2026

Stand der KI in Security & Development

Unser neuer Bericht fängt die Stimmen von 450 Sicherheitsverantwortlichen (CISOs oder Äquivalente), Entwickelnden und AppSec-Ingenieuren aus ganz Europa und den USA ein. Gemeinsam zeigen sie auf, wie KI in der Cybersicherheit und Softwareentwicklung bereits Probleme verursacht, wie die Tool-Vielfalt die Sicherheit verschlechtert und wie die Developer Experience direkt mit den Incident-Raten zusammenhängt. Hier kollidieren Geschwindigkeit und Sicherheit im Jahr 2026.

Vollständigen Bericht herunterladen

Wichtige Erkenntnisse

Abstrakte digitale Grafik in den Farben Rot, Blau und Weiß mit einem überlagerten Raster und Farbverlaufseffekten.
01

AI-Einführung

Jeder Fünfte erlitt einen schwerwiegenden Vorfall im Zusammenhang mit AI-Code

Halbkreisförmige Grafik mit Antworten zu Sicherheitslücken in KI-generiertem Code: 49 % geringfügiges Problem, 20 % schwerwiegender Vorfall, 20 % nicht bekannt, 11 % nein.

„Während Organisationen darum kämpfen, die Vorteile von KI zu nutzen, findet oft ein verborgener, damit verbundener Kampf statt: ihre Organisation vor einem Anstieg des Cyberrisikos zu schützen, das KI mit sich bringt. Die Aufgabe des CISO ist es, sicherzustellen, dass die Sicherheitslage so schnell skaliert wie die Technologie.“

Lächelnde Frau mit langen braunen Haaren, die Perlenohrringe und ein olivgrünes Oberteil trägt.
Christelle Heikkilä
Ehemaliger CIO/CISO, Arsenal FC

53 % machen das Sicherheitsteam für Vorfälle im Zusammenhang mit AI-Code verantwortlich

F. Wenn eine durch GenAI-Code eingeführte Schwachstelle später einen Sicherheitsvorfall verursachen würde, wer wäre in Ihrer Organisation letztendlich dafür verantwortlich? Wählen Sie alle zutreffenden Optionen aus

„Es mangelt den Befragten eindeutig an Klarheit darüber, wo die Verantwortlichkeit für ein gutes Risikomanagement liegen sollte.“

Mann mit langen, welligen grauen Haaren, der eine schwarze rechteckige Brille und ein weißes Hemd mit Kragen trägt, vor einem einfarbigen Hintergrund.
Andy Boura
CISO, Rothesay
Abstrakte digitale Illustration aus dunkelblauen und violetten strukturierten Formen, überlagert von einem durchscheinenden weißen Raster.
02

Entwickelnde Experience

15%
der Engineering-Zeit geht für die Triage von Alerts verloren

Das sind 20 Millionen Dollar pro Jahr für eine Organisation mit 1000 Entwickelnden.

Verschwendete $ für False Positives
Restbetrag $ für Triage verschwendet

Geschätzte jährliche Kosten der Entwickelndenzeit, die für das Triagieren aufgewendet wird.

Balkendiagramm zum Vergleich der Kosten für 50 Entwickler (280.000 $), 250 Entwickler (1,4 Mio. $) und 1.000 Entwickler (5,6 Mio. $) mit den Labels 1 Mio. $, 5 Mio. $ und 20 Mio. $.
$720k
$3.6m
$14.4m

Zwei Drittel der Befragten umgehen Sicherheitsmaßnahmen, ignorieren Befunde oder verzögern Korrekturen

44%
37%
35%
34%
32%
22%
F: Wie hat sich der Umgang mit Fehlalarmen von Sicherheitstools auf Ihre Entwicklungspraktiken ausgewirkt? Wählen Sie alle zutreffenden Optionen aus.

