KI kann heute Code schreiben, Tools bedienen und komplexe Schwachstellen finden. Das verändert die Dynamik in der Cyber Security spürbar. Geschwindigkeit und Skalierung nehmen sowohl bei Angriff als auch Verteidigung zu. Mit der „Claude Mythos Preview“ hat Anthropic ein Modell vorgestellt, das genau diese Entwicklung weiter vorantreibt, insbesondere bei der automatisierten Schwachstellensuche und -ausnutzung und dabei für viel Wirbel sorgt.
Entscheidend ist jedoch nicht das einzelne Modell, sondern die Entwicklung dahinter. Verantwortliche in vielen Organisationen stellen sich daher eine zentrale Frage: Wie verändert KI die Anforderungen an technische Sicherheitsanalysen?
Genau darüber sprechen wir mit Matthias Göhring, Vorstand der usd AG und Head of usd HeroLab.
Matthias, wie verändert KI die Anforderungen an technische Sicherheitsanalysen?
Wir sehen aktuell mehrere Entwicklungen:
Ein zentrales Thema ist die Rolle der Anbieter von automatisierten und zunehmend autonomen Tests, sogenannte Automated Pentests, und wie sich deren Verhältnis zu klassischen Pentests verschiebt.
Parallel sehen wir, dass die Anzahl potenzieller Schwachstellen deutlich steigt. KI macht Angriffe effizienter und skalierbarer. Das bringt bestehende Prozesse im Vulnerability Management bei vielen Unternehmen spürbar unter Druck.
Gleichzeitig wird KI selbst zum Prüfgegenstand. Viele Unternehmen erweitern ihre Anwendungen um KI-Funktionalitäten - und müssen daraufhin die Sicherheit bewerten und Anforderungen an Governance und Risikosteuerung erfüllen, siehe EU AI Act. Dadurch sind neue Themenfelder entstanden: AI Governance und Pentests von KI-/LLM-Systemen.
Ein weiterer Punkt ist die Qualität von Sicherheitsanalysen. Gerade in regulierten Umfeldern bleibt entscheidend, dass Ergebnisse nachvollziehbar, belastbar und auditfähig sind. Unabhängig davon, welche Tools zum Einsatz kommen.
Und nicht zuletzt verändert KI auch unsere eigene Arbeitsweise.
Bleiben wir bei den Automated Pentests. Provokant gefragt: Werden diese klassische Pentest-Anbieter perspektivisch ersetzen?
Noch vor einigen Wochen hätte ich die Frage eindeutig beantwortet: So schnell werden automatisierte Ansätze klassische Pentests nicht ersetzen. Die Dynamik hat sich zuletzt aber deutlich erhöht. Neue Modelle und Tools zeigen Fortschritte, insbesondere bei der automatisierten Analyse von Code und der Identifikation von Schwachstellen.
Gleichzeitig sehen wir in der Praxis sehr klar: Von wirklich autonomen Pentests sind wir noch ein gutes Stück entfernt. Selbst viel diskutierte Lösungen stoßen in unseren Tests an grundlegende Grenzen.
Ein Grund für die aktuelle Wahrnehmung ist aus meiner Sicht, dass unterschiedliche Dinge vermischt werden: Die automatisierte Suche nach Schwachstellen mit Zugriff auf den Source Code funktioniert mit Einsatz von KI heute deutlich besser als noch vor ein oder zwei Jahren. Das ist ein echter Fortschritt. Ein Pentest geht jedoch darüber hinaus. Er bewertet Systeme im Kontext, testet dynamisch die Anwendungslogik und kombiniert Angriffspfade. Genau diese Schritte lassen sich bislang nur sehr begrenzt automatisieren.
Was sich verändern wird: Automatisierte Tests, insbesondere Scans, werden deutlich besser. Das ist grundsätzlich eine gute Entwicklung. Regelmäßige Scans sind seit langem eine zentrale Säule eines Schwachstellenmanagements. Bei Webanwendungen war aber die Qualität der Ergebnisse bislang oft der limitierende Faktor. Hier kann KI tatsächlich helfen, bessere Ergebnisse zu erzielen. Das ermöglicht häufigere Tests und hebt die Security Baseline. Das ist auch dringend notwendig, denn Angreifer nutzen ebenfalls die Möglichkeiten von KI.
