Thought Leadership
Zwei Drittel aller Unternehmensumgebungen werden nicht auf Schwachstellen getestet, obwohl fast alle Firmen Penetrationstests als oberste Priorität einstufen.
Penetrationstests gehören zum Pflichtprogramm jeder Cybersicherheitsstrategie, zumindest in der Theorie. In der Praxis sieht es anders aus: Zwar stufen 95 Prozent der befragten Unternehmen Pentests als höchste Priorität ein, tatsächlich werden aber nur 32 Prozent der eigenen Angriffsfläche regelmäßig getestet. Das bedeutet im Umkehrschluss: Mehr als zwei Drittel der IT-Umgebungen bleiben ungeprüft und damit potenzielle Einfallstore für Angreifer.
Das geht aus der Studie „Der Stand von KI-gestützten Penetrationstests im Jahr 2026″ hervor, die das auf offensive Sicherheit spezialisierte Unternehmen Synack gemeinsam mit dem Analystenhaus Omdia veröffentlicht hat. Befragt wurden 200 Sicherheitsverantwortliche.
Klassische Pentests skalieren nicht
Die Ursache der Lücke liegt laut Studie in einem strukturellen Problem: Traditionelle Penetrationstests, die häufig nur ein- oder zweimal jährlich durchgeführt werden, können mit der Geschwindigkeit und Komplexität moderner Cloud- und KI-gestützter Umgebungen schlicht nicht mithalten. Angriffsflächen verändern sich schneller, als manuelle Tests sie erfassen können.
Entsprechend groß ist die Bereitschaft, auf neue Methoden zu setzen. 87 Prozent der befragten Organisationen haben die Evaluierungsphase bereits abgeschlossen und planen, erproben oder nutzen aktiv agentenbasierte KI für ihre Penetrationstests. Noch deutlicher: 95 Prozent gehen davon aus, dass KI-Agenten traditionelle Pentest-Dienstleistungen zumindest teilweise ersetzen werden. Knapp die Hälfte erwartet sogar eine vollständige oder signifikante Verdrängung.
Vertrauen ja, aber mit Leitplanken
Trotz der Aufgeschlossenheit gegenüber KI zeichnen die Daten auch ein differenziertes Bild beim Thema Kontrolle. 64 Prozent der Organisationen bevorzugen ein Modell, bei dem KI-Agenten unter menschlicher Aufsicht arbeiten, also Skalierbarkeit der Maschine gepaart mit dem Urteilsvermögen erfahrener Sicherheitsexperten.
Das Vertrauen in die Technologie ist dabei durchaus vorhanden: 87 Prozent der Führungskräfte geben an, agentenbasierter KI zu vertrauen. Gleichzeitig betonen aber 93 Prozent, dass umfassende Schutzmechanismen und eine transparente Entscheidungsfindung unverzichtbar seien, damit der Einsatz sicher bleibt.
Synack sieht sich bestätigt
Für Synack-CEO Jay Kaplan bestätigt die Studie die eigene Firmenphilosophie: „Die Branche ist bereit, das Modell der zweimal jährlichen Penetrationstests hinter sich zu lassen“, so Kaplan. Sicherheit erfordere maschinelle Geschwindigkeit für Abdeckung und menschliches Urteilsvermögen für Kreativität.
CTO Mark Kuhr ergänzt, dass reale Risiken weiterhin menschliche Kreativität erforderten. Erst die Kombination aus KI-Agenten und erfahrenen Red Teams ermögliche Tests, die das tatsächliche Vorgehen von Angreifern abbilden.
