KI kann Code schreiben und überprüfen – aber das Risiko tragen weiterhin die Menschen.
Die Einführung von Claude Code Security durch Anthropic markiert einen entscheidenden Schnittpunkt zwischen KI-gestützter Softwareentwicklung und der rasanten Weiterentwicklung unserer Herangehensweise an moderne Cybersicherheit. Diese neue Funktion von Claude kann zwar Schwachstellen in KI-generiertem Code identifizieren, schafft jedoch einen einzigen Punkt, an dem sowohl Vertrauen als auch Fehler auftreten können, und ein erfahrener Mensch muss diese Ergebnisse weiterhin bewerten und den geeigneten Weg zur Behebung der Schwachstellen bestimmen. Dieser Ansatz wird von Justin Greis, CEO der Beratungsfirma Acceligence, unterstützt, der gegenüber CSO Online erklärte: „Für diejenigen, die sich blind auf Code-Scanning-Tools, KI oder andere Tools verlassen, um die Grundlagen guter Sicherheitspraktiken und sicherer Programmierung zu ersetzen, ist dies ein Warnsignal, dass sie nicht gerade das Fachwissen auslagern sollten, das den Wertbeitrag des von ihnen entwickelten Produkts oder der Dienstleistung schützt.“
In dieser Hinsicht unterscheidet sich das Modell nicht grundlegend von herkömmlichen SAST-Tools. Es ist zwar in seiner Argumentation fortschrittlicher, aber ein risikosensitiver Anwendungsfall erfordert nach wie vor einen Menschen, der die aufgedeckten Probleme interpretiert, validiert und sicher behebt.
Die Gefahr für Unternehmen liegt nicht in den Fähigkeiten der KI, sondern in der unkontrollierten Autonomie der KI und der geringen Aufsicht innerhalb des Softwareentwicklungszyklus. Wenn KI sowohl Code generiert als auch bewertet, wird eine strenge und präzise Governance zu einer entscheidenden Kontrollmaßnahme.
Die sich erweiternde Definition des Begriffs „Entwickler“
KI hat die Einstiegshürden für die Entwicklung von Apps und Software gesenkt. Aber nur weil etwas mit KI schnell erledigt werden kann, heißt das noch lange nicht, dass man es auf die sicherste oder robusteste Weise tut oder dass das Projekt selbst schon für den Einsatz bereit ist. Die ganze Idee hinter Vibe Coding ist, erst mal in den „Flow-Zustand” zu kommen und sich später um die Formalitäten der Unternehmensentwicklung wie Sicherheit zu kümmern.
Der „Entwickler“ von heute kann sein:
- Ein traditioneller Ingenieur, der KI einsetzt, um Codierungsaufgaben zu beschleunigen
- Ein Produktmanager erstellt Prototypen von Funktionen mithilfe von Eingabeaufforderungen.
- Ein Datenanalyst, der Skripte mithilfe von KI automatisiert
- Ein QA-Ingenieur, der KI nutzt, um Testfälle zu generieren
Aus Sicht der Unternehmenssicherheit ist es weit weniger wichtig, wer den Code schreibt, als vielmehr, welche Auswirkungen der Code hat, sobald er in die Produktion gelangt. Aus Compliance- und Risikosicht führt die Interaktion einer Person mit KI dazu, dass Code ohne angemessene, unternehmensspezifische Sicherheitsüberwachung in den Softwareentwicklungslebenszyklus (SDLC) gelangt, was ein Unternehmensrisiko darstellt – ein Risiko, das verstanden, gemessen und gemindert werden muss.
Warum menschliches Urteilsvermögen nach wie vor wichtig ist
Da immer mehr Personen die Fähigkeit erwerben, Code zu generieren, der sich auf die Produktion oder sensible Codebasen auswirken könnte, erweitert sich das Risikoprofil eines Unternehmens. Die Governance muss weiterentwickelt werden, um eine KI-gesteuerte Entwicklung in großem Maßstab zu ermöglichen und gleichzeitig sicherzustellen, dass die zum Schutz des Unternehmens erforderlichen Kontrollen weiterhin fest verankert sind.
KI kann relativ zuverlässig Code generieren und potenzielle Schwachstellen aufzeigen. Was sie jedoch nicht kann, ist zu überprüfen, ob dieser Code im Kontext Ihrer Architektur, Ihrer Datenflüsse, Ihres Identitätsmodells, Ihrer regulatorischen Verpflichtungen oder Ihrer Risikotoleranz angemessen ist – und das sind grundlegende Informationen, die die Wirksamkeit jedes Sicherheitsprogramms beeinflussen. Darüber hinaus ist die Implementierung eines Tools wie Claude Code in den SDLC eine Sache, aber Tools wie BaxBench zeigen anhand umfangreicher Datenanalysen, dass verschiedene Modelle (z. B. Opus vs. Sonnet 4.5 vs. Sonnet 3) unterschiedliche Ergebnisse in Bezug auf Sicherheit und Genauigkeit liefern, was zu einem enormen Unterschied in den tatsächlichen Kosten führt, die ein Unternehmen letztendlich für die Nutzung zahlen muss, wenn es auf funktionierenden, sicheren Code drängt.
