Aikido
Kostenlos starten
Ohne Kreditkarte
Kundenreferenzen

Balena nutzt KI-Penetrationstests, um komplexe APIs umfassend zu validieren und Reibungsverluste bei Sicherheitstests zu eliminieren.

450,000+
Ausgeführte API-Anfragen
350
Gezielte SAML-Anfragen
Veröffentlicht am:
19. Mai 2026
Zuletzt aktualisiert am:
19. Mai 2026

Auf einen Blick

  • Ersetzt frustrierende manuelle Penetrationstests durch kontextsensitives KI-Testing
  • Nutzt White-Box-Tests zur Validierung komplexer OData-basierter APIs
  • Generiert Hunderttausende gültiger API-Anfragen für eine umfassende Abdeckung
  • Verbessert das Vertrauen in die Sicherheit ohne Reibungsverluste mit Anbietern
  • Skaliert Tests über Funktionen, Regionen und Deployments hinweg

Herausforderung

Für Balena geht es bei Sicherheit nicht nur um Compliance. Es geht darum, zu beweisen, dass eine hochkomplexe IoT-Plattform von Grund auf sicher ist. Balena bietet IoT-Flottenmanagement für eingebettete Linux-Geräte, wodurch Kunden Anwendungen auf Flotten von Tausenden bis Hunderttausenden von Geräten bereitstellen und verwalten können. Mit dem Wachstum des Kundenstamms stiegen auch die Erwartungen an die Sicherheit.

Das Unternehmen erhielt 2024 die ISO 27001-Zertifizierung und strebt derzeit SOC 2 Typ 2 an. Im Rahmen dieser Bemühungen wurden Penetrationstests unerlässlich.

Doch manuelle Penetrationstests führten zu mehr Reibung als Klarheit.

Ergebnisse waren oft schwer zu interpretieren und verstanden manchmal grundlegend falsch, wie Balenas Systeme funktionierten. Zum Beispiel stuften Penetrationstester die Verwendung von symmetrischer JWT-Signierung als Schwachstelle ein, obwohl dies eine bewusste und gültige Designentscheidung innerhalb von Balenas Architektur war.

„Nach jedem manuellen Penetrationstest war die Schlussfolgerung dieselbe: Nächstes Mal müssen wir jemand anderen finden.“

Anstatt Vertrauen aufzubauen, wurden Penetrationstests zu einer wiederkehrenden Quelle der Frustration.

Warum Balena sich KI-Penetrationstests zuwandte

Balena entdeckte Aikido durch Sicherheitsforschung und die Präsenz in der Community, einschließlich OWASP-Veranstaltungen und der laufenden Arbeit im Node.js-Ökosystem. Gleichzeitig wurde das Team mit KI-gestützten Entwicklungstools vertrauter, was die Idee von KI-gesteuerten Penetrationstests zu einem natürlichen nächsten Schritt machte.

Anfangs war die Entscheidung, KI-Penetrationstests auszuprobieren, pragmatisch.

„Aikidos KI-Penetrationstest war im Vergleich zu manuellen Penetrationstests erschwinglich. Was sofort auffiel, war die Fähigkeit, Kontext bereitzustellen.“

Anstatt sich auf generische Scanning-Techniken zu verlassen, konnte Aikido auf Balenas Codebasis zugreifen und durch domänenspezifisches Wissen geleitet werden. Dies verlagerte die Frage von der Suche nach einem besseren Anbieter hin zum Verständnis, wie KI am besten für Sicherheitstests eingesetzt werden kann.

„Frustration führte zu Automatisierung, und Automatisierung führte uns zu KI... wodurch der Kreislauf einschränkender manueller Audits endlich durchbrochen wurde.“

Durchführung des KI-Pentests

Der Einstieg erforderte minimalen Aufwand. Balena verband seine Repositories, konfigurierte den Umfang und startete den Test ohne rechtliche oder operative Verzögerungen.

„Es war ziemlich einfach, eine Testversion zu starten und loszulegen. Keine größeren Hindernisse.“

Das Team verwendete einen White-Box-Ansatz, indem es der KI Zugriff auf ihren Code und ihr Datenmodell gewährte. Entscheidend war, dass sie die KI anwiesen, der OData-Spezifikation zu folgen, die die Funktionsweise ihrer API definiert.

Dies machte einen erheblichen Unterschied. Frühere Penetrationstester hatten Schwierigkeiten, überhaupt gültige OData-Anfragen zu konstruieren. Im Gegensatz dazu konnte die KI die Spezifikation interpretieren, das Datenmodell lesen und komplexe, gültige Abfragen generieren. Das Ergebnis war eine grundlegend andere Tiefe der Tests.

Was der KI-Penetrationstest geliefert hat

Der KI-Penetrationstest generierte über 450.000 API-Anfragen innerhalb der regulären Arbeitszeiten, von denen viele syntaktisch korrekt waren und gültige Antworten lieferten.

Dieses Maß an Präzision fiel sofort auf.

„Wir haben noch nie diese Tiefe der OData-Abfragenutzung von einem menschlichen Pentester gesehen.“

Anstatt irrelevante oder generische Angriffspayloads zu senden, konzentrierte sich die KI auf realistische Interaktionen mit dem System. Sie deckte auch frühzeitig bedeutsame Probleme auf, sogar während eines einfachen Probelaufs.

Über den Umfang hinaus demonstrierte die KI ein Maß an kontextsensitiven Tests, das bei früheren Engagements fehlte.

