Auf den Punkt: Unternehmen wissen, dass KI-generierter Code sicherheitskritische Lücken enthält, deployen ihn aber massenhaft und teilweise absichtlich ohne Fixes.
Ein Checkmarx-Report zeigt: Etwa die Hälfte der Produktionscode entsteht durch KI-Tools, doch Unternehmen wissen um Sicherheitslücken und verschiffen den Code trotzdem – teilweise bewusst hoffend, dass Schwachstellen unentdeckt bleiben.
Laut einer Umfrage unter 2.350 CISOs, AppSec-Managern und Entwicklern aus 14 Ländern ist der Realitätscheck verheerend: Unternehmen, die zwischen 81 und 100 Prozent ihres Codes durch KI generieren lassen, verschiffen verwundbare Software 3,4-mal häufiger als Organisationen, die KI-Anteil unter 20 Prozent halten. 70 Prozent der befragten Entwickler bestätigen, dass KI-generierter Code 2025 Sicherheitslücken eingeführt hat.
Trotz dieser Erkenntnisse hat sich eine „Normalisierung des Risikos“ durchgesetzt: 75 Prozent der Unternehmen deployen bewusst verwundbare Software unter Druck, schneller Gewinn zu erzielen. Etwa 30 Prozent geben sogar zu, kompromittierte Software zu verschiffen und darauf zu hoffen, dass die Lücke nicht entdeckt wird. Mehr als ein Drittel lässt über 90 Tage bekannte Sicherheitsmängel liegen. Gleichzeitig hatten 93 Prozent aller befragten Organisationen mindestens einen Sicherheitsverstoß durch hauseigene Anwendungen.
Ein zentrales Problem: Das Engpass liegt nicht bei der Erkennung von Schwachstellen, sondern bei der organisatorischen Entscheidung, diese zu ignorieren. AppSec-Teams sind oft auf reaktive Incident-Response beschränkt, während Entwickler nur in 18 Prozent der Fälle kontinuierlich Sicherheit berücksichtigen – obwohl sie mit Sicherheitswerkzeugen ausgestattet sind. Entwickler werden so systematisch in die Situation gebracht, Geschwindigkeit und Liefermenge über Sicherheit zu priorisieren.
Alarmierend ist auch die Selbstüberschätzung: Unternehmen, die sich selbst als „highly mature“ KI-Organisationen bewerten, verschiffen in 42 Prozent der Fälle besonders verwundbare Software – ihre Breach-Raten unterscheiden sich kaum von weniger reifen Konkurrenten. Nur 22 Prozent der Organisationen haben formale KI-Governance etabliert; manuelle Code-Reviews dominieren noch immer als Standard für Compliance-Überprüfung. Das schafft ein gefährliches Missverhältnis zwischen Geschwindigkeit der Softwareerstellung und Tempo der Governance-Kontrolle.
Quelle: www.csoonline.com · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.