Sichere Software ist nicht einfach nur Code, der einen Scan besteht. Sie muss guten, sicheren Mustern folgen, die sich nahtlos in das Systemdesign, die Geschäftsziele und die Unternehmensrichtlinien einfügen. Das erfordert Urteilsvermögen. Wenn Entwickler sich stark auf KI verlassen, um Code zu generieren oder sogar zu überprüfen, besteht die reale Gefahr, dass ihr Verständnis der Codebasis schwindet. Wenn ein Ingenieur nicht vollständig erklären kann, warum ein Stück Code funktioniert oder sicher ist, hat das Unternehmen bereits eine Kontrollebene verloren.
Validierung ist nicht dasselbe wie Erkennung. Verantwortlichkeit ist nicht dasselbe wie Automatisierung. KI kann unterstützen, aber sie kann keine Verantwortung übernehmen (und bislang gibt es keine Gesetzgebung, die Menschen von den Folgen unzulässiger KI-Handlungen befreit).
Die Überwachung durch Menschen ist kein veraltetes Konzept. In einer KI-gesteuerten Entwicklungsumgebung ist sie die wichtigste Sicherheitsmaßnahme, die sicherstellt, dass der Code, der in den Softwareentwicklungszyklus gelangt, bewusst überprüft, verstanden und genehmigt wurde. Ohne diese Beurteilungsebene wird Geschwindigkeit zu einem Risiko.
Bildung muss die Grundlage für eine sichere Einführung künstlicher Intelligenz sein
In diesem Zusammenhang entwickelt sich die Schulung zum sicheren Programmieren von einem „Nice-to-have“ zu einer zentralen Unternehmenskontrolle. „Entwickler“ werden sich von Operatoren zu Orchestratoren weiterentwickeln, wodurch sich der Schwerpunkt der Ausbildung von der Entwicklung sicherer Codes hin zur Bewertung der Sicherheit von KI-generierten Codes verlagert.
Die Fähigkeiten, die erforderlich sind, um KI-generierten Code zu validieren, neue Arten von KI-Sicherheitslücken wie Prompt Injection zu antizipieren und zu verstehen, wie KI-Muster mit Ihrer Architektur interagieren, können nicht durch episodische Compliance-Module erlernt werden. Sie müssen kontinuierlich, praxisorientiert, in bestehende Arbeitsabläufe integriert und anhand realer Risikoergebnisse messbar sein.
KI-Software-Governance: Die Kontrollschicht, die uns fehlt
Viele Sicherheitsprogramme behandeln die Anwendungssicherheit immer noch als nachgelagerte Funktion. In einer KI-gesteuerten Umgebung hat dieses Modell nicht mehr denselben Einfluss auf die Risikominderung. Was benötigt wird, ist KI-Software-Governance: eine echte Kontrollebene für Unternehmen für einen KI-gesteuerten Softwareentwicklungslebenszyklus. Diese Disziplin erstreckt sich über den gesamten KI-gesteuerten Softwareentwicklungslebenszyklus und etabliert eine strukturierte Überwachung der Codeerstellung, -überprüfung und -freigabe.
Dazu gehören:
- Transparenz hinsichtlich der Nutzung von KI-Tools in allen Teams
- Eindeutige Zuordnung von KI-generiertem Code innerhalb des SDLC
- Korrelation von Codeänderungen mit Risikosignalen und politischen Anforderungen
- Durchsetzung sicherer Codierungsstandards innerhalb der Arbeitsabläufe von Entwicklern
- Kontinuierliche Weiterqualifizierung und messbare Fähigkeiten im Bereich sicheres Programmieren
- Nachweisbare Reduzierung des Sicherheitsrisikos, bevor der Code in die Produktion gelangt
Governance ist das Bindeglied zwischen Erkennung und Entscheidung und stellt sicher, dass Produktivitätssteigerungen nicht auf Kosten der Verantwortlichkeit gehen.
KI wird die Art und Weise, wie Software entwickelt wird, weiterhin verändern, und es ist weder realistisch noch wünschenswert, darauf zu verzichten. Die Produktivitäts- und Innovationsgewinne sind schließlich zu bedeutend. Um jedoch sicher einen Mehrwert zu erzielen, sind eine disziplinierte Überwachung und eine bewusste menschliche Validierung erforderlich, und auch diese Infrastruktur darf weder überstürzt noch ignoriert werden.
