Generative KI kann die Software-Entwicklung beschleunigen, doch der Code ist leider mindestens genauso fehlerbehaftet wie manuell geschriebener. Noch dazu kommt man beim Bereinigen der Sicherheitsmängel kaum hinterher. Abhilfe könnte wiederum eine KI schaffen.
KI kann dabei helfen, Sicherheitslücken im Code zu identifizieren und zu beheben.
(Bild: Alexander Limbach - stock.adobe.com)
Heutzutage entstehen Sicherheitslücken in Code schneller, als sie behoben werden können. Die Gründe dafür sind vielfältig. Die zunehmende Anzahl und Komplexität von Anwendungen sowie die Veränderungen während ihrer Lebensdauer etwa tragen maßgeblich dazu bei, dass Sicherheitsprobleme überproportional steigen. „Aufgeschoben ist nicht gleich aufgehoben“ zählt hier nicht. Zwischen manuellen Sicherheitschecks kann es erneut zu Sicherheitsmängeln mit gravierenden Auswirkungen kommen – negativen finanziellen, strategischen und sicherheitsrelevanten Folgen.
Zwar ist die Effizienz bei der Entwicklung von Software über die Jahre hinweg exponentiell gestiegen. Dafür verantwortlich sind zum Großteil Softwareentwicklungstechniken wie die Verwendung von Bibliotheken von Drittanbietern, Microservices und Automatisierung. Doch leider führt diese Produktivitätssteigerung zu immer noch mehr Sicherheitsproblemen.
Im direkten Vergleich mit den Verbesserungen bei der Entwicklung sind die Fortschritte bei der Behebung von Sicherheitsmängeln in Software-Code eher marginal. Zwar gab es auch dort deutliche Fortschritte. So dauerte es 2017 noch drei Jahre, bis 50 Prozent der Schwachstellen in Code behoben waren – heute ist das in etwas mehr als einem Jahr machbar. Dennoch gibt es noch viel Raum zur Weiterentwicklung.
Beispielsweise sind 77 Prozent der Schwachstellen in Bibliotheken von Drittanbietern auch nach drei Monaten noch immer nicht behoben. Auf diese Weise wird die Kluft zwischen Software-Entwicklung und -Sicherheit immer größer. Der Grund dafür ist offensichtlich: Software wird mit der Hilfe von Automatisierung schneller erstellt, aber das Beheben von Sicherheitsmängeln erfolgt in der Regel immer noch manuell oder „nur“ teilautomatisiert.
Generative KI und Companion Coding sind zweifelsohne revolutionäre Neuerungen. Gleichzeitig ist ihre Auswirkung auf die Sicherheit von Software immens. KI- und ML-Modelle sind immer nur so gut wie das Training und die Daten, aus denen sie lernen. Laut State of Software Security Report 2024 wiesen 80 Prozent der in den letzten zwölf Monaten untersuchten Software erhebliche Sicherheitsmängel auf. Dies deutet darauf hin, dass ML-Modelle, die auf unsicherer Software trainiert werden, anschließend dieselben Sicherheitsmängel reproduzieren.
Die technischen Errungenschaften erhöhen somit auch das Risiko, unsichere Software zu kreieren. Um mit der riesigen Menge an Sicherheitsbedrohungen Schritt zu halten, besteht ein klarer Bedarf an zusätzlichen Sicherheitslösungen. Diese müssen mit dem Entwicklungstempo und der Geschwindigkeit, in der Fehler in Software-Code entstehen, mithalten können.
Eine Lösung dafür sind automatisierte Prozesse bei der Behebung von Schwachstellen. Eine der effizientesten Möglichkeiten, Sicherheitslücken in Software-Code und Anwendungen schnell genug zu schließen, ist die Nutzung von ML und KI. So können Entwickler mit denselben oder weniger Ressourcen bessere Ergebnisse erzielen.
Manuelle Behebung kostet Zeit
Zu den größten Herausforderungen bei der Software-Entwicklung zählen die Planung des Arbeitsaufwandes sowie der hohe Zeitdruck. Häufig bleibt nicht genügend Zeit, um sich ausreichend um gefundene Sicherheitslücken im Code zu kümmern. Gleichzeitig steigt das Risiko mit der Lebensdauer einer Anwendung. Wenn neue Funktionen hinzugefügt werden, entstehen neue Schwachstellen. Das wiederum erhöht die Verwundbarkeit der Software.
Developer und Unternehmen benötigen deshalb Tools, die mehr können, als Software-Code nur zu scannen und Schwachstellen zu finden. Sie benötigen Lösungen, die Sicherheitsmängel automatisiert beheben. Das heißt: Auf KI und ML basierende Lösungen durchsuchen Code nicht nur nach Sicherheitslücken, sondern stellen Entwicklern auch sichere Code-Patches zur direkten Implementierung zur Verfügung. Manuelle Korrekturen sind dann nur noch in wenigen Fällen nötig.
