Künstliche Intelligenz (KI) revolutioniert nicht nur den Alltag, sondern verändert auch die Welt der IT-Security fundamental. Auf dem German OWASP Day wurde deutlich: Wer App-Sicherheit künftig ernst nimmt, kommt um KI-basierte Lösungen – aber auch um neue Bedrohungsszenarien – nicht herum.
Einblicke vom German OWASP Day: KI trifft auf Webanwendungen
Der German OWASP Day, eine der wichtigsten deutschsprachigen Konferenzen zur Anwendungssicherheit, stand 2025 unter dem Motto „Secure by Intelligence – KI in der Anwendungssicherheit“. Zahlreiche internationale Experten, Sicherheitsforscher und Entwickler diskutierten den Einfluss von Machine Learning, Large Language Models und automatisierter Angriffserkennung auf die IT-Security.
Ein zentrales Thema war die Ambivalenz von KI-Systemen: Während sie in der Lage sind, Anwendungen besser zu schützen als je zuvor, können dieselben Technologien von Angreifern genutzt werden, um Schwachstellen effizienter zu identifizieren und auszunutzen. Dieses Spannungsfeld stand im Zentrum mehrerer Keynotes und Panels.
KI als Schutzschild: Wie Algorithmen Schwachstellen erkennen
Moderne Application Security Tools setzen zunehmend auf KI, um Gefahren in Echtzeit zu erkennen und zu analysieren. Durch den Einsatz von Machine Learning können Anomalien im Verhalten einer Anwendung schneller identifiziert werden, etwa unerwarteter Datenverkehr oder auffällige API-Zugriffe.
Ein Beispiel dafür ist die Nutzung von Deep Learning zur Erkennung von Zero-Day-Exploits, die herkömmliche Signatur-basierte Systeme nicht entdecken würden. Unternehmen wie Darktrace oder Microsoft Defender for Cloud Apps setzen auf Modelle, die kontinuierlich Muster aus Echtzeit-Traffic lernen und adaptiv neue Angriffe erkennen.
Laut dem „State of AI in Cybersecurity 2024“-Report von Capgemini erkennen bereits 64% der befragten Unternehmen konkrete Sicherheitsvorteile durch den Einsatz von KI in der Anwendungsüberwachung. Vor zwei Jahren lag dieser Wert noch bei 41% (Quelle: Capgemini Research Institute).
Die andere Seite: Wenn Angreifer KI nutzen
Doch dieselben Technologien, die defensive Sicherheitssysteme verbessern, werden auch von Angreifern mit wachsender Effektivität eingesetzt. Auf dem German OWASP Day demonstrierte ein Vortrag unter dem Titel „Offensive AI: Automatisierte Schwachstellensuche mit LLMs“, wie generative Modelle wie GPT-4 und Claude genutzt werden können, um gezielt Code auf Schwachstellen zu analysieren, Exploits zu generieren oder sogar maßgeschneiderte Phishing-Mails zu erstellen.
Ein eindrucksvolles Beispiel: Die Open-Source-Tools AutoRecon-AI und LLMScan kombinieren Code-Scanning mit Natural Language Processing, um aus unstrukturiertem Text wie Kommentaren oder Logs potenzielle Entry Points zu extrahieren. In den Händen von Angreifern wächst damit die Zahl potenzieller Sicherheitslücken dramatisch.
Eine Studie von IBM aus dem Jahr 2024 zeigt, dass KI-unterstützte Angriffe aktuell dreimal schneller relevante Schwachstellen identifizieren können als klassische Tools. Gleichzeitig sinkt die Zeit, bis ein Exploit erfolgreich eingesetzt wird, um etwa 45% (Quelle: IBM X-Force Threat Intelligence Index 2024).
Zwischen Automation und Verantwortung
Ein weiterer Fokus der Konferenz lag auf ethischen und regulatorischen Rahmenbedingungen. Je stärker sich KI als Werkzeug sowohl für die Verteidigung als auch für Angriffe etabliert, desto wichtiger werden Kontrollmechanismen und verantwortungsvoller Umgang.
