Auf einen Blick
- Erweiterte jährliche manuelle Penetrationstests durch KI-gesteuerte White-Box-Tests
- Identifizierte eine komplexe Grenzfall-Schwachstelle durch kontextsensitive Erkundung
- Integrierte KI-Penetrationstests in das kontinuierliche Schwachstellenmanagement
- Reduzierte den Aufwand für manuelle Sicherheitsberichte von Tagen pro Monat auf Stunden
- Sicherheit direkt in Pull-Request-Workflows durchgesetzt
Herausforderung
TechWolf entwickelt eine KI-gesteuerte Datenschicht, die Unternehmen dabei unterstützt, Berufe, Aufgaben und Fähigkeiten zu verstehen, während sie die Transformation der Arbeitskräfte bewältigen. Im Bereich HR-Tech zu agieren bedeutet, mit sensiblen Geschäfts- und persönlichen Informationen zu arbeiten. Sicherheit ist keine Funktion. Sie ist eine Voraussetzung.
TechWolf hat seit Langem in seine Sicherheitslage investiert. Das Unternehmen verfügt über eine ISO 27001-Zertifizierung, führt jährliche SOC 2-Audits sowie jährliche externe Penetrationstests durch und setzt SAST-, SCA- und DAST-Tools in seinem gesamten Stack ein.
Doch Sicherheitsreife ist nicht statisch.
„Einer unserer Werte ist ‚Aim for the moon‘. Für mich bedeutet das, die Sicherheitsstandards Jahr für Jahr zu erhöhen“, sagte Kilian, Security Operations Engineer bei TechWolf.
Im Laufe der Zeit lieferten manuelle Penetrationstests weniger offensichtliche Ergebnisse. Das war ein gutes Zeichen. Dennoch wusste das Team, dass in einer wachsenden und sich entwickelnden Codebasis nuancierte Grenzfälle innerhalb eines zeitlich begrenzten Engagements schwer aufzudecken bleiben können.
TechWolf wollte noch einen Schritt weiter gehen.
„Obwohl wir jährlich einen manuellen Penetrationstest mit einem externen Anbieter durchführen, fanden wir weniger größere Probleme, und wir waren der Meinung, dass sich tiefer in der Codebasis weitere Risiken verbargen.“
Erweiterung des Sicherheitsprogramms durch KI-Penetrationstests
TechWolf beschloss, Aikidos KI-Penetrationstests als Erweiterung seines bestehenden Programms zu testen. Die Einrichtung war unkompliziert, da ihre Umgebung bereits in Aikido verbunden war.
„Ich habe weniger als 15 Minuten für die Einrichtung benötigt. Innerhalb weniger Stunden hatten die Agenten bereits etwas Interessantes aufgedeckt.“
Im Gegensatz zu einem traditionellen, zeitlich und im Umfang begrenzten Engagement konnten die KI-Agenten den Quellcode-Kontext direkt analysieren, Grenzfälle erkunden und reproduzierbare Angriffspfade generieren.
„Ich glaube, die Effektivität liegt darin, dass Aikidos LLM-Penetrationstests weitaus mehr Kontext nutzen, als ein manueller Pentester jemals könnte, insbesondere durch die Analyse des Quellcodes.“
Für TechWolf ging es dabei nicht darum, manuelle Tests zu ersetzen. Es ging darum, sie zu ergänzen.
„Beide Ansätze haben ihre Berechtigung. KI-Penetrationstests bieten Persistenz und Tiefe, insbesondere in Bereichen, die innerhalb eines zeitlich begrenzten Engagements schwerer zu erreichen sind.“
Was der KI-Penetrationstest aufdeckte
Während des Testlaufs identifizierte Aikidos KI-Penetrationstest eine komplexe Schwachstelle, die in der Anwendungslogik begründet war.
