Mehr Tools, mehr Probleme: Warum Ihre Sicherheitsarchitektur möglicherweise gegen Sie arbeitet

Laut dem Verizon-Bericht zu Datenpannenuntersuchungen 2025 stieg die Ausnutzung von Sicherheitslücken im Jahr 2025 um 34 %.Die Wertpapierinvestitionen erreichten einen Rekordwert.

Wir sprechen viel über das Ausgabenproblem der Cybersicherheitsbranche. Die Sicherheitsbudgets steigen ständig, die Anzahl der Tools nimmt immer weiter zu und die Mitarbeiterzahlen wachsen immer weiter, doch Sicherheitslücken kommen immer wieder vor.

Wie ich kürzlich in einem LinkedIn Live-Gespräch mit Tanya Janca, CEO von SheHacksPurple und einer der angesehensten Stimmen in der AppSec-Welt, erörtert habe, liegt das Problem in den Anreizstrukturen, die wir rund um Sicherheitsinvestitionen geschaffen haben. Solange wir nicht ehrlich darüber sprechen, was diese Strukturen antreibt, wird auch kein Budget der Welt etwas daran ändern, wo es wirklich zählt.  

Die bittere Wahrheit ist, dass die Cybersicherheitsbranche Aktivität mit Effektivität und Komplexität mit Leistungsfähigkeit verwechselt hat. Wichtiger ist jedoch, ob Ihre Sicherheitsarchitektur Sie tatsächlich sicherer macht oder Ihnen nur ein trügerisches Gefühl der Sicherheit vermittelt.

Warum mehr Investitionen nicht zu mehr Sicherheit führen

Die Zahlen erzählen eine Geschichte, die die Branche lieber nicht wahrhaben will. Die Sicherheitsbudgets befinden sich auf Rekordhöhen. Die Werkzeugstapel waren noch nie so lang. Und dennoch ertrinken die meisten Unternehmen in so großen Sicherheitslücken, dass sie praktisch bedeutungslos geworden sind.

Tanya erwähnte, dass sie Kunden gesehen habe, die 40.000 kritische Sicherheitslücken in einem einzigen Bearbeitungsrückstand hätten, ohne einen realistischen Plan zu deren Behebung. Das ist Sicherheitstheater im großen Stil.

Leider ist für viele Sicherheitsteams der Kauf eines neuen Tools mittlerweile einfach zur Standardantwort auf jede Sicherheitsfrage geworden. Und jedes neue Tool hat seine eigenen Benachrichtigungen, sein eigenes Dashboard und seine eigenen Integrationen, die nicht so recht mit allem anderen, was Sie bereits haben, kompatibel sind.  

Das Ergebnis ist ein weitläufiges, sich überschneidendes, widersprüchliches Durcheinander, das enorme Ressourcen verschlingt und gleichzeitig gefährliche Lücken hinterlässt.

Besonders heimtückisch daran ist, dass die Aktivität produktiv aussieht. Wenn Dashboards voller Daten sind und Tickets abgeschlossen werden, entsteht leicht der Eindruck, man sei sicher.  

Wie Tanya jedoch feststellte, verwechseln wir Beschäftigung mit Effektivität. Wissensarbeiter, einschließlich Sicherheitsexperten, zeigen ihren Einsatz oft durch sichtbare, messbare und häufige Aktivitäten anstatt durch die tiefgründige, strategische Arbeit, die tatsächlich zu Ergebnissen führt.

Für Angreifer ist Komplexität ein Vorteil, kein Fehler.

Angreifer setzen darauf, dass Ihre Umgebungen komplex sind. Sie bieten geringes Risiko, hohe Belohnung und nahezu unendliche Geduld. Sie müssen nur die eine Lücke finden, an der all Ihre sich überschneidenden Tools nicht miteinander kommunizieren.

„Früher, als die Leute eine Bank ausraubten, kamen sie mit einer Pistole hinein“, sagte Tanya. „Jetzt machen sie es virtuell, und sie können versuchen, 100 Banken auszurauben, ohne erwischt zu werden.“

Diese Asymmetrie ist die zentrale Herausforderung der modernen Cybersicherheit.  