Beim Testen einer neuen SAML-Integration identifizierte die KI den relevanten Code über Repositories hinweg und generierte etwa 350 gezielte Anfragen an diese Endpunkte. Sie testete aktiv die Tenant-Isolation und Berechtigungen, indem sie Objekt-, Organisations- und Benutzer-IDs miteinander verknüpfte und validierte, dass Benutzer nicht auf Daten außerhalb ihres Bereichs zugreifen konnten.

Wichtig ist, dass der Wert nicht an das Auffinden einer einzelnen kritischen Schwachstelle gebunden war. Stattdessen resultierte er aus dem Vertrauen in den Testprozess selbst. Die KI zeigte, dass sie das System verstand und es auf eine Weise erkunden konnte, die der tatsächlichen Funktionsweise der API entsprach.

Dies eliminierte eine große Reibungsquelle, die Balena beim manuellen Pentesting erlebte.

„Die Frage ist jetzt nicht, wen wir als Nächstes einstellen sollten. Es geht darum, wie wir die KI besser nutzen und wie viel Budget wir zuweisen wollen.“

Ergebnisse

Für Balena ist der Einfluss von KI-Penetrationstests am besten als eine Verschiebung von Compliance-gesteuerten Tests hin zu präziser, systembewusster Validierung zu verstehen.

Anstatt Zeit damit zu verbringen, Missverständnisse externer Tester zu korrigieren, kann sich das Team direkt auf die Verbesserung der Sicherheit konzentrieren. Audit-Anforderungen können erfüllt werden, ohne den internen Aufwand, die Architektur neu zu erklären oder falsche Ergebnisse zu validieren.

Gleichzeitig ändert die Möglichkeit, Tests ohne rechtliche oder operative Verzögerungen zu starten, wie Sicherheit in die Produktentwicklung passt. Neue Funktionen wie SAML-Integrationen oder neue Geolokationen können sofort getestet werden, was eine schnelle und glaubwürdige Sicherheitsvalidierung ermöglicht.

Auch die Transparenz verbessert sich. Anstatt sich auf statische Berichte zu verlassen, kann Balena durch detaillierte Anforderungsprotokolle und Agenten-Traces genau zeigen, was getestet wurde.

ROI vs. manuelles Pentesting

Im Vergleich zu früheren manuellen Engagements lieferten KI-Penetrationstests höhere Qualitätsergebnisse zu geringeren Kosten. Der größte Unterschied war operativer Natur. Manuelles Pentesting erforderte Onboarding-Zyklen mit Einführungsgesprächen, Briefings und Zugangsverwaltung. Mit KI entfällt dieser Overhead vollständig.

Auch die Effizienz im Engineering verbesserte sich. Anstatt statische PDF-Berichte zu entschlüsseln und Ergebnisse manuell zu reproduzieren, können Ingenieure die von der KI generierten Skripte direkt wiederverwenden, um Probleme zu validieren und zu beheben.

Auch die Tiefe der Abdeckung ist wesentlich anders. Hunderttausende von Anfragen, einschließlich komplexer OData-Abfragen, wurden innerhalb der regulären Arbeitszeiten ausgeführt. Dieses Ausmaß an Skalierung und Präzision war mit menschlichen Pentestern nicht erreicht worden.

„Mit KI-Whitebox-Tests war das Teilen von Ergebnissen noch nie einfacher. Diese direkte Zuordnung auf Code-Ebene ermöglicht es unseren Ingenieuren, komplexe Logik zu analysieren und tatsächliche Korrekturen zu implementieren, anstatt über False Positives zu debattieren.“

Zukunftsaussichten

Balena betrachtet KI-Penetrationstests als eine Fähigkeit, die sich mit jeder Iteration verbessert.

Heute wird ein erheblicher Teil des Testbudgets dafür aufgewendet, dass die KI das System lernt, bevor sie in tiefere Angriffspfade vordringt. Im Laufe der Zeit ist es das Ziel, diese Erkundungsphase zu reduzieren, damit mehr Aufwand auf Analysen mit hoher Auswirkung konzentriert werden kann.

Eine weitere Chance liegt im Reporting. Während die Rohprotokolle und Traces volle Transparenz bieten, macht ihr Umfang sie schwer konsumierbar. Eine prägnante Zusammenfassung von Angriffsstrategien, erfolgreichen Vektoren und Sackgassen würde die Ergebnisse leichter kommunizierbar und umsetzbar machen.

Mit Blick in die Zukunft ist Balena besonders an einem Modell interessiert, bei dem Tests auf früheren Läufen aufbauen, wodurch die KI Kontext behalten und das System weiter erkunden kann, anstatt von Grund auf neu zu beginnen.

Zusammenarbeit mit Aikido

Über die Technologie hinaus stach die Zusammenarbeit selbst hervor.

„Schnelle Ergebnisse, ehrliche Kommunikation und keine leeren Verkaufsversprechen. Sie gaben uns die nötige Zeit, um unsere Anbieterbewertung ohne Druck abzuschließen. Innerhalb weniger Tage umsetzbare Ergebnisse zu haben, plus direkten Zugang zu ihren Ingenieuren, um die KI anzupassen, ist genau die Art von Partnerschaft, die wir uns wünschen.“

Neugierig auf Balenas Erfahrungen mit Aikido? Lesen Sie ihren Blogbeitrag hier.

Springe zu:
Textlink
Teilen:

https://www.aikido.dev/customer-story/balena

Website
https://www.balena.io/
Gegründet
2013
Branche
Softwareentwicklung
Hauptsitz
Seattle, USA

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Jetzt scannen
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.