Die Einführung von Claude Code Security durch Anthropic markiert einen entscheidenden Schnittpunkt zwischen KI-gestützter Softwareentwicklung und der rasanten Weiterentwicklung unserer Herangehensweise an moderne Cybersicherheit.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Einführung von Claude Code Security durch Anthropic markiert einen entscheidenden Schnittpunkt zwischen KI-gestützter Softwareentwicklung und der rasanten Weiterentwicklung unserer Herangehensweise an moderne Cybersicherheit. Diese neue Funktion von Claude kann zwar Schwachstellen in KI-generiertem Code identifizieren, schafft jedoch einen einzigen Punkt, an dem sowohl Vertrauen als auch Fehler auftreten können, und ein erfahrener Mensch muss diese Ergebnisse weiterhin bewerten und den geeigneten Weg zur Behebung der Schwachstellen bestimmen. Dieser Ansatz wird von Justin Greis, CEO der Beratungsfirma Acceligence, unterstützt, der gegenüber CSO Online erklärte: „Für diejenigen, die sich blind auf Code-Scanning-Tools, KI oder andere Tools verlassen, um die Grundlagen guter Sicherheitspraktiken und sicherer Programmierung zu ersetzen, ist dies ein Warnsignal, dass sie nicht gerade das Fachwissen auslagern sollten, das den Wertbeitrag des von ihnen entwickelten Produkts oder der Dienstleistung schützt.“
In dieser Hinsicht unterscheidet sich das Modell nicht grundlegend von herkömmlichen SAST-Tools. Es ist zwar in seiner Argumentation fortschrittlicher, aber ein risikosensitiver Anwendungsfall erfordert nach wie vor einen Menschen, der die aufgedeckten Probleme interpretiert, validiert und sicher behebt.
Die Gefahr für Unternehmen liegt nicht in den Fähigkeiten der KI, sondern in der unkontrollierten Autonomie der KI und der geringen Aufsicht innerhalb des Softwareentwicklungszyklus. Wenn KI sowohl Code generiert als auch bewertet, wird eine strenge und präzise Governance zu einer entscheidenden Kontrollmaßnahme.
Die sich erweiternde Definition des Begriffs „Entwickler“
KI hat die Einstiegshürden für die Entwicklung von Apps und Software gesenkt. Aber nur weil etwas mit KI schnell erledigt werden kann, heißt das noch lange nicht, dass man es auf die sicherste oder robusteste Weise tut oder dass das Projekt selbst schon für den Einsatz bereit ist. Die ganze Idee hinter Vibe Coding ist, erst mal in den „Flow-Zustand” zu kommen und sich später um die Formalitäten der Unternehmensentwicklung wie Sicherheit zu kümmern.
Der „Entwickler“ von heute kann sein:
- Ein traditioneller Ingenieur, der KI einsetzt, um Codierungsaufgaben zu beschleunigen
- Ein Produktmanager erstellt Prototypen von Funktionen mithilfe von Eingabeaufforderungen.
- Ein Datenanalyst, der Skripte mithilfe von KI automatisiert
- Ein QA-Ingenieur, der KI nutzt, um Testfälle zu generieren
Aus Sicht der Unternehmenssicherheit ist es weit weniger wichtig, wer den Code schreibt, als vielmehr, welche Auswirkungen der Code hat, sobald er in die Produktion gelangt. Aus Compliance- und Risikosicht führt die Interaktion einer Person mit KI dazu, dass Code ohne angemessene, unternehmensspezifische Sicherheitsüberwachung in den Softwareentwicklungslebenszyklus (SDLC) gelangt, was ein Unternehmensrisiko darstellt – ein Risiko, das verstanden, gemessen und gemindert werden muss.
Warum menschliches Urteilsvermögen nach wie vor wichtig ist
Da immer mehr Personen die Fähigkeit erwerben, Code zu generieren, der sich auf die Produktion oder sensible Codebasen auswirken könnte, erweitert sich das Risikoprofil eines Unternehmens. Die Governance muss weiterentwickelt werden, um eine KI-gesteuerte Entwicklung in großem Maßstab zu ermöglichen und gleichzeitig sicherzustellen, dass die zum Schutz des Unternehmens erforderlichen Kontrollen weiterhin fest verankert sind.
KI kann relativ zuverlässig Code generieren und potenzielle Schwachstellen aufzeigen. Was sie jedoch nicht kann, ist zu überprüfen, ob dieser Code im Kontext Ihrer Architektur, Ihrer Datenflüsse, Ihres Identitätsmodells, Ihrer regulatorischen Verpflichtungen oder Ihrer Risikotoleranz angemessen ist – und das sind grundlegende Informationen, die die Wirksamkeit jedes Sicherheitsprogramms beeinflussen. Darüber hinaus ist die Implementierung eines Tools wie Claude Code in den SDLC eine Sache, aber Tools wie BaxBench zeigen anhand umfangreicher Datenanalysen, dass verschiedene Modelle (z. B. Opus vs. Sonnet 4.5 vs. Sonnet 3) unterschiedliche Ergebnisse in Bezug auf Sicherheit und Genauigkeit liefern, was zu einem enormen Unterschied in den tatsächlichen Kosten führt, die ein Unternehmen letztendlich für die Nutzung zahlen muss, wenn es auf funktionierenden, sicheren Code drängt.