Mängel oder Sicherheitslücken in Code, die ansonsten Monate lang weiterbestehen würden, lassen sich so in Minuten beheben. Das verringert die Arbeitslast für Entwickler und spart ihnen wertvolle Zeit. Gleichzeitig ist es leichter, Anwendungen und Software von Entwicklungsbeginn bis zum Ende der Laufzeit sicher zu halten. Im Wesentlichen können Unternehmen so mehr Sicherheitslücken in kürzerer Zeit und mit weniger Entwicklungsressourcen beheben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI in der Praxis – auf ihr Training kommt es an
Bei ihrem Einsatz als Sicherheitslösung ist ausschlaggebend, wie KI und ML trainiert werden. Für das Training sollten hochgradig kuratierte und proprietäre Datensätze zum Einsatz kommen, die von erfahrenen Sicherheitsexperten untersucht wurden. Dabei sind verschiedene Analysemethoden und manuelle Tests wichtig. Einige der besten Daten für das Training von KI zu diesem Zweck stammen von Dienstleistern, die über viele entsprechende Daten verfügen und diese gleichzeitig gemäß den geltenden Vorgaben schützen. So sind sie in der Lage, KI- und ML-Modelle richtig zu trainieren.
Datenschutz ist dabei ein besonders wichtiges Thema. So sollten sich sensible Attribute in den Daten unterdrücken, maskieren oder anonymisieren lassen. Im Fall von Code umfasst dies die Namen von Klassen, Methoden, Variablen und anderen Bezeichnungen. Auch die Verwendung kryptografischer Techniken ist eine Möglichkeit. Sicherheitsverantwortliche sollten darauf achten, wenn sie sich für eine KI- oder ML-basierte Lösung zur Beseitigung von Sicherheitslücken in Code entscheiden.
KI muss erklärbar sein
Das KI-System sollte darüber hinaus für Nutzer und Interessensgruppen transparent und erklärbar sein – Explainable AI. So können sie verstehen, wie KI-Modelle Entscheidungen treffen. Das gibt die notwendige Transparenz und stärkt das Vertrauen. Durch die Bereitstellung interpretierbarer Erklärungen können die Nutzer die Zuverlässigkeit und potenzielle Voreingenommenheit von KI-Systemen beurteilen, damit der Einsatz von KI ethisch einwandfrei und überschaubar bleibt.
Vorteile der intelligenten Fehlerbehebung
Unsere Ergebnisse der statischen Code-Analyse für Java-Anwendungen zeigen: unsere KI- und ML- basierte Lösung Veracode Fix kann in 72 Prozent der entdeckten Fälle von Sicherheitslücken passende Korrekturempfehlungen zur Verfügung stellen. AI-basierte Lösungen können also nachweislich die Arbeitsbelastung verringern und die durchschnittliche Zeit bis zur Behebung von Schwachstellen in Code verkürzen.
Durch diese Verringerung des Zeit- und Arbeitsaufwands können Unternehmen ihre Sicherheitslage entscheidend verbessern. Risiken lassen sich verringern, Markteinführungen beschleunigen, gesetzliche Vorschriften besser einhalten sowie die betriebliche Effizienz erhöhen. Das bedeutet mehr Kapazität für Innovation und die Konzentration auf die Entwicklung von Software - statt auf deren Reparatur.
