Software Security für die KI-Ära

Es war noch nie so einfach, Sicherheitslücken schnell und in großem Maßstab zu finden. Linus’s Law, die bekannte These des Open-Source-Pioniers Eric Raymond, besagt: „Given enough eyeballs, all bugs are shallow“ – auf Deutsch sinngemäß: Wenn genügend Menschen einen Code prüfen, wird jemand die Fehler entdecken.

KI hat dieses Prinzip grundlegend beschleunigt und neue Werkzeuge hervorgebracht, die Geschwindigkeit und Kapazität bei der Schwachstellensuche erheblich steigern. Die entscheidende Frage lautet: Wer findet sie zuerst – Ihr Sicherheitsteam oder Bedrohungsakteure?

1. KI-Red-Teaming: Kein Pilotprojekt mehr

Der Erfolg von XBOW, einem autonomen KI-System, das selbstständig Softwareschwachstellen entdeckt, ausnutzt und meldet, markiert einen Wendepunkt für die Anwendungssicherheit (AppSec). Innerhalb von 90 Tagen meldete der autonome KI-Penetrationstester mehr als 1.060 Schwachstellen – mehr als Tausende menschliche Sicherheitsforscher in vergleichbarer Zeit. Die Befunde waren dabei keineswegs theoretischer Natur: Im Rahmen von Bug-Bounty-Programmen konnten Unternehmen 130 kritische Schwachstellen beheben, die XBOW identifiziert hatte; über 300 weitere befinden sich derzeit in der Triage.

Besonders bedeutsam ist die Skalierbarkeit des Systems. XBOW arbeitet autonom, benötigt keine Pausen und analysiert Tausende von Zielen gleichzeitig. Während menschliche Sicherheitsforscher selektiv vorgehen und sich auf besonders lohnende Angriffsziele konzentrieren, kann ein KI-System die gesamte Angriffsfläche systematisch abdecken. Laut HackerOne haben autonome Agenten allein im Jahr 2025 mehr als 560 valide Sicherheitsberichte eingereicht. Schwachstellen, deren Ausnutzung früher erfahrene Experten erforderte, sind heute blitzschnell auffindbar.

2. Bedrohungsmodellierung mit KI-Geschwindigkeit

Mit der Veröffentlichung eines KI-gestützten Threat-Modeling-Co-Pilot-Forschungsprojekts hat JPMorgan Chase gezeigt, wie Enterprise-AppSec-Teams KI bereits heute einsetzen, um Geschwindigkeitsengpässe zu überwinden. Das entwickelte System Auspex überführt bewährte Methoden der Bedrohungsmodellierung in spezialisierte Prompts, die KI durch Systemzerlegung, Bedrohungsidentifikation und Mitigationsstrategien führen, sodass Entwickler diese anschließend im Self-Service-Modell bearbeiten können.

Auspex kombiniert generative KI mit Expertenframeworks, branchenüblichen Best Practices und dem institutionellen Wissen von JPMorgan. Über eine als „Tradecraft Prompting“ bezeichnete Technik kodiert das System diesen Kontext direkt in KI-Prompts, verarbeitet Architekturdiagramme und Textbeschreibungen und generiert über verkettete Prompts Bedrohungsmatrizen, die Szenarien, Bedrohungstypen, Sicherheitskategorisierungen und mögliche Gegenmaßnahmen spezifizieren. Traditionelle Bedrohungsmodellierung dauert Wochen oder Monate; KI-gestützte Ansätze wie der von JPMorgan reduzieren diesen Zeitraum auf Minuten – bei gleichzeitig verbesserter Analysequalität.

3. Der Mensch im Mittelpunkt

Die von XBOW und Auspex illustrierten KI-Anwendungsfälle bieten AppSec-Teams eine Alternative zum klassischen Modell, das im Entwicklungsprozess erhebliche Ressourcen bindet und dennoch nur begrenzte Abdeckung bietet. Code-Review-Rückstände wachsen, Sicherheitsschulden häufen sich, und kritische Schwachstellen gelangen in die Produktion, weil Menschen nach wie vor Engpässe im Software-Entwicklungslebenszyklus bilden. Aktuelle Studien zeigen, dass Teams bis zu sieben Stunden pro Woche durch ineffiziente Prozesse verlieren.