Sichere Software ist nicht einfach nur Code, der einen Scan besteht. Sie muss guten, sicheren Mustern folgen, die sich nahtlos in das Systemdesign, die Geschäftsziele und die Unternehmensrichtlinien einfügen. Das erfordert Urteilsvermögen. Wenn Entwickler sich stark auf KI verlassen, um Code zu generieren oder sogar zu überprüfen, besteht die reale Gefahr, dass ihr Verständnis der Codebasis schwindet. Wenn ein Ingenieur nicht vollständig erklären kann, warum ein Stück Code funktioniert oder sicher ist, hat das Unternehmen bereits eine Kontrollebene verloren.
Validierung ist nicht dasselbe wie Erkennung. Verantwortlichkeit ist nicht dasselbe wie Automatisierung. KI kann unterstützen, aber sie kann keine Verantwortung übernehmen (und bislang gibt es keine Gesetzgebung, die Menschen von den Folgen unzulässiger KI-Handlungen befreit).
Die Überwachung durch Menschen ist kein veraltetes Konzept. In einer KI-gesteuerten Entwicklungsumgebung ist sie die wichtigste Sicherheitsmaßnahme, die sicherstellt, dass der Code, der in den Softwareentwicklungszyklus gelangt, bewusst überprüft, verstanden und genehmigt wurde. Ohne diese Beurteilungsebene wird Geschwindigkeit zu einem Risiko.
Bildung muss die Grundlage für eine sichere Einführung künstlicher Intelligenz sein
In diesem Zusammenhang entwickelt sich die Schulung zum sicheren Programmieren von einem „Nice-to-have“ zu einer zentralen Unternehmenskontrolle. „Entwickler“ werden sich von Operatoren zu Orchestratoren weiterentwickeln, wodurch sich der Schwerpunkt der Ausbildung von der Entwicklung sicherer Codes hin zur Bewertung der Sicherheit von KI-generierten Codes verlagert.
Die Fähigkeiten, die erforderlich sind, um KI-generierten Code zu validieren, neue Arten von KI-Sicherheitslücken wie Prompt Injection zu antizipieren und zu verstehen, wie KI-Muster mit Ihrer Architektur interagieren, können nicht durch episodische Compliance-Module erlernt werden. Sie müssen kontinuierlich, praxisorientiert, in bestehende Arbeitsabläufe integriert und anhand realer Risikoergebnisse messbar sein.
KI-Software-Governance: Die Kontrollschicht, die uns fehlt
Viele Sicherheitsprogramme behandeln die Anwendungssicherheit immer noch als nachgelagerte Funktion. In einer KI-gesteuerten Umgebung hat dieses Modell nicht mehr denselben Einfluss auf die Risikominderung. Was benötigt wird, ist KI-Software-Governance: eine echte Kontrollebene für Unternehmen für einen KI-gesteuerten Softwareentwicklungslebenszyklus. Diese Disziplin erstreckt sich über den gesamten KI-gesteuerten Softwareentwicklungslebenszyklus und etabliert eine strukturierte Überwachung der Codeerstellung, -überprüfung und -freigabe.
Dazu gehören:
- Transparenz hinsichtlich der Nutzung von KI-Tools in allen Teams
- Eindeutige Zuordnung von KI-generiertem Code innerhalb des SDLC
- Korrelation von Codeänderungen mit Risikosignalen und politischen Anforderungen
- Durchsetzung sicherer Codierungsstandards innerhalb der Arbeitsabläufe von Entwicklern
- Kontinuierliche Weiterqualifizierung und messbare Fähigkeiten im Bereich sicheres Programmieren
- Nachweisbare Reduzierung des Sicherheitsrisikos, bevor der Code in die Produktion gelangt
Governance ist das Bindeglied zwischen Erkennung und Entscheidung und stellt sicher, dass Produktivitätssteigerungen nicht auf Kosten der Verantwortlichkeit gehen.
KI wird die Art und Weise, wie Software entwickelt wird, weiterhin verändern, und es ist weder realistisch noch wünschenswert, darauf zu verzichten. Die Produktivitäts- und Innovationsgewinne sind schließlich zu bedeutend. Um jedoch sicher einen Mehrwert zu erzielen, sind eine disziplinierte Überwachung und eine bewusste menschliche Validierung erforderlich, und auch diese Infrastruktur darf weder überstürzt noch ignoriert werden.
