Gut genug war gestern

📌 Die bequeme Wahrheit

„Gut genug" galt lange als Pragmatismus, nicht als Versagen. Wer Security als Qualitätskriterium über den gesamten Entwicklungszyklus forderte, galt als weltfremd. Schließlich lief Software seit Jahrzehnten – kritische Systeme inklusive –, ohne dass das Schlimmste regelmäßig eintrat. Sicherheitslücken wurden gefunden und irgendwann geschlossen. Prävention war teuer, die Nachfrage nach ihr begrenzt. Die Kosten für mehr Sorgfalt standen in keinem vernünftigen Verhältnis zum erlebten Nutzen. Zumindest schien es so.

⚡ Das Gegenbeispiel

Project Glasswing hat diese Kalkulation erschüttert. Ein auf Schwachstellensuche spezialisiertes KI-System fand in kurzer Zeit Tausende hochkritische Sicherheitslücken in weitverbreiteten Browsern und Betriebssystemen – Lücken, die manuellen Reviews über Jahre entgangen waren. Gleichzeitig zeigen LLM-gestützte SAST-Werkzeuge, dass automatisierte Erkennung und Korrektur von Schwachstellen heute kein Expertenwissen mehr voraussetzt. Was ein Penetrationstest-Team in Wochen nicht fand, findet ein Sprachmodell in Minuten.

🔗 Die verborgene Annahme

Hier liegt der eigentliche Kern: Die stille Prämisse war nie, dass unsere Software sicher ist. Sie war, dass niemand die Kapazität hat, sie gründlich genug zu prüfen. Begrenzte Fähigkeiten und begrenzte Ressourcen auf Angreiferseite schufen einen faktischen Schutz – einen, der nichts mit der Qualität des Codes zu tun hatte. Prävention schien unnötig, weil die Qualitätskontrolle durch Dritte kaum stattfand. Dieses Gleichgewicht war nie stabil. Es war nur günstig.

🎯 Was jetzt zählt

Dieses Gleichgewicht existiert nicht mehr. KI senkt die Kosten der Qualitätskontrolle auf nahezu null – für Angreifende wie für Verteidigende. Wer weiterhin auf „gut genug" setzt, vertraut darauf, dass niemand nachschaut. Aber das Modell schaut nach. Security über den gesamten Entwicklungszyklus zu verankern ist keine Reaktion auf Compliance-Druck. Es ist die Antwort auf eine neue Form der Qualitätskontrolle – eine, die weder auf Erlaubnis noch auf Ressourcen wartet.

📚🔍

• Project Glasswing – Securing critical software for the AI era https://www.anthropic.com/glasswing
• How AI enhances static application security testing (SAST) https://github.blog/ai-and-ml/llms/how-ai-enhances-static-application-security-testing-sast/
• LLMs in Software Security: A Survey (arXiv 2025) https://arxiv.org/html/2502.07049v2