Thought Leadership
Anthropic macht dieser Tage Schlagzeilen. Unter anderem hat der Launch von Claude Code Security die Cybersecurity-Welt in Aufruhr versetzt. Das ambitionierte Ziel des Tools ist es, KI-generierten Code ein für alle Mal sicher zu machen. Da hat man den Mund allerdings ganz schön voll genommen.
Denn obwohl die Börsenkurse von CrowdStrike, Cloudflare, Datadog und Fortinet direkt nach der Ankündigung fielen, wird eine unmittelbare Revolution der Cybersicherheit ausbleiben. Die drastischen Reaktionen der Wirtschaft folgten nämlich einer zugegebenermaßen sehr beeindruckenden Fallstudie von Anthropic: ihre KI hat im Code von aktiv in Produktion eingesetzten Open-Source-Projekten über 500 Sicherheitslücken gefunden. Viele IT-Entscheider haben sich logischerweise gefragt, warum sie dann noch Sicherheitsmaßnahmen integrieren, Analysten engagieren oder AppSec-Tools anschaffen sollen. Claude Code Security versprach, das alles überflüssig zu machen. Die Erwartungshaltung stieg ins Unermessliche …
… und dann kam man langsam auf den Boden der Tatsachen zurück. Ja, Anthropics Tool und der Shift von Mustererkennung zu KI-gestütztem Reasoning ist super. Nüchtern betrachtet handelt es sich dabei allerdings lediglich um eine etwas intelligentere Variante eines SAST (Static Application Security Testing)-Scanners. Und besonders „neu“ ist das Konzept auch nicht, GitHub offeriert ein ähnliches Konzept mit GitHub Advanced Security, nur auf Ebene der Repositories und Pull Requests. Zudem ziehen viele SAST-Anbieter nach und implementieren GenAI-Funktionalität, sodass das Alleinstellungsmerkmal von Claude Code Security nicht lange anhalten wird. Man kann Anthropic jedoch nicht absprechen, eine Vorreiterrolle im Hinblick auf die KI-basierte Code-Kontrolle einzunehmen.
Ein Tool ersetzt keine ganzheitliche AppSec-Strategie
Dennoch: Ein Tool macht noch keine holistische AppSec-Strategie und entsprechende Plattformen überflüssig. In der Anwendungssicherheit geht es eben nicht nur um SAST-Scanning, sondern auch um die Durchsetzung von Policies, die Priorisierung des Schwachstellenmanagements basierend auf dem Geschäftskontext und über den gesamten Software Development Lifecycle hinweg, klare Verantwortlichkeiten, die Integration von Sicherheitsmaßnahmen in etablierte Workflows sowie Kontroll- und Reporting-Funktionen für CISOs und den Vorstand. Ein einzelnes KI-Tool, so gut es auch sein mag, kann das aktuell nicht abdecken.
Erfüllt sich nun also der jahrzehntelange Traum von fehlerfreiem Code? Das wohl (noch!) nicht. Aber wir sind ihm durch KI einen Schritt nähergekommen.