Die Einführung von Claude Code Security durch Anthropic markiert einen entscheidenden Schnittpunkt zwischen KI-gestützter Softwareentwicklung und der rasanten Weiterentwicklung unserer Herangehensweise an moderne Cybersicherheit. Diese neue Funktion von Claude kann zwar Schwachstellen in KI-generiertem Code identifizieren, schafft jedoch einen einzigen Punkt, an dem sowohl Vertrauen als auch Fehler auftreten können, und ein erfahrener Mensch muss diese Ergebnisse weiterhin bewerten und den geeigneten Weg zur Behebung der Schwachstellen bestimmen. Dieser Ansatz wird von Justin Greis, CEO der Beratungsfirma Acceligence, unterstützt, der gegenüber CSO Online erklärte: „Für diejenigen, die sich blind auf Code-Scanning-Tools, KI oder andere Tools verlassen, um die Grundlagen guter Sicherheitspraktiken und sicherer Programmierung zu ersetzen, ist dies ein Warnsignal, dass sie nicht gerade das Fachwissen auslagern sollten, das den Wertbeitrag des von ihnen entwickelten Produkts oder der Dienstleistung schützt.“
In dieser Hinsicht unterscheidet sich das Modell nicht grundlegend von herkömmlichen SAST-Tools. Es ist zwar in seiner Argumentation fortschrittlicher, aber ein risikosensitiver Anwendungsfall erfordert nach wie vor einen Menschen, der die aufgedeckten Probleme interpretiert, validiert und sicher behebt.
Die Gefahr für Unternehmen liegt nicht in den Fähigkeiten der KI, sondern in der unkontrollierten Autonomie der KI und der geringen Aufsicht innerhalb des Softwareentwicklungszyklus. Wenn KI sowohl Code generiert als auch bewertet, wird eine strenge und präzise Governance zu einer entscheidenden Kontrollmaßnahme.
Die sich erweiternde Definition des Begriffs „Entwickler“
KI hat die Einstiegshürden für die Entwicklung von Apps und Software gesenkt. Aber nur weil etwas mit KI schnell erledigt werden kann, heißt das noch lange nicht, dass man es auf die sicherste oder robusteste Weise tut oder dass das Projekt selbst schon für den Einsatz bereit ist. Die ganze Idee hinter Vibe Coding ist, erst mal in den „Flow-Zustand” zu kommen und sich später um die Formalitäten der Unternehmensentwicklung wie Sicherheit zu kümmern.
Der „Entwickler“ von heute kann sein:
- Ein traditioneller Ingenieur, der KI einsetzt, um Codierungsaufgaben zu beschleunigen
- Ein Produktmanager erstellt Prototypen von Funktionen mithilfe von Eingabeaufforderungen.
- Ein Datenanalyst, der Skripte mithilfe von KI automatisiert
- Ein QA-Ingenieur, der KI nutzt, um Testfälle zu generieren
Aus Sicht der Unternehmenssicherheit ist es weit weniger wichtig, wer den Code schreibt, als vielmehr, welche Auswirkungen der Code hat, sobald er in die Produktion gelangt. Aus Compliance- und Risikosicht führt die Interaktion einer Person mit KI dazu, dass Code ohne angemessene, unternehmensspezifische Sicherheitsüberwachung in den Softwareentwicklungslebenszyklus (SDLC) gelangt, was ein Unternehmensrisiko darstellt – ein Risiko, das verstanden, gemessen und gemindert werden muss.
Warum menschliches Urteilsvermögen nach wie vor wichtig ist
Da immer mehr Personen die Fähigkeit erwerben, Code zu generieren, der sich auf die Produktion oder sensible Codebasen auswirken könnte, erweitert sich das Risikoprofil eines Unternehmens. Die Governance muss weiterentwickelt werden, um eine KI-gesteuerte Entwicklung in großem Maßstab zu ermöglichen und gleichzeitig sicherzustellen, dass die zum Schutz des Unternehmens erforderlichen Kontrollen weiterhin fest verankert sind.
KI kann relativ zuverlässig Code generieren und potenzielle Schwachstellen aufzeigen. Was sie jedoch nicht kann, ist zu überprüfen, ob dieser Code im Kontext Ihrer Architektur, Ihrer Datenflüsse, Ihres Identitätsmodells, Ihrer regulatorischen Verpflichtungen oder Ihrer Risikotoleranz angemessen ist – und das sind grundlegende Informationen, die die Wirksamkeit jedes Sicherheitsprogramms beeinflussen. Darüber hinaus ist die Implementierung eines Tools wie Claude Code in den SDLC eine Sache, aber Tools wie BaxBench zeigen anhand umfangreicher Datenanalysen, dass verschiedene Modelle (z. B. Opus vs. Sonnet 4.5 vs. Sonnet 3) unterschiedliche Ergebnisse in Bezug auf Sicherheit und Genauigkeit liefern, was zu einem enormen Unterschied in den tatsächlichen Kosten führt, die ein Unternehmen letztendlich für die Nutzung zahlen muss, wenn es auf funktionierenden, sicheren Code drängt.
