KI hat 2025 Schätzungen zufolge rund 40 % des Codes auf der ganzen Welt geschrieben. Dieses sogenannte „Vibe Coding“, das viele Unternehmen als Produktivitätssprung feiern, kann auf Kosten der Cybersicherheit gehen, wie wie Eduardo Moreno von Hexago in einem exklusiven Kommentar erklärt.
So zeigt eine aktuelle Studie von Apiiro: Mit ChatGPT-5 oder Claude schreiben Entwickler drei- bis viermal mehr Code als Kollegen ohne KI-Unterstützung. Gleichzeitig schleusen sie die zehnfache Menge an Risiken ein: durch ungeprüfte Open-Source-Abhängigkeiten, falsch gesetzte Cloud-Berechtigungen oder versehentlich veröffentlichte Zugangsdaten.
Slobsquatting: Hacker nutzen KI-Halluzinationen
Neuerdings machen sich Hacker die Achillesferse der KI zunutze: Halluzinationen. Beim sogenannten „Slopsquatting“ nutzen Angreifer aus, dass Chatbots in Codebeispielen manchmal Bibliotheken oder Pakete, also wiederverwendbare Code-Bausteine, empfehlen, die plausibel klingen, aber nicht existieren. Sie sammeln die Namen solcher erfundenen Pakete, registrieren sie in den üblichen Paket-Ökosystemen und füllen sie mit Schadcode. Wer den KI-Vorschlag unkritisch übernimmt, hat eine Hintertür für Hacker installiert.
Fast 20 % der von Chatbots empfohlenen Pakete existierten nicht, zeigte eine Untersuchung von über 500.000 Code-Samples. Das testete der Sicherheitsforscher Bar Lanyado anhand des am häufigsten halluzinierten Paketnamens. Innerhalb von drei Monaten luden 30.000 User Lanyados „Trojaner“ herunter.
Fachkräftemangel fördert unzuverlässige KI-Prüfung
Dass solche Kniffe funktionieren, liegt nicht nur an der KI. Viele Unternehmen können den Output schlicht nicht zuverlässig prüfen. Es fehlt an Routine im Security-Audit von Code und Abhängigkeiten, an sauberem Berechtigungsmanagement und an Prozessen, die Fehlkonfigurationen früh abfangen. Durch den Fachkräftemangel wird auch Grundwissen, etwa über Zugriffskontrollen, Malware-Erkennung und einem verlässlichen Patch-Management, zum raren Gut.
Neben Attacken von außen können auch schlechte Softwarequalität und alltägliche Codierungsfehler verheerend wirken: ein Update zur falschen Zeit, eine fehlerhafte Policy, eine Konfiguration, die im IT-Netz harmlos wirkt und in der Operational Technology (OT) alles kippt. Wie schnell aus einem Fehler ein Flächenbrand wird, zeigte sich im Juli 2024: Ein fehlerhaftes Update von Crowdstrike führte weltweit zu Ausfällen bei Fluggesellschaften, Banken und Krankenhäusern.
Operational Technology ist besonders gefährdet
Am heikelsten wird es an der Schnittstelle zwischen der digitalen und physischen Welt: in der Operational Technology (OT). Das Institute for Homeland Security an der Sam Houston State University dokumentierte Vorfälle wie einen Cybersecurity-Patch an einer Gasturbine, der das kontrollierte Herunterfahren über das Leitsystem verhinderte. In einem anderen Fall legte ein Netzwerk-Scan mehrere kritische Umspannwerke lahm, weil Steuergeräte den Scan als Denial-of-Service-Angriff interpretierten.
Neben knappen Ressourcen, zusätzlich verschärft durch den Fachkräftemangel, ist ein häufiger Auslöser für Angriffe auf OT-Umgebungen banal: Unternehmen exponieren industrielle Steuerungssysteme im Internet.
Resilienz ist das Gebot der Stunde
Ressourcenknappheit, unsaubere Prozesse rund um den Betrieb von Anlagen, fehlende OT-Governance und schlicht Unachtsamkeit zählen zu den größten Quellen für Ausfälle, Fehlfunktionen und Angriffe von außen. Angesichts dieser komplexen Gemengelage muss Cybersicherheit weiter gedacht werden als „Hackerabwehr“.
Die Maßnahmen für Cyberresilienz sind in der Theorie bekannt, in der Praxis oft lückenhaft: saubere Backups, dokumentierte Konfigurationsstände, Change Detection, mehrere verlässliche Wiederherstellungspunkte.
Solche Prozesse aufzusetzen ist mühsam und zeitintensiv, weil sie eine hochkomplexe Welt abbilden, Unmengen an Daten benötigen und ständig aktualisiert werden müssen. Dafür entsteht am Ende ein digitaler Zwilling sämtlicher Assets im Unternehmen. Mit diesem lässt sich planen, was, wann, wo wie aktualisiert werden muss, es lassen sich Angriffsszenarien simulieren und auch ein KI-generierter Code kann in einer virtuellen Umgebung sicher getestet werden.
Fehler, Angriffe und Ausfälle lassen sich nicht zu 100 Prozent verhindern. Aber das Risiko für gravierende Schäden sinkt, wenn alle Assets über ihren Lebenszyklus digital abgebildet sind. Dann lassen sich potenzielle Einfallstore identifizieren, Systeme wieder herstellen und sicherheitsrelevante Policies überprüfen. Der initiale Aufwand lohnt sich immer.
Weitere Informationen gibt es unter www.hexagon.com.