„Wenn Sicherheitstools Entwickelnde mit Rauschen überfordern, driften sie in riskante Workarounds ab. Wir wollen das Gleichgewicht wiederherstellen, indem wir Fehlalarme beseitigen, Schutzmechanismen stärken und die Developer Experience verbessern, damit Teams sich auf das Wesentliche konzentrieren können.“

Mann mit kurzen schwarzen Haaren, Bart und Brille, der ein schwarzes Hemd trägt und mit verschränkten Armen in einem Innenraum steht.
Darshit Pandya
Senior Principal Engineer – Platform, Serko

Tools, die sowohl für Entwicklungs- als auch für Sicherheitsteams entwickelt wurden, verzeichneten deutlich weniger Vorfälle

Teams, die Tools verwenden, die sowohl für Entwickelnde als auch für Sicherheitsteams entwickelt wurden, berichteten mehr als doppelt so häufig von keinen Vorfällen im Vergleich zu jenen, die Tools verwendeten, die nur für eine Gruppe entwickelt wurden.

Liniendiagramm mit den Prozentsätzen, die keine Vorfälle melden: 21 % für Sicherheitstools, 23 % für Entwicklertools und 55 % für Tools für beide Bereiche.

„Indem Entwickelnden das richtige Sicherheitstool zur Verfügung gestellt wird, das mit bestehenden Tools und Workflows funktioniert, können Teams Best Practices für die Sicherheit implementieren und ihre Haltung verbessern.“

Junger Mann mit gepflegtem Bart und kurzen Haaren, der in einem Raum mit Umgebungsbeleuchtung ein marineblaues Hemd trägt.
Walid Mahmoud
DevSecOps Leiter, UK Cabinet Office
Abstrakter digitaler Hintergrund mit einem Rasterüberlagerung und rot leuchtenden strukturierten Mustern auf einem violetten Farbverlauf.

Sicherheitsrealität

03

„Es ist etwas ironisch, dass die Branche so viel über die Ersetzung von Menschen durch KI spricht, aber im Bereich der Sicherheit machen wir uns viel mehr Sorgen, nicht genügend Sicherheitspersonal zu haben.“

Igor Andriushchenko,
CISO, Lovable
Balkendiagramm, das die Auswirkungen des Weggangs eines leitenden Sicherheitsingenieurs zeigt: 40 % Verzögerungen bei der Reaktion auf Vorfälle, 40 % langsamere Produktentwicklung, 37 % Ausfall wichtiger Tools, 35 % verzögerte Fehlerbehebung, 34 % compliance , 28 % wahrscheinlicher schwerwiegender Angriff, 12 % keine Auswirkungen.

Teams, die separate AppSec- und CloudSec-Tools verwenden, haben eine um 50 % höhere Wahrscheinlichkeit, Vorfälle zu erleben.

Balkendiagramm zum Vergleich der Vorfallquoten: Bei 31 % der Vorfälle werden separate Tools verwendet, während bei 20 % kombinierte AppSec CloudSec-Tools zum Einsatz kommen.

„Es ist klar, dass wir unsere AppSec- und Cloud-Sicherheitsprogramme zu einem einzigen Produktsicherheitsteam zusammenführen müssen. Für Unternehmen, in denen Infrastruktur als Code definiert ist, ist Cloud-Sicherheit im Grunde Codesicherheit, und sie führt zu besseren Ergebnissen.“

James Berthoty
Gründer, Latio Tech

Die Zukunft der AI

96 % glauben, dass KI sicheren, zuverlässigen Code schreiben wird

Innerhalb von 1 – 2 Jahren
20%
3-5 Jahre
44%
24%
6-10 Jahre
+10 Jahre
8%
4%
niemals
Aber nur 21 % glauben, dass es ohne menschliche Aufsicht funktionieren wird

9 von 10 Organisationen erwarten, dass KI Penetrationstests übernehmen wird, mit einem durchschnittlichen Zeitrahmen von 5,5 Jahren.

9/10 Organisationen

Wenn Sie in der Softwaresicherheit arbeiten, müssen Sie dies lesen.

Vollständigen Bericht herunterladen