Sichere Software ist nicht einfach nur Code, der einen Scan besteht. Sie muss guten, sicheren Mustern folgen, die sich nahtlos in das Systemdesign, die Geschäftsziele und die Unternehmensrichtlinien einfügen. Das erfordert Urteilsvermögen. Wenn Entwickler sich stark auf KI verlassen, um Code zu generieren oder sogar zu überprüfen, besteht die reale Gefahr, dass ihr Verständnis der Codebasis schwindet. Wenn ein Ingenieur nicht vollständig erklären kann, warum ein Stück Code funktioniert oder sicher ist, hat das Unternehmen bereits eine Kontrollebene verloren.
Validierung ist nicht dasselbe wie Erkennung. Verantwortlichkeit ist nicht dasselbe wie Automatisierung. KI kann unterstützen, aber sie kann keine Verantwortung übernehmen (und bislang gibt es keine Gesetzgebung, die Menschen von den Folgen unzulässiger KI-Handlungen befreit).
Die Überwachung durch Menschen ist kein veraltetes Konzept. In einer KI-gesteuerten Entwicklungsumgebung ist sie die wichtigste Sicherheitsmaßnahme, die sicherstellt, dass der Code, der in den Softwareentwicklungszyklus gelangt, bewusst überprüft, verstanden und genehmigt wurde. Ohne diese Beurteilungsebene wird Geschwindigkeit zu einem Risiko.
Bildung muss die Grundlage für eine sichere Einführung künstlicher Intelligenz sein
In diesem Zusammenhang entwickelt sich die Schulung zum sicheren Programmieren von einem „Nice-to-have“ zu einer zentralen Unternehmenskontrolle. „Entwickler“ werden sich von Operatoren zu Orchestratoren weiterentwickeln, wodurch sich der Schwerpunkt der Ausbildung von der Entwicklung sicherer Codes hin zur Bewertung der Sicherheit von KI-generierten Codes verlagert.
Die Fähigkeiten, die erforderlich sind, um KI-generierten Code zu validieren, neue Arten von KI-Sicherheitslücken wie Prompt Injection zu antizipieren und zu verstehen, wie KI-Muster mit Ihrer Architektur interagieren, können nicht durch episodische Compliance-Module erlernt werden. Sie müssen kontinuierlich, praxisorientiert, in bestehende Arbeitsabläufe integriert und anhand realer Risikoergebnisse messbar sein.
KI-Software-Governance: Die Kontrollschicht, die uns fehlt
Viele Sicherheitsprogramme behandeln die Anwendungssicherheit immer noch als nachgelagerte Funktion. In einer KI-gesteuerten Umgebung hat dieses Modell nicht mehr denselben Einfluss auf die Risikominderung. Was benötigt wird, ist KI-Software-Governance: eine echte Kontrollebene für Unternehmen für einen KI-gesteuerten Softwareentwicklungslebenszyklus. Diese Disziplin erstreckt sich über den gesamten KI-gesteuerten Softwareentwicklungslebenszyklus und etabliert eine strukturierte Überwachung der Codeerstellung, -überprüfung und -freigabe.
Dazu gehören:
- Transparenz hinsichtlich der Nutzung von KI-Tools in allen Teams
- Eindeutige Zuordnung von KI-generiertem Code innerhalb des SDLC
- Korrelation von Codeänderungen mit Risikosignalen und politischen Anforderungen
- Durchsetzung sicherer Codierungsstandards innerhalb der Arbeitsabläufe von Entwicklern
- Kontinuierliche Weiterqualifizierung und messbare Fähigkeiten im Bereich sicheres Programmieren
- Nachweisbare Reduzierung des Sicherheitsrisikos, bevor der Code in die Produktion gelangt
Governance ist das Bindeglied zwischen Erkennung und Entscheidung und stellt sicher, dass Produktivitätssteigerungen nicht auf Kosten der Verantwortlichkeit gehen.
