Application-Security on .kais blog

Die Auferstehung

Mon, 06 Apr 2026 07:35:00 +0200

🟡 Der erste Riss

SQL-Injection wurde 1998 dokumentiert. Sie steht seit mehr als 20 Jahren in den OWASP Top 10. MITRE nennt 15 Schwachstellen, die seit vielen Jahren in jeder CWE-Top-25 auftauchen, “Stubborn Weaknesses” – hartnäckige Schwachstellen. SQL-Injection (CWE-89) gehört dazu. Alle warnen davor. Und trotzdem ist sie Jahr für Jahr unter den häufigsten Schwachstellen in produktiven Systemen. Nicht weil niemand es weiß. Sondern weil Wissen nicht dasselbe ist wie Ausrotten.

Der Agent darf alles

Fri, 03 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

KI-Agenten kommen mit Produktions-Credentials, Datenbankzugängen und Admin-Rechten ausgestattet. Die Argumentation: Einschränkungen kosten Zeit, und der Agent soll ja Dinge erledigen. Was ich sehe, sind Systeme, in denen ein autonomes System mit mehr Rechten läuft als die meisten menschlichen Beschäftigten.

🎯 Was soll eigentlich erreicht werden?

Agenten sollen Aufgaben selbständig lösen – ohne ständige menschliche Intervention. Das ist legitim; KI-Agenten werden in Entwicklung, Betrieb und Security-Operations zunehmend eingesetzt.

Das SBOM-Feigenblatt

Fri, 27 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Zwei Versäumnisse, oft gleichzeitig: Ein SBOM wird einmalig erzeugt – nicht für jeden Build. Welche Komponentenversionen im letzten Release stecken? Unbekannt. Und selbst wo SBOMs existieren, werden sie nicht beobachtet. Ein neuer CVE für eine enthaltene Komponente bleibt unsichtbar – bis jemand zufällig nachschaut.

🎯 Was soll eigentlich erreicht werden?

Zwei Dinge: wissen, was deployed ist – und wissen, ob das noch sicher ist. Der SBOM beantwortet die erste Frage: Er dokumentiert Komponentenversionen eines Builds. Die zweite beantwortet er nur, wenn er kontinuierlich gegen Schwachstellendatenbanken geprüft wird.

Das abgeschlossene Bedrohungsmodell

Fri, 13 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Die Threat-Modeling-Session liegt sechs Monate zurück. Damals war die Architektur überschaubar, die Abhängigkeiten bekannt. Seitdem kam ein neuer Cloud-Provider dazu, drei Bibliotheken wurden ausgetauscht, und die Auslieferungspipeline hat neue Wege in die Produktion bekommen. Das Bedrohungsmodell weiß davon nichts.

🎯 Was soll eigentlich erreicht werden?

Threat Modeling soll Angriffsflächen sichtbar machen, bevor Angreifer sie finden. Das Threat Modeling Manifesto fordert Continuous Refinement: Das Bedrohungsmodell muss parallel zum System gepflegt, aktualisiert und verfeinert werden – nicht einmalig erstellt und abgelegt.

CRA – die stille Revolution ab September 2026

Mon, 09 Mar 2026 07:35:00 +0100

🌍 Ein Déjà-vu aus den Achtzigern

Die EG-Produkthaftungsrichtlinie von 1985 war leise und folgenreich. Hersteller physischer Güter hafteten seitdem für Schäden ihrer Produkte. Wer Produkte baute, musste Sicherheit einplanen – nicht nachliefern. Die Autoindustrie nennt das heute selbstverständlich. Die Softwarewelt hat vier Jahrzehnte gebraucht, um denselben Gedanken zu Ende zu denken.

🔬 Dieselbe Logik, digital

Am 11. September 2026 beginnt Phase 1 des Cyber Resilience Act. Hersteller von Produkten mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen binnen 24 Stunden melden. Eine SBOM – eine maschinenlesbare Stückliste aller verbauten Softwarekomponenten – wird Pflicht. Hersteller stellen Sicherheitsupdates fünf Jahre lang kostenlos bereit. Die Sprache ist vertraut: Stückliste, Rückrufpflicht, Gewährleistungszeitraum. Nur das Produkt ist digital.

Vertrauen ist gut, Review ist besser

Mon, 23 Feb 2026 07:35:00 +0100

🤝 Das starke Argument

“KI-generierter Code durchläuft denselben Review-Prozess wie jeder andere Code.” Diesen Satz höre ich in fast jeder Diskussion über die Risiken von Copilot, Cursor und Co. Er klingt überzeugend, denn wer würde schon Code ohne Review in Produktion bringen?

⚖️ Was daran stimmt

Die meisten Teams haben tatsächlich Review-Prozesse etabliert, und statische Analyse fängt offensichtliche Fehler zuverlässig ab. KI-generierter Code ist syntaktisch sauber, oft sogar sauberer als menschlicher. Die Werkzeuge produzieren funktionierenden Code - das ist ihr Versprechen, und sie halten es oft.