Künstliche Intelligenz bringt Tempo, doch Sicherheitsprüfungen halten nicht Schritt. Mehr als ein Drittel des Codes ist GitLab zufolge bereits KI generiert. Jetzt braucht es skalierbare Reviews und einen ganzheitlichen Blick auf die Pipeline.
Heutzutage müssen Security Teams statt 100 Code-Zeilen nun bis zu 100.000 Zeilen Code, der von KI generiert wurde, pro Stunde bewerten. Das kann zu Fehlern führen, die Releasezyklen verzögern und das Incident-Risiko anheben.
Code-Assistenten sind leider noch lange nicht die „10x Engineers” – zehnmal produktivere Entwickler – die uns versprochen wurden. Laut einer aktuellen GitLab-Studie unter DevOps-Fachleuten schreibt KI mittlerweile mehr als ein Drittel des Codes. Deutsche Praktiker nennen allerdings Qualitätskontrolle (38 Prozent) und KI-bedingte Sicherheitslücken (40 Prozent) als größte Herausforderungen bei der Einführung von KI-Assistenten. Je stärker Unternehmen KI-Coding-Tools skalieren, desto mehr geraten ihre Security-Teams unter Druck. KI sollte die Entwicklung beschleunigen, doch stattdessen entstehen Sicherheitsengpässe schneller, als KI die Effizienz steigert.
Security-Experten, die zuvor 100 Zeilen Code pro Stunde prüften, sehen sich heute mit 100.000 Zeilen konfrontiert, weil KI zu diesem Code beigetragen hat. Gleichzeitig nutzen Angreifer bereits autonome Agenten, um Schwachstellen in bestehenden Systemen rasch aufzuspüren. Die Risiken wachsen, unsere Verteidigungskapazität nicht.
Diese Herausforderung ist nicht neu. Manuelle Sicherheitsprozesse ließen sich bei überschaubaren Code-Volumina leicht übersehen. Die Komplexität, die KI mit sich bringt, macht die Arbeit der Product Security jedoch exponentiell schwieriger. Wenn diese Skalierungsprobleme nicht rasch angegangen werden, schließt sich das entscheidende Zeitfenster.
Die Shift-Left-Bewegung sollte Sicherheitsengpässe beseitigen, indem Verantwortung früher im Software Development Lifecycle (SDLC) auf Entwickler verlagert wird. Sicherheitstests frühzeitig zu integrieren, klingt sinnvoll. Doch Entwickler zu zwingen, Security-Checks mit hoher False-Positive-Rate durchzuführen, kostet Stunden, ohne dass Anreize für ebenjene Entwickler bestehen. Stattdessen finden sie Umgehungslösungen, weil die Entwicklung von Features Vorrang hat.
Beim Shift-Left-Ansatz haben wir den gesamten SDLC aus dem Blick verloren, was unbeabsichtigte Folgen hatte. Jetzt wiederholen wir denselben Fehler mit KI-Code-Assistenten. Sie optimieren für die Code-Generierung, aber lassen den Review-Prozess unverändert. Die Lösung liegt nicht in mehr Personal oder mehr Tools, sondern im ganzheitlichen Blick auf die Pipeline.
Unternehmen, die diese Falle vermeiden, kartieren ihre Wertströme vor der nächsten KI-Einführung. Prozesse auf Basis impliziten Wissens müssen dokumentiert werden, denn sonst lässt sich der KI-Mehrwert weder messen noch nachweisen.
Führungskräfte sollten Review-Methoden einführen, die KI mit menschlicher Aufsicht kombinieren, und Prioritäten nach messbarem Risiko setzen. Code, der Kundendaten oder Produktionsdatenbanken berührt, erfordert intensivere Prüfung als ein UI-Feature.
Traditionelle Security-Frameworks treffen auf KI-Agenten
Traditionelle Security-Frameworks setzen vorhersehbares menschliches Verhalten voraus. KI-Agenten halten sich nicht daran, woraus eine völlig neue Risikoklasse entsteht.
Die Komplexität multipliziert sich, wenn Agenten über Organisationsgrenzen hinweg interagieren. Erhält ein interner Agent Anweisungen von einem Drittanbieter-Agenten, der seinerseits externe Anweisungen empfing, muss das Security-Modell potenziell manipulierte Anfragen außerhalb des Beobachtungsbereichs einkalkulieren.
