KI in der App-Security: Chancen und Risiken

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Security-Anbieter überbieten sich ständig mit angeblich revolutionären neuen Produkten. Dabei ist es schwer, zwischen realistischen Versprechen, Angstmacherei und Schlangenöl zu unterscheiden. Wer einen besseren Blick auf den Stand der Sicherheitstechnik werfen will, sollte sich bei einer herstellerunabhängigen Konferenz informieren – wie der deutschen Ausgabe des Open Worldwide Application Security Project (OWASP). Gesprochen haben wir mit Jasmin Mair und Christian Dresen, beide Mitglieder des Organisationsteams vom German OWASP Day sowie Board Member vom OWASP German Chapter. Jasmin ist zudem Chapterlead vom OWASP Chapter Frankfurt.

Security-Konferenzen und -Veranstaltungen gibt es viele. Aber welches Thema zieht aktuell besonders viel Aufmerksamkeit in der Branche auf sich – und warum?

Ganz klar: Künstliche Intelligenz in der Application Security. Aber nicht mehr als Zukunftsvision, sondern als konkrete Arbeitsrealität. KI ist für Entwickler:innen und Security-Expert:innen längst kein Hype-Thema mehr; die Technologie ist bereits im täglichen Einsatz. Genau deshalb widmen wir dem Thema beim German OWASP Day 2025 so viel Raum: Die Branche ringt gerade damit, was es bedeutet, wenn KI-Tools auf beiden Seiten eingesetzt werden: sowohl von Verteidiger:innen als auch von Angreifer:innen. Unsere Keynote-Speakerin Eva Wolfangel spricht nicht umsonst vom "Code Dark Age" – ein provokanter Begriff, der die Unsicherheit widerspiegelt, mit der wir in diese neue Ära der Softwareentwicklung eintreten.

Ganz konkret: Wie sieht der Einsatz von KI-Werkzeugen denn in der Security-Branche aktuell aus?

Wir sehen zwei Gesichter der KI-Sicherheit, die wir "Breaker" und "Builder" nennen: Auf der einen Seite haben wir die "Builder AI". Darunter zum Beispiel Coding Assistants, die Entwickler:innen täglich nutzen, um schneller Code zu schreiben. Auf der anderen Seite steht die "Breaker AI", also Large Language Models, die für automatisierte Angriffe, raffinierte Phishing-Kampagnen und Schwachstellenscans eingesetzt werden. Beim German OWASP Day 2025 beleuchten wir beide Seiten: Ein Vortrag zeigt, wie der YuraScanner LLMs für aufgabengesteuerte Web-App-Scans nutzt. Ein anderer stellt die unbequeme Frage, wie sicher eigentlich der Code ist, den KI-Tools generieren. Hinzu kommen neue Phänomene wie AI-Agenten und das Model Context Protocol (MCP), die ganz eigene Sicherheitsherausforderungen mit sich bringen.

KI-Tools kommen natürlich nicht nur bei Sec-Experten zum Einsatz. Welche weiteren Sicherheitsherausforderungen gibt es durch den mehr oder weniger sichtbaren KI-Hype?

Die Herausforderungen gehen weit über den reinen Code hinaus. Unternehmen integrieren KI-Tools oft schneller, als sie deren Sicherheitsimplikationen verstehen. CISO Holger Mack nimmt die Teilnehmer:innen in seinem Vortrag "A CISO's Adventures in AI Wonderland" mit auf eine Erkundungstour durch genau diesen Dschungel: Wie können Angreifer:innen Large Language Models manipulieren? Welche neuen Angriffswege öffnet die KI-gestützte Automatisierung? Ein konkretes Beispiel aus unserem Programm: Der Vortrag "How we hacked Y Combinator companies' AI agents" zeigt, wie verwundbar manche AI-Agenten in der Praxis sind. Und die sichere Integration externer Tools in LLMs über das Model Context Protocol ist alles andere als trivial – ein echtes "Security Hot Potato", wie es ein anderer Vortragstitel treffend beschreibt.