KI wird die Art und Weise, wie Software entwickelt wird, weiterhin verändern, und es ist weder realistisch noch wünschenswert, darauf zu verzichten. Die Produktivitäts- und Innovationsgewinne sind schließlich zu bedeutend. Um jedoch sicher einen Mehrwert zu erzielen, sind eine disziplinierte Überwachung und eine bewusste menschliche Validierung erforderlich, und auch diese Infrastruktur darf weder überstürzt noch ignoriert werden.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Einführung von Claude Code Security durch Anthropic markiert einen entscheidenden Schnittpunkt zwischen KI-gestützter Softwareentwicklung und der rasanten Weiterentwicklung unserer Herangehensweise an moderne Cybersicherheit. Diese neue Funktion von Claude kann zwar Schwachstellen in KI-generiertem Code identifizieren, schafft jedoch einen einzigen Punkt, an dem sowohl Vertrauen als auch Fehler auftreten können, und ein erfahrener Mensch muss diese Ergebnisse weiterhin bewerten und den geeigneten Weg zur Behebung der Schwachstellen bestimmen. Dieser Ansatz wird von Justin Greis, CEO der Beratungsfirma Acceligence, unterstützt, der gegenüber CSO Online erklärte: „Für diejenigen, die sich blind auf Code-Scanning-Tools, KI oder andere Tools verlassen, um die Grundlagen guter Sicherheitspraktiken und sicherer Programmierung zu ersetzen, ist dies ein Warnsignal, dass sie nicht gerade das Fachwissen auslagern sollten, das den Wertbeitrag des von ihnen entwickelten Produkts oder der Dienstleistung schützt.“
In dieser Hinsicht unterscheidet sich das Modell nicht grundlegend von herkömmlichen SAST-Tools. Es ist zwar in seiner Argumentation fortschrittlicher, aber ein risikosensitiver Anwendungsfall erfordert nach wie vor einen Menschen, der die aufgedeckten Probleme interpretiert, validiert und sicher behebt.
Die Gefahr für Unternehmen liegt nicht in den Fähigkeiten der KI, sondern in der unkontrollierten Autonomie der KI und der geringen Aufsicht innerhalb des Softwareentwicklungszyklus. Wenn KI sowohl Code generiert als auch bewertet, wird eine strenge und präzise Governance zu einer entscheidenden Kontrollmaßnahme.
Die sich erweiternde Definition des Begriffs „Entwickler“
KI hat die Einstiegshürden für die Entwicklung von Apps und Software gesenkt. Aber nur weil etwas mit KI schnell erledigt werden kann, heißt das noch lange nicht, dass man es auf die sicherste oder robusteste Weise tut oder dass das Projekt selbst schon für den Einsatz bereit ist. Die ganze Idee hinter Vibe Coding ist, erst mal in den „Flow-Zustand” zu kommen und sich später um die Formalitäten der Unternehmensentwicklung wie Sicherheit zu kümmern.
Der „Entwickler“ von heute kann sein:
- Ein traditioneller Ingenieur, der KI einsetzt, um Codierungsaufgaben zu beschleunigen
- Ein Produktmanager erstellt Prototypen von Funktionen mithilfe von Eingabeaufforderungen.
- Ein Datenanalyst, der Skripte mithilfe von KI automatisiert
- Ein QA-Ingenieur, der KI nutzt, um Testfälle zu generieren
Aus Sicht der Unternehmenssicherheit ist es weit weniger wichtig, wer den Code schreibt, als vielmehr, welche Auswirkungen der Code hat, sobald er in die Produktion gelangt. Aus Compliance- und Risikosicht führt die Interaktion einer Person mit KI dazu, dass Code ohne angemessene, unternehmensspezifische Sicherheitsüberwachung in den Softwareentwicklungslebenszyklus (SDLC) gelangt, was ein Unternehmensrisiko darstellt – ein Risiko, das verstanden, gemessen und gemindert werden muss.
Warum menschliches Urteilsvermögen nach wie vor wichtig ist
Da immer mehr Personen die Fähigkeit erwerben, Code zu generieren, der sich auf die Produktion oder sensible Codebasen auswirken könnte, erweitert sich das Risikoprofil eines Unternehmens. Die Governance muss weiterentwickelt werden, um eine KI-gesteuerte Entwicklung in großem Maßstab zu ermöglichen und gleichzeitig sicherzustellen, dass die zum Schutz des Unternehmens erforderlichen Kontrollen weiterhin fest verankert sind.
KI kann relativ zuverlässig Code generieren und potenzielle Schwachstellen aufzeigen. Was sie jedoch nicht kann, ist zu überprüfen, ob dieser Code im Kontext Ihrer Architektur, Ihrer Datenflüsse, Ihres Identitätsmodells, Ihrer regulatorischen Verpflichtungen oder Ihrer Risikotoleranz angemessen ist – und das sind grundlegende Informationen, die die Wirksamkeit jedes Sicherheitsprogramms beeinflussen. Darüber hinaus ist die Implementierung eines Tools wie Claude Code in den SDLC eine Sache, aber Tools wie BaxBench zeigen anhand umfangreicher Datenanalysen, dass verschiedene Modelle (z. B. Opus vs. Sonnet 4.5 vs. Sonnet 3) unterschiedliche Ergebnisse in Bezug auf Sicherheit und Genauigkeit liefern, was zu einem enormen Unterschied in den tatsächlichen Kosten führt, die ein Unternehmen letztendlich für die Nutzung zahlen muss, wenn es auf funktionierenden, sicheren Code drängt.
