KI-Lieferkette
KI in Ihrer Lieferkette.
Von Code-Assistenten bis autonome Agenten.
AI-Assistenten fügen Abhängigkeiten hinzu, die niemand überprüft. MCP-Server verbinden Agenten mit Ihren Produktionssystemen. Modelle ohne Herkunftsnachweis fließen in Ihre Pipelines. Die Angriffsfläche wächst schneller als die Kontrolle.
Die Lücke
Adoption vs. Absicherung
Die Lücke zwischen Adoption und Absicherung wächst. Über 75% des AI-generierten Codes fließt ungeprüft in Ihre Releases.
Die Risiken
Was AI-Assistenten in Ihren Code einschleusen
Slopsquatting
AI-Modelle halluzinieren Paketnamen, die nicht existieren. Angreifer registrieren diese Namen und warten, bis Entwickler sie installieren.
20% der von AI empfohlenen Pakete existieren nicht.
Quelle: Lasso Security / Vulcan Cyber Research 2024
Schwachstellen im Code
AI-generierter Code enthält häufig bekannte Vulnerability-Patterns, von SQL-Injection bis zu unsicherer Kryptografie.
40-45% des AI-Codes enthält Schwachstellen.
Quelle: Stanford University 2023, Veracode 2025
Falsches Vertrauen
Entwickler, die AI-Assistenten nutzen, schätzen die Sicherheit ihres Codes höher ein, obwohl er unsicherer ist.
Das Stanford-Paradox: Mehr Vertrauen, weniger Sicherheit.
Quelle: Stanford Security Lab 2023
IDE als Angriffsfläche
AI-Plugins in VS Code, Cursor und anderen IDEs werden selbst zum Ziel. Prompt Injection und Supply-Chain-Angriffe auf Entwicklertools nehmen zu.
550+ geleakte Secrets in über 500 IDE-Extensions entdeckt.
Quelle: Wiz.io Research 2025
Neue Frontier
KI-Agenten in Ihrer Infrastruktur
AI-generierter Code ist das Risiko von gestern.
Das Risiko von heute: autonome Agenten mit Zugriff auf Ihre Systeme.
MCP-Server mit Produktionszugriff
Model Context Protocol Server verbinden KI-Modelle mit Ihren Datenbanken, APIs und Deployment-Pipelines.
Wer hat die Berechtigungen freigegeben? Wer überprüft, was der Agent tatsächlich tut?
Agenten ohne Audit-Trail
KI-Agenten delegieren Aufgaben, rufen externe Services auf und treffen Entscheidungen.
Ohne Audit-Trail ist jede dieser Aktionen eine Blackbox.
Modelle ohne Herkunftsnachweis
Woher kommt das Modell? Wer hat es trainiert? Mit welchen Daten?
Model Provenance ist für KI, was SBOM für Software ist.
Haftung
AI-Code und Ihre Verantwortung
"Können Sie nachweisen, dass AI-generierter Code vor dem Release auf Schwachstellen und schädliche Abhängigkeiten geprüft wurde?" Die Frage, die Auditoren 2026 stellen werden
NIS2
Artikel 21 fordert "Sicherheit bei Erwerb, Entwicklung und Wartung". AI-generierter Code ist Teil Ihrer Entwicklung und Teil Ihrer Nachweispflicht.
CRA
Der Cyber Resilience Act macht den Hersteller verantwortlich. Ungeprüfter AI-Code in Ihrem Produkt ist Ihr Risiko.
Sorgfaltspflicht
Die Geschäftsführung haftet persönlich. Der Nachweis, dass AI-Risiken adressiert wurden, schützt vor Regressforderungen.
Unser Ansatz
AI-Risiken systematisch adressieren
Wir integrieren Kontrollen in Ihre bestehende Pipeline, ohne die Entwicklung auszubremsen.
SBOM-Pipeline
Automatische Inventur jedes Builds, inklusive aller Abhängigkeiten, die AI-Assistenten hinzugefügt haben.
Dependency-Validierung
Prüfung aller Paket-Referenzen gegen bekannte Registries. Alarm bei unbekannten oder verdächtigen Paketen.
Vulnerability Scanning
Kontinuierliche Prüfung auf bekannte Schwachstellen in Abhängigkeiten und im Code selbst.
Audit-Trail
Lückenlose Dokumentation: Welche Prüfungen wurden durchgeführt? Welche Risiken wurden akzeptiert?
KI-Lieferkette unter Kontrolle
Wir analysieren nicht nur Ihren AI-generierten Code. Wir kartieren Ihre gesamte KI-Lieferkette: Modelle, Agenten, MCP-Server, Berechtigungen. Ergebnis: ein Decision Board.
Kostenloses KI-Assessment anfragen30 Minuten. Unverbindlich. Konkrete Empfehlungen.