Auch Angreifer springen sofort auf neue Techniktrends auf. Welche KI-Gefahren ergeben sich hier und wie steht das in Spannung mit KI-Regulierungen?

Das ist genau die Spannung, in der sich die Branche aktuell bewegt: Einerseits sehen wir, wie Angreifer:innen KI für immer raffiniertere Attacken nutzen – von automatisierten Schwachstellenscans, gezielten Phishing-Kampagnen bis zur Manipulation von Large Language Models. Andererseits kommt regulatorischer Druck, etwa durch den Cyber Resilience Act, dem wir beim German OWASP Day einen eigenen Workshop widmen. Die Krux: Während Angreifer:innen agil neue Technologien ausnutzen, müssen Unternehmen gleichzeitig Compliance-Anforderungen erfüllen und praktische Sicherheit gewährleisten. Das erfordert keine theoretischen Abhandlungen, sondern handfeste, praxisnahe Lösungen. Genau das liefern wir bei OWASP seit über 20 Jahren. Beim German OWASP Day bringen wir diese verschiedenen Perspektiven zusammen: von technischen Deep-Dives bis zu strategischen CISO-Insights.

Lasst uns noch konkret auf die Chancen der KI eingehen: Was ist schon jetzt deutlich besser, effizienter oder präziser durch den Einsatz von KI-Tools in der Security geworden?

KI hat das Potenzial, Security-Teams zu entlasten, und das zeigt sich schon heute. Routineaufgaben wie Log-Analysen, Schwachstellenscans oder Code-Reviews lassen sich durch KI-gestützte Tools beschleunigen. Große Sprachmodelle helfen, Muster in riesigen Datenmengen zu erkennen, die Menschen leicht übersehen würden. Dadurch werden Bedrohungen oft früher entdeckt und Reaktionszeiten verkürzt.

Auch in der Softwareentwicklung wird eine höhere Sicherheit erzielt: Coding Assistants schlagen nicht nur schneller Code vor, sondern können, wenn richtig trainiert und kontrolliert, auch auf sicherere Implementierungen hinweisen. Außerdem funktionieren Codeanalysen aus Erfahrung gut: Die Ergebnisse sind nicht perfekt, aber in der Regel deutlich besser als ein Entwicklungsteam solche Reviews in der gleichen Zeit schaffen würde.

Der entscheidende Punkt ist: KI ermöglicht Effizienz und Präzision, wenn sie richtig eingesetzt wird. Genau dieses "wenn" steht beim German OWASP Day im Fokus. Wir wollen aufzeigen, wie man die Chancen nutzt, ohne neue Risiken zu übersehen, um KI verantwortungsvoll in die Security-Strategie zu integrieren.

Noch eine abschließende Frage zu eurer Veranstaltung selbst: Welche besonderen inhaltlichen Herausforderungen gibt es denn bei einer explizit herstellerunabhängigen Konferenz?

Gerade weil der German OWASP Day herstellerunabhängig ist, steht bei uns der Wissensaustausch im Vordergrund, nicht das Marketing. Das bedeutet aber auch: Wir müssen Themen so auswählen, dass sie echten Mehrwert für die Community bringen und nicht bloß ein Produkt oder Tool ins Rampenlicht stellen.

Das ist in Zeiten des KI-Hypes eine besondere Herausforderung, denn viele Vorträge am Markt sind heute stark von Anbietern geprägt. Bei uns gilt: kein Produkt-Pitch, keine gesponserten Talks. Stattdessen setzen wir auf Beiträge, die transparent zeigen, wie Sicherheit in der Praxis funktioniert – mit offenen Tools, nachvollziehbaren Methoden und realen Fallbeispielen.

Diese Unabhängigkeit ist zwar aufwendiger in der Planung, schafft aber Vertrauen. Sie ist letztlich der Grund, warum OWASP seit über 20 Jahren als glaubwürdige Plattform für die gesamte Security-Community gilt – von Entwickler:innen bis zu CISOs.

Jasmin und Christian, vielen Dank für die Antworten! Mehr Informationen finden Interessierte auf der Webseite des German OWASP Day 2025.

(fo)