<div class="inf-box inf-box--no-border inf-marginbottom-base"> <p class="inf-text-small inf-font-w-light"> <img data-src="https://p7i.vogel.de/wcms/65/dc/65dc64fe58657/julian-totzek-hallhuber--c--veracode.jpeg" src="https://p7i.vogel.de/wcms/65/dc/65dc64fe58657/julian-totzek-hallhuber--c--veracode.jpeg" class="inf-img-round inf-float-left"> <span><b>* Über den Autor</b><br> Julian Totzek-Hallhuber ist Manager Solution Architect EMEA/APAC/LATAM bei <u><a href=https://www.veracode.com/>Veracode</a></u>. </span> </p> <p class="inf-text-micro">Bildquelle: Veracode</p></div>
:quality(80)/p7i.vogel.de/wcms/df/b0/dfb069f4822deb450a9e2901086e764a/0129063525v2.jpeg "Solange mit künstlicher Intelligenz nicht zuverlässig Erlöse erwirtschaftet werden, ist es in den Augen mancher Analysten gefährlich, massiv in Fertigungskapazitäten für AI-Chips zu investieren. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/4c/74/4c74fc8b159433dda8f875c353283eef/0129069237v1.jpeg "Thoughtworks präsentiert mit AI/works eine agentenbasierte Plattform zur Analyse und Modernisierung von Altsystemen in hybriden IT-Umgebungen. (Bild: Thoughtworks)")
:quality(80)/p7i.vogel.de/wcms/0d/7d/0d7d4d387b2df6692d3d0f729d4680d9/0128775027v1.jpeg "Der Autor: Stefan Bär ist CTO und Business Unit Leiter bei Nagarro und verfügt über mehr als 20 Jahre Erfahrung in Software-Engineering, Enterprise-IT und Innovationsmanagement. (Bild: Nagarro)")
:quality(80)/p7i.vogel.de/wcms/ab/71/ab71eadf052742a3133b1bf01a5b4094/0128381066v1.jpeg "Der Autor: Benedikt Bonnmann ist Mitglied des Vorstands der Adesso SE und Experte für Data & Analytics sowie KI (Bild: Adesso SE)")
:quality(80)/p7i.vogel.de/wcms/69/77/6977dceebf7e9d4af0f69fc975ec7890/0129070771v1.jpeg "MongoDB integriert Embedding- und Reranking-Modelle von Voyage AI direkt in die Datenbank, um semantische Abfragen und Retrieval-Workloads ohne externe Vektorspeicher zu ermöglichen. (Bild: Voyage AI)")
:quality(80)/p7i.vogel.de/wcms/44/17/4417973fa69edeb509aebb9aba0579b7/0128919402v1.jpeg "Box Extract wandelt unstrukturierte Unternehmensdokumente per KI in strukturierte Metadaten um und automatisiert Workflows, Suche und Analysen in Unternehmen. (Bild: Box)")
:quality(80)/p7i.vogel.de/wcms/85/2f/852ff89e3ef46f49350791602e5420ed/0128485353v1.jpeg "Couchbase stellt AI Services vor. Einheitliche KI-Datenplattform integriert operative Daten, Vektoren und Modelle und ermögliche sichere und leistungsfähige KI-Anwendungen im großen Maßstab. (Bild: Couchbase)")
:quality(80)/p7i.vogel.de/wcms/21/00/21000a287989508668d9df02312fb708/0127948285v1.jpeg "Der Autor: Dan Adams ist Executive Vice President und General Manager von Enrich bei Precisely (Bild: Precisely)")
:quality(80)/p7i.vogel.de/wcms/eb/93/eb93a51ff7c427f71171f547d011bfb8/0127827710v1.jpeg "Wie Observability technische Daten in geschäftliche Entscheidungen übersetzt und so Management und IT auf dieselbe Landkarte bringt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/f8/73f823d4efa52d189464ba7f14e67353/0128362051v1.jpeg "Qlik stattet sein Iceberg-Lakehouse mit Streaming-Ingestion, Echtzeit-Transformationen und Zero-Copy-Mirroring aus. Neue Optionen für hybride Datenarchitekturen. (Bild: Qlik)")
:quality(80)/p7i.vogel.de/wcms/d4/90/d49096fad857f07b788198c34b35e010/0128339234v1.jpeg "Prophet ist ein wertvolles Werkzeug zur Datenanalyse mithilfe von Python und R. (Bild: T. Joos)")
:quality(80)/p7i.vogel.de/wcms/95/a9/95a926949a211ff3f81e7e99876c5065/0128215860v1.jpeg "Audius verspricht KI-gestützte Wettbewerbsanalysen und Benchmarks auf Knopfdruck. (Bild: Audius)")
:quality(80)/p7i.vogel.de/wcms/e1/53/e1539f6251b6e5502bd1856048c4267e/0128161589v2.jpeg "Nikolas Fleschhut, Director und Mitglied der Geschäftsführung bei der HRtbeat GmbH meint: „Employer Branding sollte 2025 für den Mittelstand keine Option mehr sein, sondern ein Muss!“ (Bild: www.bkfotofilm.de – marconomy)")
:quality(80)/p7i.vogel.de/wcms/c9/1a/c91ad9dfc806cc7df9fe7074ca5e64dd/0127064676v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/39/09/390978331ebdf2bcf9510be67adae57d/0126741038v1.jpeg "Der Autor: Jan van Hueth ist Senior-Projektleiter KI im Körber-Einkauf (Bild: Körber AG)")
:quality(80)/p7i.vogel.de/wcms/58/df/58df8fb80642acb12018283c32bc55ad/0129070800v1.jpeg "Prof. Alexander König im Gespräch mit der Bayerischen Gesundheitsministerin Judith Gerlach. Vorne: Der neue Garmi. (Bild: MAX MERGET)")