Sicherheitskontrollen müssen Berechtigungen einschränken und das Agenten-Verhalten überwachen. Ansätze wie „composite identities” für KI-Systeme helfen dabei, Aktivitäten menschlicher Verantwortung zuzuordnen und nachzuverfolgen, wer was autorisiert hat.
Security-Teams brauchen zudem System-Design-Kompetenz. Viele Security-Ingenieure können nicht erklären, wie ein LLM-Backend funktioniert, obwohl dieses Verständnis für KI-Sicherheitsrisiken grundlegend ist. Tiefe Expertise ist nicht nötig, wohl aber ein Überblick darüber, wie die Teile zusammenwirken.
Die meisten Unternehmen werden die nächsten zwei Jahre KI-Fähigkeiten auf fehlerbehafteten Systemen aufbauen, weil Entwicklung nicht warten kann, bis alle Probleme behoben sind. Das ist die richtige Entscheidung. Eine Einheitslösung gibt es nicht. Entscheidend ist, Risiken anzuerkennen und strategisch zu managen.
Security-Teams können das nicht allein lösen. Laut Developer Experience sparen 91 Prozent der Entwickler durch KI drei bis vier Stunden pro Woche, doch organisatorische Dysfunktion – Meetings, Unterbrechungen, langsame Code-Reviews, CI-Wartezeiten – frisst mehr Zeit, als KI einspart. Die Ergebnisqualität variiert: Manche liefern schneller mit weniger Fehlern, andere versinken in technischen Schulden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der entscheidende Unterschied liegt nicht in den Tools, sondern in Engineering-Praktiken und Kultur. Wie Bryan Finster, Experte für Continuous Delivery, formuliert: „KI ist ein Verstärker. Ist ein Delivery-System gesund, macht KI es besser. Ist es kaputt, macht KI es schlechter.”
Die Ursachen liegen in vorgelagerten Problemen, die KI nun im großen Maßstab sichtbar macht. Security-Reviews erben jede Schwäche, die vor ihnen entstand.
Security-Teams müssen Fürsprecher für die Engineering-Praktiken werden, die sichere KI-Entwicklung ermöglichen: dokumentierte Prozesse, eine starke Test-Kultur und Continuous-Delivery-Prinzipien, die Sicherheit im gesamten Software-Delivery-Prozess verankern. Die eigentliche Engstelle ist häufig die Qualität dessen, was überhaupt bei ihnen ankommt.
Wer diese Probleme nicht jetzt angeht, dem macht das Volumen an KI-generiertem Code jede spätere Korrektur unmöglich.
Über die Autorin: Julie Davila ist Vice President of Product Security bei GitLab.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ac/c8/acc8e5a756212f6fe96b985e7e9476e1/0130634681v1.jpeg "Der Cybersicherheitsmonitor 2026: Künstliche Intelligenz (KI) ist im digitalen Alltag omnipräsent. Das nutzen Cyberkriminelle für sich: KI verändert auch Online-Betrug. Wie gut sind Verbraucherinnen und Verbraucher darauf vorbereitet? (Bild: BSI)")
:quality(80)/p7i.vogel.de/wcms/f4/af/f4af35db8c8e8cf077c164ab4a4f4222/0131205590v2.jpeg "Bei erfolgreicher Ausnutzung einer Zero‑Day‑Schwachstelle in Ivanti EPMM können Cyberangreifer Remote Code ausführen. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/e4/44e42874c27645151b96b2bd2c2fa911/0131280762v1.jpeg "Der Cybersicherheitsmonitor 2026 zeigt: Viele Internetnutzerinnen und Internetnutzer unterschätzen ihr persönliches Risiko, Opfer von Cyberkriminalität zu werden. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/62/4a62c503e12a78b6ec9f4d62a9045201/0130952805v2.jpeg "Heutzutage müssen Security Teams statt 100 Code-Zeilen nun bis zu 100.000 Zeilen Code, der von KI generiert wurde, pro Stunde bewerten. Das kann zu Fehlern führen, die Releasezyklen verzögern und das Incident-Risiko anheben. (© Stiefi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/3a/af3ae69e6662d83d1176f672c0c5eb5d/0130844912v1.jpeg "Wer IT und OT getrennt überwacht, übersieht genau die Schnittstellen, an denen die kritischsten Probleme entstehen. (Bild: ©Maria-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/d8/4ed86e5003968f427878eb7f1dab51fb/0129468268v1.jpeg "Die Zeit kleiner, spezialisierter Werkzeuge für Management, Administration und Inventarisierung von IT-Endpunkten ist abgelaufen – heute erledigen UEM-Systeme diese Aufgabe umfassend und teilweise automatisiert. (Bild: © Oleh - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/db/47/db47772acecd42ab415233b405b1227c/0130249229v1.jpeg "Seit 2018 dient ownCloud.online Unternehmen als Plattform für den Austausch und die Verwaltung von Dateien. (Bild: ownCloud.online)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a4/fc/a4fc4e17939a121f8e5c30a0c6dbd7b8/0131187277v2.jpeg "Die Schwachstellen ermöglichen es Angreifern, die Anmeldung vollständig zu umgehen und anschließend ihre Rechte zu erhöhen, bis hin zur administrativen Übernahme der MOVEit-Automation-Instanz und zum Zugriff auf sensible Daten. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/4e/024e85aaed69bc853e346b25ad2c8763/0130917616v1.jpeg "82 Prozent aller Netzwerkeinbrüche erfolgen ohne klassische Malware. Ransomware-Gruppen kaufen gestohlene Logins und sind in 72 Minuten am Ziel. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/ec/f3ec2afa661360dca8ec76c12398b839/0131058290v2.jpeg "Ab dem 2. Januar 2027 können EU-Bürgerinnen und -Bürger mit der EUDI Wallet ihre Identität und amtliche Nachweise, zum Beispiel Ausweis und Führerschein, sicher auf dem Smartphone verwalten, sich europaweit bei digitalen Diensten anmelden und Verträge sowie Rechnungen rechtssicher elektronisch unterschreiben. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/69/1c6942ebf47d36ad830afe472460d8c0/0130915347v2.jpeg "Cyberkriminelle zielen auf Session-Tokens statt Passwörter. Gestohlene Tokens machen MFA wirkungslos, weil sie die gesamte Sitzung übernehmen. (Bild: © CuteBee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/60/71609e66673b94ee22f2b4a9664082d1/0130401515v2.jpeg "73 Prozent der Unternehmen sehen Dokumentationspflicht als größten DSGVO-Aufwand. Deutsche Aufsichtsbehörden bieten bereits zahlreiche Muster zur Entlastung an. (Bild: © miss irine - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/b3/60b39eac7a2c0fee8e7f6c20f4277fa9/0129769581v1.jpeg "Fast neun von zehn Tech-Start-ups sehen in KI den wichtigsten Technologietrend. (Bild: © Art.disini – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b2/65/b2652c525f054b9cf8598440a7e24540/0128593399v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/95/8c952169f3c1d02127180ede18de651a/0130535511v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/06/11/0611c97d86e5eea3d57e3cbf9553b452/0105954086.jpeg "Cyber-Kriminelle haben längst erkannt, dass Angriffe auf die Software-Lieferkette weitreichenderen Erfolg versprechen als einzelne Angriffe. (Bild: rgaymon)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5073317f1801621f7104f6b08a6c52/0120237487v1.jpeg "Die meisten Entwickler nutzen heute KI-Tools für die Anwendungsentwicklung, obwohl diese nicht zuverlässig sicheren Code erzeugen können. (Bild: © Who is Danny – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/a8/1ea82c9ede1cb4112b01467d1a12ac5c/0130636224v2.jpeg "KI-Agenten sind weder klassische Nutzer noch Service Accounts. Unternehmen brauchen eine neue Identitätskategorie mit dynamischer Governance für autonome Agenten. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/e8/71e8424069c4312544f6cdcb13c2467e/0128608963v1.jpeg "KI alleine reicht nicht aus, um Cybersecurity-Teams zu unterstützen. Ohne Fachwissen sind Unternehmen nicht vor Angriffen geschützt. (Bild: © stokkete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108543f2d90eb885b978ddfe9a41e01/0129915774v4.jpeg "KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/09/ca09041f3f9b37f0352dd7d69cd2f648/0124778283v2.jpeg "Unternehmen, die KI-Technologien nutzen, dürfen Sicherheit nicht als nachträgliches Add-on betrachten, sondern müssen sie von Anfang an in ihre Strategie einbetten. (Bild: © LALAKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/65/b2652c525f054b9cf8598440a7e24540/0128593399v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/97/3d9766294184f807990612e7f58bf2b3/0130059255v2.jpeg "KI-gestützte Entwicklungstools versprechen Produktivitätsgewinne, doch Prompt-Injection-Angriffe und autonome Spionagekampagnen zeigen die wachsenden Risiken für Unternehmen. (Bild: © Arnab Dey - stock.adobe.com)")