Künstliche Intelligenz und Regulierung definieren die Anwendungssicherheit neu, zeigt neue globale Studie
Künstliche Intelligenz hat alle anderen Kräfte überholt, die die Anwendungssicherheit gestalten, gemäß einer bedeutenden neuen Branchenstudie, die zeigt, dass Organisationen darum kämpfen, AI-generierten Code zu sichern, während sie auf zunehmenden regulatorischen Druck reagieren.
Einführung
Die 16. Ausgabe des Building Security In Maturity Model (BSIMM), die reale Software-Sicherheitspraktiken in 111 Organisationen weltweit analysierte, deckt mehr als 91.000 Anwendungen ab, die von 223.000 Entwicklern entwickelt wurden. Es ist die größte und am längsten laufende Studie ihrer Art und bietet einen datengestützten Überblick darüber, wie sich Programme zur Anwendungssicherheit im Jahr 2026 entwickeln.
AI als einflussreichster Faktor
Erstmals in der 16-jährigen Geschichte von BSIMM hat sich AI als der einflussreichste Faktor herauskristallisiert, der die Sicherheitsprioritäten neu gestaltet. Organisationen stehen nun vor der doppelten Herausforderung, AI-gestützte Entwicklungstools wie große Sprachmodelle (LLM) abzusichern und sich gegen zunehmend raffinierte, AI-unterstützte Angriffe zu verteidigen.
Der Bericht hebt die wachsende Besorgnis hervor, dass AI-generierter Code, obwohl oft poliert und produktionsbereit, schwerwiegende Sicherheitsanfälligkeiten verbergen kann. Infolgedessen führen Organisationen neue Kontrollen ein, die speziell darauf ausgelegt sind, AI-bezogene Risiken zu managen.
Zunahme von Sicherheitsmaßnahmen
BSIMM16 stellte einen Anstieg von 12 % bei Organisationen fest, die Risikobewertungsmethoden verwenden, um zu bestimmen, wo LLM-generierter Code sicher eingesetzt werden kann, sowie einen Anstieg von 10 % bei Teams, die benutzerdefinierte Sicherheitsregeln für automatisierte Codeüberprüfungstools anwenden, um Schwachstellen zu erkennen, die spezifisch für AI-generierten Code sind. Es gab auch einen Anstieg von 10 % in der Nutzung von Angriffsintelligenz zur Verfolgung neuer AI-bezogener Bedrohungen.
Anstatt sich auf das Vertrauen in AI-Tools zu verlassen, integrieren Sicherheitsteams zunehmend automatisierte Prüfungen und Governance-Mechanismen in den Softwareentwicklungszyklus, um die Einschränkungen des AI-unterstützten Codierens auszugleichen.
Regulierung beschleunigt Sicherheitsinvestitionen
Neben AI ist die staatliche Regulierung ein kraftvoller Treiber des Wandels. Neue und aufkommende Vorschriften, einschließlich des EU Cyber Resilience Act und der US-amerikanischen föderalen Software-Sicherheitsanforderungen, zwingen Organisationen, die Sichtbarkeit der Software-Lieferkette zu stärken und ihre Fähigkeit zur Einhaltung der Vorschriften zu verbessern.
Die Studie berichtet von einem nahezu 30 %igen Anstieg der Organisationen, die Software-Bestandslisten (SBOMs) für eingesetzte Software erstellen, was den wachsenden Bedarf an Transparenz in Bezug auf Softwarekomponenten widerspiegelt. Die automatisierte Überprüfung der Infrastruktursicherheit stieg um mehr als 50 %, während die Prozesse zur verantwortungsvollen Offenlegung von Schwachstellen um über 40 % zunahmen, was auf einen Übergang zu strukturierteren, prüfbaren Sicherheitsoperationen hinweist.
Lieferkettensicherheit im Fokus
BSIMM16 zeigt auch, dass Organisationen ihren Fokus über intern entwickelte Codes hinaus erweitern, um Risiken in der breiteren Software-Lieferkette anzugehen. Der zunehmende Einsatz von Drittanbieterkomponenten, Open-Source-Software und AI-unterstützter Entwicklung hat den Bedarf an Standardisierung und Sichtbarkeit erhöht.
Der Bericht stellte einen Anstieg von über 40 % bei Organisationen fest, die standardisierte Technologiestacks etablieren, sowie ein anhaltendes Wachstum bei der SBOM-Annahme, was darauf hindeutet, dass die Sicherheit der Lieferkette zu einem zentralen Element von Programmen zur Anwendungssicherheit wird.
Sicherheitsschulungen im Wandel
Traditionelle Ansätze zur Sicherheitsschulung entwickeln sich ebenfalls weiter. Umfangreiche, klassenbasierte Kurse werden zunehmend durch bedarfsgerechte, rollenspezifische Anleitungen ersetzt, die direkt in die Arbeitsabläufe der Entwickler integriert sind.
BSIMM16 verzeichnete einen Anstieg von 29 % bei Organisationen, die Sicherheitsexpertise über offene Kollaborationskanäle bereitstellen, sodass Entwickler sofortige Unterstützung erhalten, wenn Sicherheitsfragen auftreten. Dieser Wandel spiegelt die Realitäten agiler Entwicklungsumgebungen wider, in denen kurze, gezielte Anleitungen oft effektiver sind als formale Schulungssitzungen.
Schlussfolgerung
Bemerkenswerterweise führt BSIMM16 zum ersten Mal seit der Erstellung des Modells keine Änderungen an der Struktur des Rahmens ein. Während viele einzelne Sicherheitsaktivitäten ein signifikantes Wachstum zeigten, verschob sich keine ausreichend, um eine Umklassifizierung zu rechtfertigen. Diese Stabilität signalisiert, dass die Anwendungssicherheit als Disziplin ein Niveau struktureller Reife erreicht hat, auch wenn AI, Regulierung und die Komplexität der Lieferkette weiterhin beeinflussen, wie Organisationen Sicherheit in der Praxis implementieren.
Während Organisationen sich in einer zunehmend von AI geprägten Entwicklungslandschaft bewegen, bietet BSIMM16 einen Überblick darüber, wie führende Sicherheitsteams sich anpassen und bietet eine Benchmark für andere, die Innovation, Compliance und Risikomanagement in modernen Softwareumgebungen ins Gleichgewicht bringen wollen.
