cyberivy
AI CodingAppSecProjectDiscoveryAI SecurityDeveloper ToolsSupply ChainCode Review

KI-Coding macht Security-Teams langsamer, nicht schneller

28. Mai 2026

Eine stilisierte Grafik mit überlappenden Code- und Security-Elementen, die eine Flut von KI-generiertem Code andeutet.

ProjectDiscovery hat 200 Security-Fachleute befragt: Software wird durch KI schneller ausgeliefert, aber nur 38 Prozent der Security-Teams halten bequem Schritt.

Worum es geht

ProjectDiscovery hat im März 2026 eine Blindumfrage unter 200 Cybersecurity-Praktikern in Nordamerika und Westeuropa durchführen lassen. Alle Befragten arbeiten in mittleren bis großen Unternehmen und nutzen AI-assisted coding in irgendeiner Form. Das Ergebnis ist unangenehm konkret: Engineering liefert schneller, aber Security muss den zusätzlichen Code oft noch per Hand prüfen.

Die Meldung ist keine abstrakte Warnung vor KI-Code. Sie beschreibt ein operatives Problem in echten Entwicklungsorganisationen: größere Pull Requests, mehr automatisch geschriebener Code und Security-Teams, die Beweise sammeln müssen, bevor Entwickler die Findings priorisieren.

Was die Studie tatsächlich zeigt

Laut ProjectDiscovery sagten 100 Prozent der Befragten, dass Engineering-Teams in den vergangenen zwölf Monaten schneller liefern. 49 Prozent schreiben den größten Teil oder die gesamte Beschleunigung AI-assisted coding zu. Nur 38 Prozent der Security-Teams sagen gleichzeitig, dass sie mit dem neuen Codevolumen bequem Schritt halten.

Besonders wichtig ist, welche Fehlerarten stärker sichtbar werden: Secrets Exposure wurde von 78 Prozent genannt, unsichere Abhängigkeiten und Supply-Chain-Risiken von 73 Prozent, Business-Logic-Schwachstellen von 72 Prozent. Reduzierte Review-Qualität und Injection-Klassen lagen jeweils bei 66 Prozent. Genau diese Kategorien lassen sich nicht zuverlässig mit einfachem Pattern Matching abhaken.

Warum das wichtig ist

Für echte Unternehmen ist das kein Tool-Streit, sondern ein Durchsatzproblem. Wenn KI mehr Code erzeugt, steigt nicht automatisch die geprüfte Softwarequalität. Sicherheitsteams müssen Findings reproduzieren, Kontext verstehen und Entwickler überzeugen. ProjectDiscovery berichtet, dass 66 Prozent der Befragten mehr als die Hälfte ihrer Arbeitswoche mit manueller Validierung und Reproduktion verbringen.

Das passt zu breiteren Marktsignalen. Gartner erwartet, dass 70 Prozent der professionellen Entwickler bis 2027 KI-Coding-Assistenten nutzen werden. Stack Overflow meldete bereits 2024, dass mehr als drei Viertel der Entwickler KI-Tools nutzen oder nutzen wollen. Die Einführung ist also kein Randphänomen mehr.

Einfach erklärt

Stell dir eine Bäckerei vor, die plötzlich doppelt so viele Brote backen kann, weil ein Automat den Teig vorbereitet. Das klingt gut, bis die Qualitätskontrolle weiter nur eine Person mit einem Messer und einer Waage ist. Mehr Brote bedeuten dann nicht automatisch mehr verkaufbare Brote, sondern mehr Prüfaufwand vor der Auslieferung.

AI-assisted coding wirkt ähnlich. Es kann Geschwindigkeit bringen, aber wenn Security, Tests und Architekturprüfung nicht mitwachsen, wandert die Arbeit nur an eine spätere Stelle im Prozess.

Praktisches Beispiel

Ein SaaS-Team erzeugt mit Coding-Assistenten pro Woche 120 Pull Requests statt bisher 75. Davon enthalten 20 Änderungen an Authentifizierung, Datei-Uploads oder Zahlungslogik. Der SAST-Scanner meldet 300 Findings, aber nur 25 sind wirklich kritisch. Wenn das Security-Team pro Finding 15 Minuten für Reproduktion und Kontext braucht, sind schnell mehr als 70 Arbeitsstunden blockiert, bevor ein einziger Fix priorisiert ist.

Der eigentliche Hebel liegt dann nicht darin, noch mehr Code schneller zu schreiben. Der Hebel liegt in prüfbaren Belegen: Welche Schwachstelle ist ausnutzbar, in welchem Flow, mit welchem Nutzerrecht und mit welcher Auswirkung?

Einordnung und Grenzen

  • Die Umfrage umfasst 200 Praktiker. Das ist nützlich, aber kein vollständiges Bild aller Branchen und Unternehmensgrößen.
  • ProjectDiscovery ist selbst Anbieter von Security-Tools. Die Zahlen sind relevant, sollten aber im Kontext des Anbieterinteresses gelesen werden.
  • AI-assisted coding ist nicht automatisch unsicher. Das Risiko entsteht vor allem dort, wo Review, Tests, Secrets-Handling und Dependency Governance nicht skaliert werden.

SEO- und GEO-Schlüsselbegriffe

AI coding security, ProjectDiscovery, AI-assisted coding, AppSec, secrets exposure, supply chain security, SAST, code review, business logic vulnerabilities, developer productivity, cybersecurity validation, AI software development

💡 Im Klartext

KI hilft Teams, schneller Code zu schreiben. Die Studie zeigt aber: Security-Teams müssen viel mehr Findings manuell prüfen, bevor etwas repariert wird.

Wichtigste Erkenntnisse

  • 100 Prozent der Befragten sehen schnellere Softwareauslieferung durch Engineering-Teams.
  • Nur 38 Prozent der Security-Teams halten laut Umfrage bequem mit dem Codevolumen Schritt.
  • Secrets, unsichere Abhängigkeiten und Business-Logic-Fehler sind die wichtigsten Risikokategorien.
  • 66 Prozent der Befragten verbringen mehr als die Hälfte ihrer Woche mit manueller Validierung.
  • Der Engpass verschiebt sich von Code-Erzeugung zu prüfbarer Sicherheitsbewertung.

Häufige Fragen

Ist KI-Code automatisch unsicher?

Nein. Das Risiko steigt vor allem, wenn Review, Tests und Security-Validierung nicht mit dem höheren Codevolumen wachsen.

Was ist der wichtigste Engpass?

Laut Umfrage ist es die manuelle Validierung: Security-Teams müssen zeigen, welche Findings wirklich ausnutzbar sind.

Für wen ist das relevant?

Für Softwareteams, die Coding-Assistenten produktiv einsetzen und gleichzeitig regulatorische oder kundenseitige Sicherheitsanforderungen erfüllen müssen.

Quellen & Kontext

Read in English →