Laut einer aktuellen Studie nutzen 97 Prozent der Unternehmen bereits KI-Coding-Tools, doch KI-generierter Code erhöht gleichzeitig die Angriffsfläche massiv. Klassische AppSec-Audits können die wachsende Komplexität aus Microservices, CI/CD-Pipelines und KI-generierten Abhängigkeiten nicht mehr abbilden. Kontinuierliche, in den Entwicklungszyklus eingebettete Sicherheitsprüfungen sind die Antwort.
KI-generierter Code und wachsende Codebasen überfordern klassische AppSec-Audits. Kontinuierliche, in den Entwicklungszyklus eingebettete Sicherheitsprüfungen ersetzen das veraltete Modell.
Audits für die Anwendungssicherheit (AppSec) waren früher relativ unkompliziert: AppSec-Teams prüften den Quellcode der – in der Regel monolithischen – Anwendungen, führten ein paar Scans durch, dokumentierten die Ergebnisse und wandten sich dann wichtigeren Aufgaben zu. Diese Vorgehensweise ist heute in der Form nicht mehr möglich. Grund dafür ist, dass moderne Anwendungen nicht mehr dem klassischen Bild eines Monolithen entsprechen. Sie bestehen oft aus Microservices, die über On-premises-, Cloud- oder Hybrid-Systeme verteilt sind. Außerdem enthalten sie teils starke Abhängigkeiten zu Open-Source-Komponenten wie Bibliotheken, Build-Tools oder Frameworks und durchlaufen komplexe CI/CD (Continuous Integration und Continuous Deployment)-Pipelines.
Erschwerend kommt mittlerweile hinzu, dass KI-basierte Coding-Assistenten einen immer größeren Anteil an Produktivcode generieren. Einer aktuellen Studie von Cycode zufolge, verwenden 97 Prozent der Unternehmen entsprechende Tools bereits aktiv oder evaluieren aktuell die Nutzung. Die Frage, ob KI-generierter Code bereits Teil ihres Quelltextes ist, beantworteten alle befragten Unternehmen mit einem klaren „Ja“. KI und sogenanntes „Vibe Coding“ spielt im Zusammenhang mit AppSec-Audits eine entscheidende und den Prozess erschwerende Rolle. Denn nicht nur helfen GenAI (generative KI) und auf ihr basierende Coding-Assistenten Entwicklern, mehr Code zu generieren. Sie führen auch ganz nebenbei neue Abhängigkeiten ein und machen dadurch, dass viel unter der Oberfläche abläuft, die Entwicklungsprozesse schwer nachvollziehbar. Schließlich sorgen die massiv größeren (und exponentiell wachsenden) Codebasen in Verbindung mit den stetig an Komplexität zunehmenden IT-Infrastrukturen sowie KI-generiertem Code vor allem für eines: eine geringere Transparenz.
Diese mangelhafte Visibilität über die gesamte Codebasis, Abhängigkeiten und die zugrundeliegende IT-Infrastruktur hinweg erschwert die Durchführung sauberer Audits für die Anwendungssicherheit. Da es sich bei AppSec-Audits um stark strukturierte Prozesse zur Bewertung der Sicherheitslage einer Anwendung handelt, ist Transparenz jedoch das A und O. Schwachstellen, Fehlkonfigurationen und riskante Coding-Praktiken können immerhin überall auftreten, weshalb Auditoren (oder Audit-Tools) sie nur dann sicher und gewissenhaft identifizieren, wenn wirklich jeder Aspekt einer Anwendung offenliegt. Aus diesem Grund sollte ein ganzheitlicher AppSec-Audit die eingehende Untersuchung der folgenden Bereiche umfassen:
Quellcode: Dazu gehört die individuelle Anwendungslogik und geschäftskritische Funktionalität, einschließlich des Codes, der von KI-Assistenten geschrieben oder der von ihnen bearbeitet wurde.
(Open-Source-)Abhängigkeiten: Das umfasst Bibliotheken von Drittanbietern, die Risiken für die Software-Supply-Chain beinhalten könnten, einschließlich indirekt durch KI-generierten Code eingeführter Abhängigkeiten.
CI/CD-Pipelines: Dazu zählen sämtliche Build- und Deployment-Workflows, die Secrets offenlegen oder Schwachstellen einführen können, wenn Code in Richtung Produktivumgebung bewegt wird.
Infrastruktur und Konfigurationen: Diese betreffen Cloud-Ressourcen, Container und IaC (Infrastructure as Code)-Plattformen, die definieren, wie Anwendungen in Produktion laufen.
Zugriffskontrollen und Secrets: Das reicht von Zugangsdaten und Tokens bis zu Berechtigungen, die bei falscher Verwaltung über Systeme und Tools hinweg ausgenutzt werden könnten.
KI-generierter Code und Tooling: Dazu gehören schnell wachsende Teile der Codebasis, denen es häufig an Transparenz, Governance oder konsistenten Sicherheitsstandards mangelt.