Gleichzeitig wird der Markt deutlich unübersichtlicher. Viele Anbieter werben mit „Automated Pentests“, ohne dass Ergebnisse und Qualität belastbar vergleichbar sind. Jeder Anbieter entwickelt seinen eigenen Benchmark und dominiert ihn dann wenig überraschend. Objektive Messbarkeit und Transparenz zur Qualität von Pentests gibt es aber leider weiterhin nicht.
Meine Einordnung: Pentests werden nicht ersetzt, aber sie werden durch den Einsatz von KI effizienter und besser. Und das müssen sie auch, denn der Bedarf steigt kontinuierlich: mehr IT Assets, stärkere Vernetzung, wachsende regulatorische Anforderungen bei gleichzeitig begrenzten Budgets. Effizienz ist also kein Nice to have, sondern zwingend notwendig.
Im Kontext von „Mythos“ wurde unter CISOs viel über ein sogenanntes „Post Mythos“-Szenario diskutiert, also stark steigende Schwachstellenzahlen. Wie bewertest du dieses und was bedeutet es für bestehende Vulnerability-Management-Prozesse?
Die Diskussion greift eine Entwicklung auf, die wir schon länger sehen: Es gibt mehr und mehr Schwachstellen. Durch KI-basierte Ansätze wie Mythos verstärkt sich dieser Trend. Gleichzeitig sehen wir, dass die Time-to-Exploit immer weiter schrumpft. Was wir früher in Tagen gemessen haben, sind heute häufig nur noch wenige Stunden. Das stellt Unternehmen vor die Herausforderung, dass sie mit dem Patchen von Systemen kaum noch hinterherkommen.
Viele der im Paper aufgeführten Empfehlungen sind aus unserer Sicht allerdings nicht neu. Im Kern geht es um bekannte Best Practices: Asset-Inventarisierung, sichere Software-Entwicklung, Threat Modeling sowie ein sauberes Patch- und Vulnerability Management. Um der steigenden Anzahl an Schwachstellen gerecht zu werden, wird es immer wichtiger, Risiken klar zu bewerten und zu priorisieren. Die Herausforderung liegt dabei weniger im „Was“, sondern im „Wie“. Gerade in komplexen Organisationen mit vielen Systemen und Abhängigkeiten ist die konsequente Umsetzung im Alltag anspruchsvoll. Bei immer mehr Findings geraten allerdings genau diese Prozesse unter zusätzlichen Druck.
Für die konkrete Ausgestaltung dieser Prozesse kommt es stark auf die jeweilige Organisation an. Entscheidend ist aber jetzt, möglichst schnell die Grundlagen konsequent umzusetzen und auf die eigene IT-Landschaft anzupassen. Welche das sind, greifen wir in einem Folge-Interview mit einem meiner Kollegen zeitnah auf.
Das Paper gibt auch die Empfehlung, KI zur Identifikation von Schwachstellen einzusetzen. Das würde ich auch empfehlen – mit der Einschränkung, dass rein automatisierte Tests heute noch nicht ausreichen, um „klassische“ Methoden wie Threat Modeling, Pentesting und Red Teaming zu ersetzen.
Du sagtest, KI wird selbst zunehmend zum Prüfgegenstand. Was müssen Unternehmen jetzt zusätzlich prüfen und was ändert sich dadurch an Sicherheitsanalysen?
Nicht nur wir integrieren KI in unsere Prozesse und Tools. Für viele Unternehmen wird KI zunehmend ein integraler Bestandteil ihrer Anwendungen. Damit rückt vor allem die Sicherheit der KI-Integration selbst in den Fokus, denn das eröffnet ganz neue Angriffsvektoren, wie sie beispielsweise in der OWASP Top 10 for LLM Applications beschrieben werden.