Es handelte sich nicht um eine oberflächliche Fehlkonfiguration oder eine einfache fehlende Überprüfung. Es erforderte ein Verständnis dafür, wie spezifische Komponenten in verschiedenen Teilen der Codebasis miteinander interagierten.
„Wir waren von der Tiefe beeindruckt“, sagte Kilian. „Es ging nicht darum, etwas Grundlegendes zu finden. Es ging darum, Teile der Anwendung zu erkunden, die von Natur aus schwerer zu erreichen sind.“
Die KI-Agenten erstellten eine detaillierte Angriffsanalyse zusammen mit einem Proof-of-Concept-Skript, wodurch das Team das Problem schnell verifizieren und reproduzieren konnte.
„Die PoC-Skripte waren entscheidend“, sagte Kilian. „Sie eliminieren Zweifel, reduzieren False Positives und erleichtern es Ingenieuren, genau zu verstehen, was behoben werden muss.“
Für TechWolf bestätigte dies die Entscheidung, ihre Teststrategie zu erweitern. Manuelle Pentests bleiben eine wichtige Säule ihres Programms. KI-Penetrationstests fügen eine Ebene kontextsensitiver Exploration hinzu, die die Gesamtabdeckung stärkt.
Jenseits von Pentesting: Konsolidierung der Sicherheit in einer Plattform
Während der KI-Pentest einen sofortigen Mehrwert bot, ergab sich die umfassendere Auswirkung aus der Nutzung von Aikido als zentrale Schwachstellenmanagement-Plattform.
„Wir nutzen bereits Standard-Sicherheitstools wie SAST, SCA, DAST und traditionelle Penetrationstests“, sagte Kilian. „Diese sind jedoch oft isoliert, was die Priorisierung aus verschiedenen isolierten Ergebnissen erschwert.“
Aikido konsolidiert Ergebnisse über verschiedene Tools hinweg, einschließlich Pentest-Ergebnissen, und priorisiert sie automatisch durch seine AutoTriage-Funktionalität.
„Der Hauptwert von Aikido liegt darin, dass wir unsere Anstrengungen durch seine AutoTriage-Funktionalität zuerst auf die kritischsten Probleme konzentrieren, während alle anderen Ergebnisse im Blick behalten werden.“
Sicherheit wird nun direkt im Entwicklungsworkflow durchgesetzt. Pull Requests können nicht zusammengeführt werden, solange ungelöste Schwachstellen bestehen, wodurch verhindert wird, dass Probleme überhaupt erst in die Produktion gelangen.
Ergebnisse
Im Laufe der Zeit wurden die operativen Verbesserungen deutlich.
Vor Aikido verbrachte Kilian viel Zeit mit der Konsolidierung von Ergebnissen aus verschiedenen Tools, der Vorbereitung von Audit-Dokumentationen und der manuellen Priorisierung von Schwachstellen.
Jetzt werden Schwachstellen automatisch priorisiert und den zuständigen Teams zugewiesen.
„Die bedeutendste messbare Verbesserung ist die Reduzierung der manuellen Zeit für Sicherheitsoperationen“, sagte Kilian.
Messbare Verbesserungen
.png)
Fazit
Für TechWolf ging es bei der Einführung von KI-Penetrationstests nicht darum, bestehende Kontrollen oder Partner zu ersetzen. Es ging darum, die Messlatte kontinuierlich höher zu legen.
„Für uns geht es darum, die Messlatte kontinuierlich höher zu legen“, sagte Kilian.
„Aikido hilft uns, proaktiv zu bleiben, die richtigen Probleme zu priorisieren und weniger Zeit für den operativen Overhead aufzuwenden.“
Durch die Kombination jährlicher manueller Pentests mit kontextsensitiven KI-Tests und zentralisiertem Schwachstellenmanagement hat TechWolf ein bereits ausgereiftes Sicherheitsprogramm gestärkt; und Tiefe, Transparenz und Effizienz hinzugefügt, ohne bestehende Prozesse zu stören.