Dieses breite Spektrum, das sich deutlich von dem doch recht simplen Prozess der Vergangenheit unterscheidet, spiegelt den grundlegenden Wandel in Sachen AppSec-Audits wider: Sicherheitsrisiken sind eben nicht mehr nur im Basis-Layer, sondern über den gesamten Entwicklungszyklus verteilt.
Doch geändert hat sich nicht nur die Art und Weise, wie Anwendungen entwickelt und wo beziehungsweise wie sie gehostet werden, sondern auch wie Programmierer sie weiterentwickeln. Gab es früher vielleicht alle paar Monate einmal ein großes Update des Monolithen, ändert sich Code heute täglich. Manchmal mehrfach. Entsprechend darf auch die Anwendungssicherheit nicht statisch sein, wenn Entwickler ständig neue Abhängigkeiten und Services in die Codebasis einführen. Und genau wegen dieser neuen Dynamik sind punktuelle AppSec-Audits ebenfalls nicht mehr zeitgemäß, da sie den Zustand nur an einem bestimmten Zeitpunkt abbilden. Die Antwort auf die Frage, ob die Anwendung immer noch sicher ist, kann somit theoretisch fünf Minuten später bereits „nein“ lauten.
Das ist einer der Hauptgründe, warum Risiken immer weiter zunehmen. So berichten etwa 65 Prozent der Organisationen von einem Anstieg des Gesamtrisikos für die Sicherheit ihrer IT-Infrastruktur nach Einführung KI-gestützter Entwicklung. Kontinuierliche AppSec-Audits schließen diese Lücke, da die Sicherheitsbewertungen so mit der Entwicklung Schritt halten. Unternehmen sollten allerdings nicht immer den gleichen Audit wiederholen. Stattdessen sollten sie Sicherheitsprüfungen in den Entwicklungszyklus einbetten, sodass Risiken eben kontinuierlich identifiziert und behoben werden. Eine Möglichkeit, diese Strategie auch praktisch umzusetzen, ist der Einsatz dedizierter ADS (Agentic Development Security)-Plattformen. Sie enthalten ein breites Portfolio an KI-basierten Scannern und Tools für das Absichern des gesamten Agentic Development Lifecycle (ADLC).
Doch unabhängig von den eingesetzten Tools gibt es einige Best Practices. Ein wirksames AppSec-Audit beginnt etwa mit einer klaren Definition des Prüfungsumfangs. Neben dem Anwendungscode müssen, wie oben erwähnt, auch APIs, Microservices, CI/CD-Pipelines, Cloud-Infrastruktur sowie Drittanbieter-Abhängigkeiten berücksichtigt werden. Grundlage dafür ist eine aktuelle Inventarisierung aller relevanten Assets. Nur wer vollständige Transparenz über Repositories, Abhängigkeiten, Pipelines und Cloud-Ressourcen hat, kann Risiken zuverlässig identifizieren und bewerten. Die Überprüfung von Quellcode und Open-Source-Komponenten bleibt ein zentraler Bestandteil des Audits. Neben klassischen Schwachstellen im eigenen Code müssen Unternehmen insbesondere Risiken durch Drittbibliotheken und veraltete Pakete, sowie transitive Abhängigkeiten berücksichtigen. Ebenso wichtig ist die Absicherung der CI/CD-Pipeline, da fehlerhafte Berechtigungen, unsichere Integrationen oder exponierte Secrets direkt in produktive Umgebungen gelangen können. Ergänzend dazu sollten Identity- und Access-Management-Richtlinien überprüft werden, insbesondere im Hinblick auf das Least-Privilege-Prinzip, die sichere Verwaltung von Zugangsdaten und konsistente Authentifizierung über verschiedene Systeme hinweg.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Darüber hinaus sollten APIs und Anwendungsschnittstellen durch dynamische Tests geprüft werden, um Laufzeitprobleme, Autorisierungsfehler und Schwächen in der Business-Logik aufzudecken. Eine funktionierende Logging-, Monitoring- und Alerting-Strategie stellt sicher, dass sicherheitsrelevante Ereignisse erkannt und nachvollzogen werden können. Da Audits häufig viele Ergebnisse liefern, ist eine risikobasierte Priorisierung entscheidend. Faktoren wie Ausnutzbarkeit, Exposition und geschäftliche Auswirkungen helfen dabei, kritische Schwachstellen zuerst zu beheben. Schließlich sollte Anwendungssicherheit kontinuierlich in den Entwicklungsprozess integriert werden. Automatisierte Scans, laufendes Monitoring und nachvollziehbares Reporting sorgen dafür, dass Sicherheitsbewertungen mit der Dynamik moderner Softwareentwicklung Schritt halten.