Und wie Tanya bemerkte, sind sie bemerkenswert gut darin, diese Lücken aufzuspüren. „Sobald wir die Perimeterverteidigung gut beherrschen, greifen sie die Anwendung an.“ Während wir Schutzzonen einrichten, greifen sie die Lieferkette an. Sie suchen sich das einfachste Ziel aus, wo auch immer das sein mag.“

Jedes neue Werkzeug, das Sie hinzufügen, schafft neue potenzielle Lücken. Ihr Angreifer steht Ihrem schwächsten Glied gegenüber. Und je komplexer Ihre Umgebung ist, desto schwieriger ist es, diese Verbindung herzustellen, bevor sie es tun.

Warum sich das Problem der Stimmungscodierung bald noch deutlich verschlimmern wird

Wenn die Werkzeugflut das langsam brennende Feuer ist, dann ist KI-generierter Code der Beschleuniger.

Der Aufstieg des „Vibe Coding“ – also die Verwendung von KI-Tools zur schnellen Generierung von Code unter minimaler Berücksichtigung der Sicherheit – verändert die Bedrohungslandschaft grundlegend auf eine Weise, auf die die meisten Sicherheitsteams nicht vorbereitet sind. Das Ausmaß, die Geschwindigkeit und die Reichweite von unsicherem Code, der derzeit in die Produktion gelangt, sind erschreckend.

„Die KI wurde mit minderwertigem Code trainiert“, sagte Tanya. „Es lag nicht daran, dass die KI-Unternehmen das beabsichtigten; es war einfach das, was verfügbar war.“ Der im Internet verfügbare Code ist von geringerer Qualität als privater, geschlossener Code. Die meisten Open-Source-Projekte haben kein Sicherheitsteam.“  

Wir verwenden Modelle, die mit Code mit geringer Sicherheit trainiert wurden, um in beispielloser Geschwindigkeit mehr Code zu generieren. Dies geschieht häufig durch Leute, die sich noch nie ernsthaft mit sicheren Entwicklungspraktiken auseinandergesetzt haben.

Tanya schilderte ein besonders alarmierendes Beispiel aus einer kürzlich stattgefundenen Klientensitzung. Sechzig Teilnehmer bearbeiteten dieselbe Aufgabe zur Generierung von KI-Code unter Anwendung derselben Sicherheitsbeschränkungen. Eine der Ausgaben enthielt Kommentare, die den Python-Linter anwiesen, bestimmten Code zu ignorieren, und gab dann absichtlich Geheimnisse preis.  

Ein solches Risiko besteht in Ihrer Umgebung bereits. Ist Ihr Sicherheitsprogramm darauf ausgelegt, dies zu erkennen?

Linksverschiebung in der Sicherheitskultur

Wie sieht also gute Sicherheit in der heutigen Bedrohungslandschaft konkret aus? Die Antwort liegt nicht in der Anschaffung weiterer Tools, sondern darin, grundlegend zu überdenken, wo und wie Sicherheit in den Entwicklungsprozess einfließt.

Tanya vertritt diese Ansicht schon seit Jahren. „Es ist einfacher, ein Unternehmen mit der Implementierung eines Tools zu beauftragen, eine Reihe von Prüfmechanismen einzubauen und dann zu sagen: ‚Jetzt ist es das Problem der Entwickler.‘“ „Das ist nicht das beste Sicherheitsprogramm, das man erstellen kann.“

Für Sicherheitsverantwortliche bedeutet dies, dass zwei oder drei gut eingesetzte AppSec-Experten, die in Entwicklungsteams integriert sind, einen größeren Sicherheitsnutzen bieten können als ein sechsstelliger Tool-Vertrag, den niemand richtig nutzt.  

Die ROI- Berechnung ändert sich, wenn man anfängt, Sicherheitsergebnisse anstatt Sicherheitsaktivitäten zu messen.

Tanya wies außerdem auf die Macht von Standardeinstellungen hin. Sie beschrieb eine einfache Konfigurationsänderung, beispielsweise die Einstellung eines Node Package Managers (NPM), dass nach der Installation keine Skripte ausgeführt werden. Allein diese Änderung kann eine ganze Kategorie von Lieferkettenangriffen eliminieren.  