:quality(80)/p7i.vogel.de/wcms/8d/62/8d62d570c33157ea78ff9697c0f8e141/0129062190v1.jpeg "Ein Roboter greift einen Stecker und passt seine Bewegung situativ an: Rho-alpha dient Microsoft Research als Forschungsplattform, um zu zeigen, wie Simulation und synthetische Trainingsdaten das Lernen physischer KI skalierbar machen sollen. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/41/aa/41aa0e5b61dfb015100a7372018ce585/0128444593v1.jpeg "Die Studie von Revalize zeigt: KI-Widerstand, Fachkräftemangel, geopolitische Risiken und der digitale Produktpass prägen die Fertigung 2026. Unternehmen bündeln Systeme und setzen stärker auf Daten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/de/a8defd2a773ed58c7a375bb9b1765f75/0128366231v1.jpeg "Ein KI-Agent vor der Werkshalle: Der Sprung vom Prototyp zur produktiven KI scheitert oft an realen Betriebsanforderungen – von Integration über Robustheit bis Wartbarkeit. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/6c/e76c7dca09c6ba87e568703e9226b51d/0128959729v1.jpeg "Der Autor: Mathias Widler ist Vice President Central & Eastern Europe bei Netskope (Bild: Netskope)")
:quality(80)/p7i.vogel.de/wcms/78/43/7843aa74049df153fbe3a48504b78e13/0128881472v1.jpeg "Künstliche Intelligenz birgt für Unternehmen operative, rechtliche und Reputationsrisiken, während ihre Integration oft vor Herausforderungen in der Governance steht. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/03/ed03b3f1a51ed083929721c823be9a72/0128967846v1.jpeg "Evasion-Angriffe zielen darauf ab, das vorher eingesetzte Sicherheits- oder Verhaltensprofil eines LLM zu umgehen, indem Eingaben so manipuliert werden, dass das Modell Sicherheitsregeln ignoriert oder sein Verhalten ändert. (Bild: © OKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/b4/4bb4a38dd71121f624a7a465dabcf4cc/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/7b/88/7b88c3b2a1abe09513fb25943b91f852/0129106836v1.jpeg "In einer speziellen Testumgebung von EWERK können Kommunen ihre KI-Projekte datenschutzkonform testen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9f/ba/9fba1120e021f71cd7609844067b8cf8/0129116615v1.jpeg "Sage Copilot gibt Warnhinweise zu verspätet versendeten Aufträgen im Kontext des aktuell vom Benutzer geöffneten Kunden. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/68/f8/68f8b9869e1288dfa2eeff3a1dc6a7eb/0127838110v1.jpeg "Nicht jedes Modell muss groß sein, um große Wirkung zu erzielen: Small Language Models (SLMs) arbeiten mit deutlich weniger Parametern als ihre großskaligen Gegenstücke, liefern aber in klar umrissenen Aufgabenfeldern vergleichbare Ergebnisse. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/05/74053661b14a2f12ec5e98ebd1469197/0127788138v1.jpeg "Ein neuronales Netz als Sprachdenker: Large Language Models verarbeiten Milliarden von Wörtern, um Sprache zu verstehen, zu strukturieren und neu zu erzeugen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/36/0f36632bd2160924da97db0211b6e1c0/0127421038v1.jpeg "Agentic AI kombiniert Wahrnehmung, Planung und Aktion: Wie autonome KI-Agenten arbeiten, welche Architektur sie nutzen und wo sie eingesetzt werden. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/bc/ebbcbb417d292f3d20cb3bf87706705c/0125514392v1.jpeg "Big Data beschreibt die Verarbeitung und Analyse riesiger, vielfältiger Datenmengen mithilfe moderner Technologien wie Lakehouse, generativer KI und Data Mesh, um geschäftlichen Mehrwert zu schaffen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/9a/829ab32db929fbae572a7c8290463a08/0121295821v1.jpeg "Die Gewinner der BigData-Insider Readers' Choice Awards 2024 (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/48/29/4829b98ab651ba9160c517c0e1388ee2/0121130893v3.jpeg "BigData-Insider verleiht heute die IT-Awards 2024 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/66/72/6672da9970fc4/board-logo-2024.jpeg "board-logo-2024 (Board)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/8e/618e774811e12/logo-disy-mit-slogan.png "logo-disy-mit-slogan (Disy Informationssysteme GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/36/bb/36bbdc9ba4cd61413e1e674bc72c118e/0128858677v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/7d/dd7df9edbd75e40ead1f269085d58338/0123156886v1.jpeg "Der Autor: Stephan Schulz ist Principal Solutions Engineer bei F5 (Bild: F5)")