Checkmarx-Studie: 95 Prozent der CISOs stehen unter Druck, Compliance-relevante Sicherheitsprobleme zurückzustellen

Trotz gestiegenen Sicherheitsbewusstseins liefern viele Unternehmen weiterhin verwundbare Software aus

FRANKFURT, 8. Juni 2026 – Checkmarx, Marktführer für autonome, Cloud-native Anwendungssicherheit, hat die Ergebnisse seines diesjährigen Future of Application Security Reports vorgestellt. Demnach nutzen inzwischen 96 Prozent der Entwicklerinnen und Entwickler KI-Tools in ihrer IDE und bewerten deren Nutzen überwiegend positiv. Allerdings geben lediglich 18 Prozent an, bereits während der Entwicklung kontinuierliche Sicherheitsprüfungen durchzuführen. Gleichzeitig geben 95 Prozent der CISOs an, unter Druck zu stehen, Compliance-relevante Sicherheitsprobleme zurückzustellen, wenn Projektfristen gefährdet sind. Für die Studie wurden 2.350 CISOs, AppSec-Verantwortliche und Entwickler aus 14 Ländern befragt.

Die Ergebnisse weisen zudem auf einen Zusammenhang zwischen dem Anteil an KI-generiertem Code und dem Sicherheitsniveau von Anwendungen hin: Unternehmen, deren Produktivcode zu 81 bis 100 Prozent KI generiert ist, liefern laut Studie mehr als dreimal so häufig verwundbare Software aus wie Unternehmen mit einem KI-Code-Anteil von lediglich 1 bis 20 Prozent (47 gegenüber 14 Prozent). Grundsätzlich zeigt sich ein strukturelles Problem: Drei Viertel der Unternehmen haben nach eigenen Angaben bereits wissentlich verwundbare Software ausgeliefert. Als Gründe nennen sie Zeitdruck, Komplexität sowie die Hoffnung, dass Schwachstellen unentdeckt bleiben.

Sicherheitsstrategien müssen sich an die veränderte Bedrohungslandschaft anpassen
Mit der zunehmenden Verbreitung leistungsstarker KI-Modelle entstehen neue Angriffsflächen, während sich die Zeitspanne zwischen der Entdeckung und der Ausnutzung von Schwachstellen weiter verkürzt (https://checkmarx.com/blog/somethings-wrong-with-your-code-and-attackers-know-it/). Zu den Best Practices für die Absicherung KI-gestützter Softwareentwicklung zählen laut Report hybride Ansätze, die deterministische Prüfverfahren mit KI-gestützten Analyse- und Bewertungsverfahren kombinieren, klare Governance-Vorgaben für den Einsatz von KI sowie die weitgehende Automatisierung der Schwachstellenbehebung. Die Studienergebnisse zeigen zugleich eine wachsende Kluft zwischen Unternehmen, die ihre Sicherheitsstrategien an die veränderte Bedrohungslandschaft anpassen, und jenen, die weiterhin darauf hoffen, dass Schwachstellen unentdeckt bleiben.

Die wichtigsten Ergebnisse der Studie im Überblick:
• Sicherheit wird häufig erst nachgelagert berücksichtigt: Kontinuierliche Sicherheitsprüfungen sind bei mehr als 80 Prozent der Befragten bislang nicht fester Bestandteil des Entwicklungsprozesses. Schwachstellen werden stattdessen häufig erst in späteren Phasen oder nach einem Vorfall erkannt.
• Unternehmen erkennen die Risiken von KI, handeln jedoch nur zögerlich: Der Anteil der Unternehmen, die nach eigenen Angaben wissentlich verwundbare Software ausliefern, sank innerhalb eines Jahres von 81 auf 75 Prozent. Gleichzeitig stieg der Anteil der Unternehmen mit klaren Governance-Vorgaben für den Einsatz von KI von 18 auf 22 Prozent. Da sich die Zeitspanne zwischen der Entdeckung und der Ausnutzung von Schwachstellen weiter verkürzt (https://checkmarx.com/blog/two-fronts-one-risk-securing-yesterdays-debt-and-todays-ai-code/), sind diese Fortschritte jedoch nicht ausreichend.
• Selbstbild und Realität klaffen auseinander: 93 Prozent der befragten Unternehmen berichten von einem Sicherheitsvorfall im Zusammenhang mit eigenen Anwendungen. Gleichzeitig beschreiben 73 Prozent ihr Sicherheitsniveau als „Advanced“ oder „Highly Mature“.
• Bei der KI-Governance besteht weiterhin erheblicher Nachholbedarf: 78 Prozent der Unternehmen verfügen laut Studie über keine klaren Vorgaben. Dadurch steigt das Risiko einer unkontrollierten Verbreitung von Schatten-KI und verwundbarem Code.