„AppSec-Teams müssen sich darauf konzentrieren, wo man eine ganze Klasse von Fehlern eliminieren oder wo man eine Standardeinstellung festlegen kann, die vor einem enormen Explosionsradius schützt“, sagte sie.  

Der Mentalitätswandel geht von „Welches Werkzeug muss ich kaufen, um das Problem zu lösen?“ zu „Welche systemische Veränderung beseitigt diese Risikokategorie?“ Manchmal gehören dazu neue Werkzeuge, aber das muss nicht unbedingt der Fall sein.

Aufbau eines Sicherheitsteams, das für das KI-Zeitalter gerüstet ist

Wenn Sie Ihr Sicherheitsteam heute von Grund auf neu aufbauen würden, wie sähe es aus?  

Tanya sagte, sie wünsche sich drei unterschiedliche Profile:  

• Jemand, der sich sehr für KI interessiert und sich mit der Entwicklung damit wohlfühlt.
• Jemand mit ausgeprägten sozialen Kompetenzen, der sowohl die Sprache von Fachleuten als auch die von Führungskräften beherrscht und den funktionsübergreifenden Konsens herstellen kann, den die Transformation der Sicherheitspolitik erfordert.
• Ein technisch versierter Experte, der Systeme analysieren, Code überprüfen und Sicherheitslücken finden kann, bevor Angreifer sie ausnutzen.

Für Tanya ist dieses Gleichgewicht wichtiger als die reine Mitarbeiterzahl. Ein vierköpfiges Team, das in die Entwicklungsabläufe eingebunden ist und sich auf die Eliminierung von Risikokategorien konzentriert, wird einem zehnköpfigen Team, das Compliance-Checklisten abarbeitet, stets überlegen sein.

Aus meiner Sicht bei Illumio möchte ich dem noch eine weitere Perspektive hinzufügen: Resilienz.  

Bevor Sie über den Aufbau eines Teams oder die Auswahl von Tools nachdenken, sollten Sie mit strategischen Fragen beginnen:

• Welchen Beitrag muss die Sicherheit zur Resilienz Ihres Unternehmens leisten?  
• Wie sieht die Eindämmung im Falle eines Sicherheitsvorfalls aus?  
• Wie begrenzt Ihre Sicherheitsarchitektur die seitliche Ausbreitung und reduziert den Wirkungsradius eines Angriffs?  

Die Werkzeuge und Teams sollten sich aus dieser Antwort ergeben, nicht umgekehrt.

Sicherheitsteams können es sich nicht leisten zu warten

Das Sicherheitsproblem verschärft sich schneller, als traditionelle Anlagemodelle reagieren können.  

Ein höherer Scheck an dieselben Anbieter für dieselben Werkzeuge wird diese Lücke nicht schließen.  

Was wird?  

• Eine ehrliche Überprüfung, wo Ihr Budget tatsächlich Ergebnisse erzielt.
• Die Bereitschaft, Werkzeuge, die Lärm ohne Abdeckung erzeugen, zu kürzen.
• Die Verpflichtung, Sicherheit bereits vor dem zu sichernden Code zu integrieren
• Ein strategischer Anker für Cyberresilienz

Die Branche hat sich viel zu lange eine beruhigende Geschichte erzählt: Mehr Ausgaben bedeuten mehr Sicherheit, mehr Tools bedeuten mehr Abdeckung und mehr Warnmeldungen bedeuten mehr Bewusstsein.  

Keine dieser Gleichungen hat in der modernen Cybersicherheit Bestand. Entscheidend ist nun, ob Sie das proaktiv herausfinden oder ob die Angreifer es für Sie herausfinden.

In unserer nächsten LinkedIn Live-Veranstaltung „Hard Truths“ treffen zwei Personen aufeinander, die Zero Trust aufgebaut haben. Jetzt anmelden Nehmen Sie an der Diskussion von John Kindervag und Chase Cunningham teil : „Hören Sie auf, Symptome zu behandeln: Warum Cybersicherheit immer wieder Rückfälle erleidet“.