2026

Stand der KI in Security & Development

Unser neuer Bericht fängt die Stimmen von 450 Sicherheitsverantwortlichen (CISOs oder Äquivalente), Entwickelnden und AppSec-Ingenieuren aus ganz Europa und den USA ein. Gemeinsam zeigen sie auf, wie KI in der Cybersicherheit und Softwareentwicklung bereits Probleme verursacht, wie die Tool-Vielfalt die Sicherheit verschlechtert und wie die Developer Experience direkt mit den Incident-Raten zusammenhängt. Hier kollidieren Geschwindigkeit und Sicherheit im Jahr 2026.

Vollständigen Bericht herunterladen

Wichtige Erkenntnisse

Abstrakte digitale Kunst mit roten, blauen und weißen Farben, einem Raster-Overlay und Farbverlaufseffekten.
01

AI-Einführung

Jeder Fünfte erlitt einen schwerwiegenden Vorfall im Zusammenhang mit AI-Code

Halbkreisförmiges Diagramm, das Antworten auf Sicherheitslücken aus KI-generiertem Code zeigt: 49% geringfügiges Problem, 20% schwerwiegender Vorfall, 20% nicht bewusst, 11% nein.

„Während Organisationen darum kämpfen, die Vorteile von KI zu nutzen, findet oft ein verborgener, damit verbundener Kampf statt: ihre Organisation vor einem Anstieg des Cyberrisikos zu schützen, das KI mit sich bringt. Die Aufgabe des CISO ist es, sicherzustellen, dass die Sicherheitslage so schnell skaliert wie die Technologie.“

Lächelnde Frau mit langen braunen Haaren, die Perlenohrringe und ein olivgrünes Oberteil trägt.
Christelle Heikkilä
Ehemaliger CIO/CISO, Arsenal FC

53 % machen das Sicherheitsteam für Vorfälle im Zusammenhang mit AI-Code verantwortlich

F. Wenn eine durch GenAI-Code eingeführte Schwachstelle später einen Sicherheitsvorfall verursachen würde, wer wäre in Ihrer Organisation letztendlich dafür verantwortlich? Wählen Sie alle zutreffenden Optionen aus

„Es mangelt den Befragten eindeutig an Klarheit darüber, wo die Verantwortlichkeit für ein gutes Risikomanagement liegen sollte.“

Mann mit langem, welligem grauem Haar, der eine schwarze rechteckige Brille und ein weißes Hemd mit Kragen vor einem schlichten Hintergrund trägt.
Andy Boura
CISO, Rothesay
Abstrakte digitale Illustration von dunkelblauen und violetten texturierten Formen, überlagert mit einem durchscheinenden weißen Raster.
02

Entwickelnde Experience

15%
der Engineering-Zeit geht für die Triage von Alerts verloren

Das sind 20 Millionen Dollar pro Jahr für eine Organisation mit 1000 Entwickelnden.

Verschwendete $ für False Positives
Restbetrag $ für Triage verschwendet

Geschätzte jährliche Kosten der Entwickelndenzeit, die für das Triagieren aufgewendet wird.

Balkendiagramm, das die Kosten von 50 Entwickelnden ($280k), 250 Entwickelnden ($1.4m) und 1.000 Entwickelnden ($5.6m) im Vergleich zu den Labels $1M, $5M und $20M darstellt.
$720k
$3.6m
$14.4m

Zwei Drittel der Befragten umgehen Sicherheitsmaßnahmen, ignorieren Befunde oder verzögern Korrekturen

44%
37%
35%
34%
32%
22%
F: Wie hat sich der Umgang mit Fehlalarmen von Sicherheitstools auf Ihre Entwicklungspraktiken ausgewirkt? Wählen Sie alle zutreffenden Optionen aus.

