren Sicherheitsvorfällen, die darauf zurückzuführen sind. Da Vorfälle bereits häufig sind – 27 % der Organisationen wurden im vergangenen Jahr schwer getroffen – bleibt die Frage: Wie viele Verstöße bleiben unentdeckt?\n\nDie Einsätze könnten nicht höher sein. Aktuelle Schlagzeilen zeigen, wie öffentlich zugängliche Dienste und große Marken kompromittiert wurden, manchmal aufgrund fragiler Systeme statt direkter Angriffe – eine Realität, die Giganten wie Amazon und Microsoft kennen. Automatisierung beschleunigt Prozesse, führt aber oft zu Fehlern, die schwer zu finden sind. Und das führt uns in undurchsichtige Gewässer bezüglich der Verantwortung. Wer ist schuld, wenn KI-generierter Code Schaden anrichtet? Der Entwickler, der das Tool nutzte, der KI-Anbieter, der ein fehlerhaftes System baute, oder das Sicherheitsteam, das die Schwachstelle übersah?\n\nRechtlich liegt die Verantwortung bei den Führungskräften, was der Bericht hervorhebt, indem er zeigt, dass 75 % der CISOs kürzlich mit schweren Vorfällen umgehen mussten – weit mehr als die Anzahl der Organisationen, die größere Verstöße zugeben. Trotzdem sind viele Befragte unsicher, wer wirklich schuld ist. Über die Hälfte gibt dem Sicherheitsteam die Schuld für das Übersehen von Exploits; fast die Hälfte macht Entwickler für den riskanten Code verantwortlich; weniger zeigen mit dem Finger auf die KI-Anbieter. Dieses verworrene Schuldspiel unterstreicht die Governance-Herausforderungen, die Vibe Coding mit sich bringt, und schafft ein Spiegelkabinett, in dem Verantwortlichkeit schwer zu fassen ist.\n\nVertrauen ist ein großer Teil des Problems. Sind wir wirklich bereit, KI-Tools in diesem Umfang fürs Codieren zu vertrauen, besonders wenn wir wissen, dass große Sprachmodelle und Chatbots halluzinieren, Fehlinformationen verbreiten und sogar Urheberrechte verletzen können? Vibe Coding ist da keine Ausnahme – es übernimmt diese Risiken. Zudem verursacht die Vielzahl von Sicherheitstools, die diese Probleme bekämpfen sollen, ironischerweise mehr Kopfschmerzen. Der Bericht stellt fest, dass Teams, die viele verschiedene Anbieter-Tools nutzen, mehr Vorfälle und längere Behebungszeiten aufgrund von Integrationsproblemen haben, wie doppelte Warnungen und inkonsistente Daten. Integrierte Ansätze für Anwendungs- und Cloud-Sicherheit zeigen dagegen geringere Vorfallraten.\n\nAus menschlicher Sicht bleibt klar, dass Sicherheitsexperten unverzichtbar sind. Ein Viertel der CISOs warnt, dass der Verlust auch nur eines Top-Sicherheitsexperten schwere Verstöße, Verzögerungen bei der Vorfallreaktion und langsame Produktentwicklung auslösen könnte. Der menschliche Faktor zählt trotz KI-Hype weiterhin stark.\n\nIn einem exklusiven Gespräch beschrieb Aikidos CISO Mike Wilkes die Situation als „Demokratisierung der Fähigkeit, schnell schlechten Code zu liefern.“ Er wies darauf hin, dass Automatisierung und Infrastruktur als Code die Codequalität nicht verbessert, sondern nur die Veröffentlichung fehlerhafter Software beschleunigt haben. Jetzt, mit Vibe Coding und Low-Code/No-Code-Tools, kann jeder riskanten Code in großem Maßstab produzieren, ähnlich wie KI die Herstellung mittelmäßiger Kunst oder Musik demokratisiert hat. Diese „Demokratisierung der Mittelmäßigkeit“ birgt reale, greifbare Risiken für die Zukunft.
