Trotz gestiegenen Sicherheitsbewusstseins liefern viele Unternehmen weiterhin verwundbare Software aus
FRANKFURT, 8. Juni 2026 – Checkmarx, Marktführer für autonome, Cloud-native Anwendungssicherheit, hat die Ergebnisse seines diesjährigen Future of Application Security Reports vorgestellt. Demnach nutzen inzwischen 96 Prozent der Entwicklerinnen und Entwickler KI-Tools in ihrer IDE und bewerten deren Nutzen überwiegend positiv. Allerdings geben lediglich 18 Prozent an, bereits während der Entwicklung kontinuierliche Sicherheitsprüfungen durchzuführen. Gleichzeitig geben 95 Prozent der CISOs an, unter Druck zu stehen, Compliance-relevante Sicherheitsprobleme zurückzustellen, wenn Projektfristen gefährdet sind. Für die Studie wurden 2.350 CISOs, AppSec-Verantwortliche und Entwickler aus 14 Ländern befragt.
Die Ergebnisse weisen zudem auf einen Zusammenhang zwischen dem Anteil an KI-generiertem Code und dem Sicherheitsniveau von Anwendungen hin: Unternehmen, deren Produktivcode zu 81 bis 100 Prozent KI generiert ist, liefern laut Studie mehr als dreimal so häufig verwundbare Software aus wie Unternehmen mit einem KI-Code-Anteil von lediglich 1 bis 20 Prozent (47 gegenüber 14 Prozent). Grundsätzlich zeigt sich ein strukturelles Problem: Drei Viertel der Unternehmen haben nach eigenen Angaben bereits wissentlich verwundbare Software ausgeliefert. Als Gründe nennen sie Zeitdruck, Komplexität sowie die Hoffnung, dass Schwachstellen unentdeckt bleiben.
Sicherheitsstrategien müssen sich an die veränderte Bedrohungslandschaft anpassen
Mit der zunehmenden Verbreitung leistungsstarker KI-Modelle entstehen neue Angriffsflächen, während sich die Zeitspanne zwischen der Entdeckung und der Ausnutzung von Schwachstellen weiter verkürzt. Zu den Best Practices für die Absicherung KI-gestützter Softwareentwicklung zählen laut Report hybride Ansätze, die deterministische Prüfverfahren mit KI-gestützten Analyse- und Bewertungsverfahren kombinieren, klare Governance-Vorgaben für den Einsatz von KI sowie die weitgehende Automatisierung der Schwachstellenbehebung. Die Studienergebnisse zeigen zugleich eine wachsende Kluft zwischen Unternehmen, die ihre Sicherheitsstrategien an die veränderte Bedrohungslandschaft anpassen, und jenen, die weiterhin darauf hoffen, dass Schwachstellen unentdeckt bleiben.
Die wichtigsten Ergebnisse der Studie im Überblick:
• Sicherheit wird häufig erst nachgelagert berücksichtigt: Kontinuierliche Sicherheitsprüfungen sind bei mehr als 80 Prozent der Befragten bislang nicht fester Bestandteil des Entwicklungsprozesses. Schwachstellen werden stattdessen häufig erst in späteren Phasen oder nach einem Vorfall erkannt.
• Unternehmen erkennen die Risiken von KI, handeln jedoch nur zögerlich: Der Anteil der Unternehmen, die nach eigenen Angaben wissentlich verwundbare Software ausliefern, sank innerhalb eines Jahres von 81 auf 75 Prozent. Gleichzeitig stieg der Anteil der Unternehmen mit klaren Governance-Vorgaben für den Einsatz von KI von 18 auf 22 Prozent. Da sich die Zeitspanne zwischen der Entdeckung und der Ausnutzung von Schwachstellen weiter verkürzt, sind diese Fortschritte jedoch nicht ausreichend.
• Selbstbild und Realität klaffen auseinander: 93 Prozent der befragten Unternehmen berichten von einem Sicherheitsvorfall im Zusammenhang mit eigenen Anwendungen. Gleichzeitig beschreiben 73 Prozent ihr Sicherheitsniveau als „Advanced“ oder „Highly Mature“.