KI verändert diese Gleichung grundlegend. Sicherheitsteams können Ressourcen systematisch von manuellen, repetitiven Tätigkeiten umlenken – hin zum Aufbau sicherheitstechnischer Lösungen, die KI direkt in Entwickler-Workflows integrieren.

4. Fünf Strategien für skalierbare AppSec

1. Abfragbare Sicherheitsintelligenz aufbauen: Sicherheitsbugs, Schwachstellenberichte und Vorfälle sollten in strukturierten Datenspeichern mit semantischer Suchfunktion erfasst werden. Historische Befunde lassen sich so in Embeddings überführen, die KI-Systemen ermöglichen, ähnliche Muster über Codebasen hinweg zu erkennen. Tritt eine neue Schwachstellenklasse auf, kann das System sofort prüfen, ob vergleichbare Probleme andernorts bestehen.
   
2. Modelle für die eigene Umgebung anpassen: Anstatt auf generische kommerzielle Tools zu setzen, sollten AppSec-Teams RAG-Ansätze (Retrieval-Augmented Generation) nutzen, um Large Language Models mit organisationsspezifischen Sicherheits-Antipatterns und Architekturstandards anzureichern. Aktuelle Forschungsergebnisse belegen, dass die Kombination von Static Analyzern wie PMD und Checkstyle mit feinabgestimmten LLMs die Genauigkeit von Code-Reviews deutlich verbessert und gleichzeitig False Positives reduziert.
   
3. KI in Entwickler-Toolchains integrieren: Sicherheitsbefunde, die erst Tage oder Wochen nach der Codeerstellung vorliegen, erzeugen Reibungsverluste und erzwingen unnötiges Context Switching. Werden KI-gestützte Analysen direkt in IDEs, CI/CD-Pipelines und Pull-Request-Workflows eingebettet, erhalten Entwickler Sicherheitshinweise in Echtzeit, während sie den Code schreiben.
   
4. Bedrohungsmodellierung im großen Maßstab anwenden: Analog zum JPMorgan-Ansatz sollte jedes neue System-Design, jede API-Spezifikation und jede Infrastrukturänderung automatisch analysiert werden. Das Ziel ist nicht Perfektion, sondern Abdeckung: KI-generierte Bedrohungsmodelle für 100 Prozent der Systeme sind expertenbegutachteten Modellen für zehn Prozent vorzuziehen.
   
5. SAST mit KI verbessern: Herkömmliche SAST-Tools erzeugen hohe Volumina an False Positives, die Entwickler desensibilisieren und Triage-Aufwand verursachen. KI kann die Genauigkeit dieser Werkzeuge deutlich steigern, indem sie Code-Kontext versteht, Datenflüsse analysiert und echte Schwachstellen erkennt, die musterbasierten Tools entgehen.

Fazit: Sicherheit neu ausrichten

Sicherheitsteams stehen an einem Wendepunkt. Der klassische Ansatz, Code-Reviews durch zusätzliche Ingenieure zu skalieren, greift nicht mehr, wenn Entwicklung sich in diesem Tempo bewegt. KI kann mithalten und Software schützen, während Teams sie entwickeln.

Dieser Wandel vollzieht sich jedoch nicht von selbst. Security-Verantwortliche müssen proaktiv handeln: den Fokus ihrer Teams neu ausrichten, Workflows neu gestalten und überdenken, welche Kompetenzen entscheidend sind, wenn Mensch und KI zusammenarbeiten. Organisationen, die diese Arbeit frühzeitig leisten, werden mit robusterer Sicherheit, niedrigeren Kosten und schnelleren Auslieferungszyklen aus diesem Wandel hervorgehen.