Sichere Software ist nicht einfach nur Code, der einen Scan besteht. Sie muss guten, sicheren Mustern folgen, die sich nahtlos in das Systemdesign, die Geschäftsziele und die Unternehmensrichtlinien einfügen. Das erfordert Urteilsvermögen. Wenn Entwickler sich stark auf KI verlassen, um Code zu generieren oder sogar zu überprüfen, besteht die reale Gefahr, dass ihr Verständnis der Codebasis schwindet. Wenn ein Ingenieur nicht vollständig erklären kann, warum ein Stück Code funktioniert oder sicher ist, hat das Unternehmen bereits eine Kontrollebene verloren.
Validierung ist nicht dasselbe wie Erkennung. Verantwortlichkeit ist nicht dasselbe wie Automatisierung. KI kann unterstützen, aber sie kann keine Verantwortung übernehmen (und bislang gibt es keine Gesetzgebung, die Menschen von den Folgen unzulässiger KI-Handlungen befreit).
Die Überwachung durch Menschen ist kein veraltetes Konzept. In einer KI-gesteuerten Entwicklungsumgebung ist sie die wichtigste Sicherheitsmaßnahme, die sicherstellt, dass der Code, der in den Softwareentwicklungszyklus gelangt, bewusst überprüft, verstanden und genehmigt wurde. Ohne diese Beurteilungsebene wird Geschwindigkeit zu einem Risiko.
Bildung muss die Grundlage für eine sichere Einführung künstlicher Intelligenz sein
In diesem Zusammenhang entwickelt sich die Schulung zum sicheren Programmieren von einem „Nice-to-have“ zu einer zentralen Unternehmenskontrolle. „Entwickler“ werden sich von Operatoren zu Orchestratoren weiterentwickeln, wodurch sich der Schwerpunkt der Ausbildung von der Entwicklung sicherer Codes hin zur Bewertung der Sicherheit von KI-generierten Codes verlagert.
Die Fähigkeiten, die erforderlich sind, um KI-generierten Code zu validieren, neue Arten von KI-Sicherheitslücken wie Prompt Injection zu antizipieren und zu verstehen, wie KI-Muster mit Ihrer Architektur interagieren, können nicht durch episodische Compliance-Module erlernt werden. Sie müssen kontinuierlich, praxisorientiert, in bestehende Arbeitsabläufe integriert und anhand realer Risikoergebnisse messbar sein.
KI-Software-Governance: Die Kontrollschicht, die uns fehlt
Viele Sicherheitsprogramme behandeln die Anwendungssicherheit immer noch als nachgelagerte Funktion. In einer KI-gesteuerten Umgebung hat dieses Modell nicht mehr denselben Einfluss auf die Risikominderung. Was benötigt wird, ist KI-Software-Governance: eine echte Kontrollebene für Unternehmen für einen KI-gesteuerten Softwareentwicklungslebenszyklus. Diese Disziplin erstreckt sich über den gesamten KI-gesteuerten Softwareentwicklungslebenszyklus und etabliert eine strukturierte Überwachung der Codeerstellung, -überprüfung und -freigabe.
Dazu gehören:
- Transparenz hinsichtlich der Nutzung von KI-Tools in allen Teams
- Eindeutige Zuordnung von KI-generiertem Code innerhalb des SDLC
- Korrelation von Codeänderungen mit Risikosignalen und politischen Anforderungen
- Durchsetzung sicherer Codierungsstandards innerhalb der Arbeitsabläufe von Entwicklern
- Kontinuierliche Weiterqualifizierung und messbare Fähigkeiten im Bereich sicheres Programmieren
- Nachweisbare Reduzierung des Sicherheitsrisikos, bevor der Code in die Produktion gelangt
Governance ist das Bindeglied zwischen Erkennung und Entscheidung und stellt sicher, dass Produktivitätssteigerungen nicht auf Kosten der Verantwortlichkeit gehen.
KI wird die Art und Weise, wie Software entwickelt wird, weiterhin verändern, und es ist weder realistisch noch wünschenswert, darauf zu verzichten. Die Produktivitäts- und Innovationsgewinne sind schließlich zu bedeutend. Um jedoch sicher einen Mehrwert zu erzielen, sind eine disziplinierte Überwachung und eine bewusste menschliche Validierung erforderlich, und auch diese Infrastruktur darf weder überstürzt noch ignoriert werden.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Cyber Resilience Act (CRA) – Angepasste Lernpfade
SCW unterstützt die Vorbereitung auf den Cyber Resilience Act (CRA) mit CRA-konformen Quests und konzeptionellen Lernsammlungen, die Entwicklungsteams dabei helfen, die CRA-Sicherheitsentwicklungsprinzipien „Secure by Design“, SDLC und sichere Codierungskompetenzen zu verinnerlichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Das Gesetz zur Cyber-Resilienz erklärt: Was es für die Entwicklung sicherer Software bedeutet
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) vorschreibt, für wen es gilt und wie sich Entwicklerteams mit Secure-by-Design-Praktiken, Schwachstellenprävention und dem Aufbau von Entwicklerkompetenzen darauf vorbereiten können.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