• Bei der KI-Governance besteht weiterhin erheblicher Nachholbedarf: 78 Prozent der Unternehmen verfügen laut Studie über keine klaren Vorgaben. Dadurch steigt das Risiko einer unkontrollierten Verbreitung von Schatten-KI und verwundbarem Code.
„Der Report macht deutlich, dass viele Unternehmen die Risiken zwar erkannt haben, ihre Sicherheitsmaßnahmen jedoch nicht im gleichen Tempo weiterentwickeln“, erklärt Sandeep Johri, CEO von Checkmarx. „KI kann die Softwareentwicklung erheblich beschleunigen, erhöht jedoch auch das Risiko und ersetzt keine wirksamen Sicherheitskontrollen. Erforderlich sind Ansätze, die deterministische Prüfverfahren mit KI-gestützten, probabilistischen Analyse- und Bewertungsverfahren kombinieren, neue Angriffsmuster zuverlässig erkennen und Sicherheitsteams in die Lage versetzen, Schwachstellen schneller und gezielter zu beheben.“
Was die Schwachstellenbehebung angeht, zeichnen die europäischen Ergebnisse ein besorgniserregendes Bild: 35 Prozent der befragten Unternehmen gelingt es nicht, innerhalb von drei Monaten mehr als die Hälfte der identifizierten Sicherheitslücken zu schließen.
„Die Zahlen zeigen, dass viele Unternehmen bei der Umsetzung von Anwendungssicherheit weiterhin vor erheblichen Herausforderungen stehen“, so Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx. „Entscheidend ist, Sicherheit als festen Bestandteil von Entwicklungsprozessen zu verankern, identifizierte Schwachstellen konsequent zu priorisieren und zeitnah zu beheben. Nur so lassen sich die Vorteile KI-gestützter Entwicklung nutzen, ohne zusätzliche Risiken in Kauf zu nehmen.“
Die Ergebnisse werden auch auf dem virtuellen Agentic AppSec Unleashed Summit vorgestellt, den Checkmarx am 16. Juni 2026 veranstaltet. Security- und Engineering-Verantwortliche aus führenden Unternehmen werden dort gemeinsam mit Branchenexperten und Führungskräften von Checkmarx aktuelle Herausforderungen und Lösungsansätze für die sichere Softwareentwicklung im KI-Zeitalter diskutieren.
Für den Future of Application Security Report befragte Censuswide im Auftrag von Checkmarx zwischen dem 10. und 30. März 2026 insgesamt 2.350 CISOs, AppSec-Verantwortliche und Entwickler aus 14 Ländern. Die Teilnahme erfolgte anonym. Censuswide ist Mitglied der Market Research Society (MRS) sowie des British Polling Council und arbeitet nach den Richtlinien des MRS Code of Conduct und den ESOMAR-Prinzipien.
Der vollständige Report steht kostenfrei zum Download bereit: https://checkmarx.com/foa-report/
Über Checkmarx
Checkmarx ist Marktführer für autonome, Cloud-native Anwendungssicherheit. Mit Checkmarx One profitieren Unternehmen von umfassendem Schutz, geringeren Entwicklungskosten und schnelleren Entwicklungszyklen. Die Plattform analysiert jährlich Billionen von Codezeilen und reduziert dabei die Schwachstellendichte um mehr als die Hälfte. Autonome Security Agents erkennen und neutralisieren KI-gestützte Bedrohungen über den gesamten Softwarelebenszyklus hinweg – und machen präventiven Schutz von Legacy-, modernen und KI-generierten Anwendungen skalierbar.
Folgen Sie Checkmarx auf LinkedIn, YouTube und X.