Experten fordern klare Governance-Modelle im Umgang mit KI-Systemen in der Sicherheit – vergleichbar mit DevSecOps-Standards. So sprach Dr. Nicole Reinhardt vom Fraunhofer AISEC über „Responsible Security Automation“ und zeigte Wege auf, wie Unternehmen vom reinen Reagieren zum proaktiven Verteidigen gelangen können.
Ein zukunftsweisender Ansatz: die Kombination aus Human-in-the-Loop-Systemen mit automatisierten Detektionsalgorithmen. Hierbei prüfen menschliche Experten die von KI erkannten Vorfälle im Kontext, um False Positives zu vermeiden und die Analyse kontinuierlich zu verbessern.
Security-Testautomation 2.0: KI im DevSecOps-Lifecycle
Neue Tools wie Snyk AI oder GitHub Copilot for Security integrieren sich direkt in den Entwicklungsworkflow, analysieren Code in Echtzeit und geben Empfehlungen zur Absicherung potentieller Probleme. Dabei geht es nicht mehr nur um reaktive Sicherheit, sondern um „Shift Left“: Sicherheit schon beim Coden denken.
Auf dem German OWASP Day demonstrierten mehrere Panels, wie KI-Security-Tools automatisierte Pull-Requests generieren, die konkrete Konfigurationsfehler oder veraltete Abhängigkeiten entfernen. So werden Sicherheitslücken im CI/CD-Prozess automatisch erkannt und gepatcht, bevor sie produktiv gehen.
Praktische Empfehlungen für Unternehmen
Wer KI in der Anwendungssicherheit effektiv nutzen und gleichzeitig Risiken kontrollieren will, sollte folgende Tipps beherzigen:
- Risikoabschätzung integrieren: Binden Sie KI-basierte Schutzmechanismen in ein Threat-Modelling ein, um systematische Schwachstellen zu vermeiden.
- Kontrollierbare KI-Systeme wählen: Nutzen Sie erklärbare Modelle (Explainable AI), um Entscheidungen analysieren und nachvollziehbar dokumentieren zu können.
- Human Oversight bewahren: Automatisierung ist nur so gut wie die Menschen, die sie verwalten. Führen Sie regelmäßige Überprüfungen anhand von Use Cases durch.
- Trainingsdaten prüfen: Achten Sie bei Machine-Learning-Modellen auf die Qualität und Herkunft der Daten, um Manipulationen und Bias zu vermeiden.
- Security-Tests KI-basiert erweitern: Nutzen Sie KI-gestützte Tools zur Simulation komplexer Angriffsszenarien als Ergänzung zu klassischen Penetrationstests.
Blick nach vorn: Adaptive Security, erklärbare KI und Angriffssimulationen
Langfristig wird App-Security durch KI nicht überflüssig – sie wird transformiert. Adaptive Security-Ansätze ermöglichen es, Schutzmaßnahmen dynamisch an Bedrohungslagen anzupassen. Tools wie Microsoft Security Copilot experimentieren bereits mit LLMs, die automatisch Incident Reports erstellen, Log-Dateien analysieren und Empfehlungen zur Behebung ausgeben.
Doch mit wachsender Autonomie wächst auch die Notwendigkeit zur Kontrolle. Externe Initiativen wie das EU AI Act bieten erste regulatorische Rahmenbedingungen, treffen aber bislang nur in Teilen auf Sicherheitssysteme zu. Der Diskurs über Erklärbarkeit (XAI), Auditierbarkeit und Haftung von Systementscheidungen wird die kommenden Jahre prägen.
Die Community ist gefordert: Erfahrung auszutauschen, ethische Richtlinien zu definieren und Tools transparent zu halten. Denn KI in der App-Security ist mehr als ein neues Feature – sie ist der Beginn eines Paradigmenwechsels im digitalen Verteidigungsspiel.
Fazit: Zwischen Angriff und Verteidigung, Automation und Kontrolle eröffnet KI der App-Security ungeahnte Möglichkeiten – wenn wir sie mit Verantwortung gestalten. Die Diskussion startet jetzt. Bringen Sie Ihre Perspektive ein – auf Events, Foren und in der täglichen Praxis.