„Der Report macht deutlich, dass viele Unternehmen die Risiken zwar erkannt haben, ihre Sicherheitsmaßnahmen jedoch nicht im gleichen Tempo weiterentwickeln“, erklärt Sandeep Johri, CEO von Checkmarx. „KI kann die Softwareentwicklung erheblich beschleunigen, erhöht jedoch auch das Risiko und ersetzt keine wirksamen Sicherheitskontrollen. Erforderlich sind Ansätze, die deterministische Prüfverfahren mit KI-gestützten, probabilistischen Analyse- und Bewertungsverfahren kombinieren, neue Angriffsmuster zuverlässig erkennen und Sicherheitsteams in die Lage versetzen, Schwachstellen schneller und gezielter zu beheben.“

Was die Schwachstellenbehebung angeht, zeichnen die europäischen Ergebnisse ein besorgniserregendes Bild: 35 Prozent der befragten Unternehmen gelingt es nicht, innerhalb von drei Monaten mehr als die Hälfte der identifizierten Sicherheitslücken zu schließen.

„Die Zahlen zeigen, dass viele Unternehmen bei der Umsetzung von Anwendungssicherheit weiterhin vor erheblichen Herausforderungen stehen“, so Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx. „Entscheidend ist, Sicherheit als festen Bestandteil von Entwicklungsprozessen zu verankern, identifizierte Schwachstellen konsequent zu priorisieren und zeitnah zu beheben. Nur so lassen sich die Vorteile KI-gestützter Entwicklung nutzen, ohne zusätzliche Risiken in Kauf zu nehmen.“

Die Ergebnisse werden auch auf dem virtuellen Agentic AppSec Unleashed Summit (https://checkmarx.ai/) vorgestellt, den Checkmarx am 16. Juni 2026 veranstaltet. Security- und Engineering-Verantwortliche aus führenden Unternehmen werden dort gemeinsam mit Branchenexperten und Führungskräften von Checkmarx aktuelle Herausforderungen und Lösungsansätze für die sichere Softwareentwicklung im KI-Zeitalter diskutieren.

Für den Future of Application Security Report befragte Censuswide im Auftrag von Checkmarx zwischen dem 10. und 30. März 2026 insgesamt 2.350 CISOs, AppSec-Verantwortliche und Entwickler aus 14 Ländern. Die Teilnahme erfolgte anonym. Censuswide ist Mitglied der Market Research Society (MRS) sowie des British Polling Council und arbeitet nach den Richtlinien des MRS Code of Conduct und den ESOMAR-Prinzipien.

Der vollständige Report steht kostenfrei zum Download bereit: https://checkmarx.com/foa-report/

Über Checkmarx
Checkmarx ist Marktführer für autonome, Cloud-native Anwendungssicherheit. Mit Checkmarx One profitieren Unternehmen von umfassendem Schutz, geringeren Entwicklungskosten und schnelleren Entwicklungszyklen. Die Plattform analysiert jährlich Billionen von Codezeilen und reduziert dabei die Schwachstellendichte um mehr als die Hälfte. Autonome Security Agents erkennen und neutralisieren KI-gestützte Bedrohungen über den gesamten Softwarelebenszyklus hinweg – und machen präventiven Schutz von Legacy-, modernen und KI-generierten Anwendungen skalierbar.

Folgen Sie Checkmarx auf LinkedIn, YouTube und X.

Firmenkontakt
Checkmarx Germany GmbH
Ann Boyd
Theodor-Stern-Kai 1
60596 Frankfurt am Main
–

Home

Pressekontakt
H zwo B Kommunikations GmbH
Maximilian Wenzel
Nürnberger Str. 17-19
91052 Erlangen
+49 9131 81281-16

Agentur