Firmenkontakt
Checkmarx Germany GmbH
Ann Boyd
Theodor-Stern-Kai 1
60596 Frankfurt am Main
–
https://www.checkmarx.com/
Pressekontakt
H zwo B Kommunikations GmbH
Maximilian Wenzel
Nürnberger Str. 17-19
91052 Erlangen
+49 9131 81281-16
http://www.h-zwo-b.de/
- KI (Wikipedia)
KI steht für: sumerische Gottheit, siehe Uraš (Göttin) Adam Air, ehemalige indonesische Fluggesellschaft nach dem IATA-Code Canadian Regional Airlines (IATA-Code), kanadische Fluggesellschaft Kaliumiodid, chemische Verhältnisformel Kanzerogenitätsindex, Gefahreneinstufung von Mineralfasern Karolinska-Institut, medizinische Hochschule bei Stockholm Kategorischer Imperativ, grundlegendes ethisches Prinzip des Philosophen Immanuel Kant Kiribati, Ländercode nach ISO 3166 Knabeninstitut Wilhelmsdorf, heute Gymnasium Wilhelmsdorf in Wilhelmsdorf (Württemberg) Kombiinstrument, Instrumentenblock in Kraftfahrzeugen Kommunistische Internationale, auch Komintern Konfidenzintervall, statistischer Vertrauensbereich Konfigurationsidentifizierung, Teil des Konfigurationsmanagements Konstanzer Inventar, Sammlung kriminologischer und kriminalstatistischer Informationen Kontraindikation, in der Medizin ein Umstand, der gegen eine Maßnahme spricht Kreditinstitut Künstliche Insemination, künstliche Befruchtung bei Rindern und anderen Tieren Künstliche Intelligenz, Teilgebiet der Informatik Trabajos Aéreos del Sahara (ICAO-Code), ehemalige spanische Fluggesellschaft Wasserstraßen- und Schifffahrtsamt Kiel-Holtenau, Kleinfahrzeugkennzeichen der Binnenschifffahrt KI als Unterscheidungszeichen auf Kfz-Kennzeichen: Deutschland: kreisfreie Stadt Kiel Griechenland: Kilkis Nordmazedonien: Kičevo Österreich: Bezirk Kirchdorf, Oberösterreich Serbien: Kikinda Slowakei: Košice (noch nicht vergeben) Tschechien: Karviná (auslaufend) KÍ steht für: KÍ Klaksvík, färöischer Fußballverein aus Klaksvík K.I steht für: AEG K.I (AEG G.I), (das „I“ steht aber für „römisch eins“), deutsches Doppeldecker-Bombenflugzeug Fokker K.I (Fokker M.9), (das „I“ steht aber für „römisch eins“), deutsches Zweirumpf-Experimentalflugzeug Ki steht für: Ki, Papuasprache, siehe Amto Ki (Papua), Distrikt (Distrik) in der indonesischen Provinz Papua Selatan Einheitenvorsilbe mit dem Zahlenwert 1024, siehe Binärpräfix Ki (Album) des kanadischen Musikers Devin Townsend Ki (Klan), alte Familie in Japan Begriff für Kraft bzw. Lebensenergie in der japanischen Philosophie, siehe Qi Kikuyu (Sprache) nach ISO 639-1 Ki ist … - Studie (Wikipedia)
Studie steht für: Entwurf für eine künstlerische Arbeit, siehe Skizze Studie (Schach), Form der Schachkomposition wissenschaftlich, als Kurzform: Studie, Erforschung eines Untersuchungsgegenstandes, siehe Wissenschaftliche Publikation Fallstudie, Unterrichtsmethode oder sozialwissenschaftliche Forschungsmethode Feldstudie, systematische Beobachtung unter natürlichen Bedingungen Laborstudie, Testen einer Arbeitshypothese mithilfe Laborexperimenten klinische Studie, Erhebungsform in der evidenzbasierten Medizin und klinischen Forschung Siehe auch: Studie I (Stockhausen), Studie II (Stockhausen) (Musikkompositionen) Designstudie (Konzeptstudie) Metastudie (Begriffsklärung) Liste aller Wikipedia-Artikel, deren Titel Studie enthält