Wir helfen unseren Kunden dabei ganz konkret. Die Kolleg*innen im usd Security Consulting beschäftigen sich intensiv mit AI Governance und den Prozessen zur sicheren Integration und Betrieb von KI in Unternehmen. Im usd HeroLab haben wir ein eigenes Team für gezielte technische Analysen von KI- bzw. LLM-basierten Systemen. Bei vielen Kunden fangen wir auch schon deutlich vor Pentests an, und zwar mit Schulungen und Threat Modeling Workshops, um ein gemeinsames Verständnis für Risiken und Angriffsvektoren, aber auch Schutzmechanismen, zu schaffen.
Wenn KI-gestützte Tools mehr Aufgaben übernehmen, wie erhält man die Qualität von Sicherheitsanalysen? Besonders im Hinblick auf Audit, Regulatorik und Compliance?
Wir haben einen hohen Anspruch an die Qualität unserer Leistungen. Das müssen wir auch, denn wir tragen eine hohe Verantwortung. Unsere Kunden vertrauen uns, dass wir die Sicherheit ihrer Systeme und Anwendungen zuverlässig und belastbar bewerten. Für uns ist entscheidend, dass Ergebnisse nachvollziehbar, reproduzierbar und auditfähig sind. Das gilt für all unsere Kunden, aber einmal mehr in regulierten Umfeldern. Um das ganz deutlich zu sagen: Dieses Maß an Belastbarkeit von Sicherheitsanalysen lässt sich heute nicht allein über Automatisierung herstellen.
Wir sind überzeugt, dass KI auch im Pentesting zunehmend unverzichtbar wird, um Schwachstellen effizient und systematisch zu identifizieren. Eine belastbare Sicherheitsbewertung entsteht aber erst durch Kontext, Methodik und Erfahrung. Pentests sind deshalb weit mehr als nur die Suche nach Schwachstellen. Aufgaben wie Scoping, die Definition realistischer Angriffsszenarien, die Auswahl passender Testmethoden sowie die Einordnung und Beratung vor und nach dem Test sind zentral und gewinnen weiter an Bedeutung. Diese Schritte erfordern Kommunikation mit unseren Kunden und funktionieren am besten in direktem Austausch.
Also zusammengefasst: Wir setzen auf eine gezielte Integration von KI in unsere Pentesting-Methodik und Toolchain und kombinieren Automatisierung mit manuellen Tests. Allerdings immer mit unseren Analyst*innen im Driver’s seat.
Was bedeutet das konkret für eure Arbeit im usd HeroLab?
Wir evaluieren kontinuierlich neue Modelle und Tools - sowohl kommerzielle Lösungen als auch Open-Source-Ansätze. Entscheidend ist für uns immer die reale Anwendbarkeit im Pentest. Die Ergebnisse unterscheiden sich in der Praxis deutlich von den Benchmarks der Anbieter.
Unser Ziel ist es, geeignete Fähigkeiten konsequent in unsere Toolchain und Methodik zu integrieren. Dabei profitieren wir sowohl von Fortschritten bei Foundation-Modellen als auch unserer langjährigen Erfahrung und unserer umfangreichen Toolchain. Es geht aktuell um Integration, nicht um Ersatz. Das möchte ich betonen.
Gleichzeitig setzen wir klare Leitplanken: Kundendaten müssen in Europa bleiben und unsere vertraglichen und regulatorischen Anforderungen erfüllen – etwa Datenschutz und die Zusicherung, dass Daten nicht für KI-Training genutzt werden. Das verlangsamt die Einführung neuer Modelle manchmal, aber das nehmen wir in Kauf.
Unser Anspruch bleibt unverändert: Wir wollen Technologien früh verstehen und sinnvoll einsetzen, um unsere Kunden besser zu schützen. Wirksame Sicherheit entsteht am Ende nicht durch ein einzelnes Tool, sondern durch ein funktionierendes Zusammenspiel aus Prozessen, Methoden und Menschen – sinnvoll unterstützt durch KI.
In den nächsten Wochen greifen wir einzelne Themen in vertiefenden Fachartikeln auf.
Wenn Sie dazu Fragen haben oder Unterstützung bei technischen Sicherheitsanalysen benötigen, sprechen Sie uns gerne an.