„Wenn Sicherheitstools Entwickelnde mit Rauschen überfordern, driften sie in riskante Workarounds ab. Wir wollen das Gleichgewicht wiederherstellen, indem wir Fehlalarme beseitigen, Schutzmechanismen stärken und die Developer Experience verbessern, damit Teams sich auf das Wesentliche konzentrieren können.“

Mann mit kurzen schwarzen Haaren, Bart und Brille, der ein schwarzes Hemd trägt und drinnen mit verschränkten Armen steht.
Darshit Pandya
Senior Principal Engineer – Platform, Serko

Tools, die sowohl für Entwicklungs- als auch für Sicherheitsteams entwickelt wurden, verzeichneten deutlich weniger Vorfälle

Teams, die Tools verwenden, die sowohl für Entwickelnde als auch für Sicherheitsteams entwickelt wurden, berichteten mehr als doppelt so häufig von keinen Vorfällen im Vergleich zu jenen, die Tools verwendeten, die nur für eine Gruppe entwickelt wurden.

Liniendiagramm, das die Prozentsätze der Meldungen ohne Vorfälle zeigt: 21% für Security-Tools, 23% für Tools für Entwickelnde und 55% für Tools für beide.

„Indem Entwickelnden das richtige Sicherheitstool zur Verfügung gestellt wird, das mit bestehenden Tools und Workflows funktioniert, können Teams Best Practices für die Sicherheit implementieren und ihre Haltung verbessern.“

Junger Mann mit getrimmtem Bart und kurzen Haaren, der ein marineblaues Hemd trägt, drinnen bei Umgebungsbeleuchtung.
Walid Mahmoud
DevSecOps Leiter, UK Cabinet Office
Abstrakter digitaler Hintergrund mit einem Raster-Overlay und rot leuchtenden texturierten Mustern auf einem violetten Farbverlauf.

Sicherheitsrealität

03

„Es ist etwas ironisch, dass die Branche so viel über die Ersetzung von Menschen durch KI spricht, aber im Bereich der Sicherheit machen wir uns viel mehr Sorgen, nicht genügend Sicherheitspersonal zu haben.“

Igor Andriushchenko,
CISO, Lovable
Balkendiagramm, das die Auswirkungen zeigt, wenn ein Top-Security-Engineer das Unternehmen verlässt: 40% Verzögerungen bei der Incident Response, 40% langsamere Produktentwicklung, 37% wichtige Tools fallen aus, 35% verzögerte Fehlerbehebungen, 34% Compliance-Risiko, 28% wahrscheinlicher schwerwiegender Angriff, 12% keine Auswirkungen.

Teams, die separate AppSec- und CloudSec-Tools verwenden, haben eine um 50 % höhere Wahrscheinlichkeit, Vorfälle zu erleben.

Balkendiagramm, das Vorfall-Prozentsätze vergleicht: 31% der Vorfälle nutzen separate Tools, während 20% kombinierte AppSec- und CloudSec-Tools nutzen.

„Es ist klar, dass wir unsere AppSec- und Cloud-Sicherheitsprogramme zu einem einzigen Produktsicherheitsteam zusammenführen müssen. Für Unternehmen, in denen Infrastruktur als Code definiert ist, ist Cloud-Sicherheit im Grunde Codesicherheit, und sie führt zu besseren Ergebnissen.“

James Berthoty
Gründer, Latio Tech

Die Zukunft der AI

96 % glauben, dass KI sicheren, zuverlässigen Code schreiben wird

Innerhalb von 1 – 2 Jahren
20%
3-5 Jahre
44%
24%
6-10 Jahre
+10 Jahre
8%
4%
niemals
Aber nur 21 % glauben, dass es ohne menschliche Aufsicht funktionieren wird

9 von 10 Organisationen erwarten, dass KI Penetrationstests übernehmen wird, mit einem durchschnittlichen Zeitrahmen von 5,5 Jahren.

9/10 Organisationen

Wenn Sie in der Softwaresicherheit arbeiten, müssen Sie dies lesen.

Vollständigen Bericht herunterladen