Über den Autor: Jochen Koehler ist Vice President of Sales EMEA bei Cycode.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5d/45/5d457334dfe581150c0174eeff401aba/0131803117v2.jpeg "Die Schwachstelle CVE-2025-48595 erlaubt lokale Rechteausweitung auf allen aktuellen Android-Versionen. Googles Juni-Update schließt die aktiv ausgenutzte Lücke. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/f7/c3f770c0a014cde634c15f31e8d72586/0131795069v2.jpeg "Die Kernel-Lücke Dirty Frag ermöglicht Rechteausweitung und Deanonymisierung in Tails. Das Notfall-Update 7.8.1 schließt die Schwachstelle CVE-2026-43503. (Bild: © Sashkin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/5b/f35bf0efd482eca9938634ea7e9a9aa6/0131817644v1.jpeg "Seit 2022 verzeichnet Schleswig-Holstein 123 Cyberangriffe auf seine digitalen Strukturen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad502b4e6f95fb83049dfc5cd9407334/0131394188v1.jpeg "Ari Albertini, CEO von FTAPI, weist darauf hin, dass moderne Cyberangriffe oft gezielt auf die Kommunikationsfähigkeit von Unternehmen zielten. Wer Krisenkommunikation erst im Ernstfall improvisiere, habe bereits verloren. Resilienz entstehe vor der Krise, nicht währenddessen. (Bild: Ftapi)")
:quality(80)/p7i.vogel.de/wcms/63/d3/63d346764ebaa0c2bad14b8ed9bd6f32/0131796099v2.jpeg "kube-bench und Trivy prüfen Kubernetes-Cluster auf Konfigurationsmängel und Image-Schwachstellen. Die Kombination liefert die Grundlage für gezielte Härtungsmaßnahmen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/66/71661611e59b8408605b7db7dcbec0e4/0131759983v2.jpeg "Die Hälfte der ISX-Tour ist geschafft: Nach München geht es jetzt weiter nach Hamburg und Düsseldorf. (Bild: Vogel-IT Akademie)")
:quality(80)/p7i.vogel.de/wcms/b8/48/b84864615be4c39d60b362d02ae2a0e4/0131407472v1.jpeg "Die T Cloud Pulic ist nun Bestandteil des Rahmenvertrags für Cloud- und KI-Lösungen für Behörden. Damit sollen langwierige Einzelvergaben entfallen. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/59/19/591997efd7d2209cab3d4ca07e984947/0131806544v2.jpeg "KI-generierter Code und wachsende Codebasen überfordern klassische AppSec-Audits. Kontinuierliche, in den Entwicklungszyklus eingebettete Sicherheitsprüfungen ersetzen das veraltete Modell. (Bild: © Nattanon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/82/6e82fdbb739cd087a830e083304efddd/0131257592v1.jpeg "Robert Frank von DigiCert skizziert in seinem Beitrag, warum die digitale Vertrauensinfrastruktur aus DNS und Public Key Infrastructure jetzt auf ein neues Fundament gestellt werden muss, und warum die nötigen Arbeiten sowohl organisatorisch dieselben Teams betreffen als auch in dieselbe Zeit fallen. (Bild: DigiCert)")
:quality(80)/p7i.vogel.de/wcms/0e/77/0e7755d3244b65ac9dcf77251d1f5246/0131519002v1.jpeg "Die EU-Verordnung eIDAS 2.0 schafft zwar einen standartisierten Rahmen für digitale Identitäten, wird von Unternehmen aber als komplex und teuer empfunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/5f/58/5f58d31e358ba2dd0f7e6b18295d1d01/0128245712v2.jpeg "Wachsende Risiken durch Schatten KI beschäftigen Unternehmen. Doch Product Security als Brücke zwischen AppSec und Engineering kann laut Cycode helfen, KI Produkte ganzheitlich und sicher zu entwickeln. (Bild: © Who is Danny – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/65/b2652c525f054b9cf8598440a7e24540/0128593399v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/62/4a62c503e12a78b6ec9f4d62a9045201/0130952805v2.jpeg "Heutzutage müssen Security Teams statt 100 Code-Zeilen nun bis zu 100.000 Zeilen Code, der von KI generiert wurde, pro Stunde bewerten. Das kann zu Fehlern führen, die Releasezyklen verzögern und das Incident-Risiko anheben. (© Stiefi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/91/2a/912a67aab8a764b31d75acaf88e26562/0112150345v1.jpeg "Die KI OCEAN untersucht Software auf Malware und kann sogar den Urheber davon erkennen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/58/5f58d31e358ba2dd0f7e6b18295d1d01/0128245712v2.jpeg "Wachsende Risiken durch Schatten KI beschäftigen Unternehmen. Doch Product Security als Brücke zwischen AppSec und Engineering kann laut Cycode helfen, KI Produkte ganzheitlich und sicher zu entwickeln. (Bild: © Who is Danny – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/65/b2652c525f054b9cf8598440a7e24540/0128593399v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")