Snyk Organizational AI Readiness Report

Wie aus unserem AI Code Security Report 2023 hervorging, nutzen 96 % aller Programmierer generative KI-Tools in ihren Workflows. Unternehmen, die selbst Software entwickeln, wissen um die Bedeutung dieser Technologien: Sie einzusetzen, wird zunehmend essenziell, um wettbewerbsfähig zu bleiben – auch am Talentmarkt. Mit KI-Coding-Tools entstehen jedoch auch verschiedene neue Sicherheitsrisiken und operative Herausforderungen im SDLC. Es stellen sich also zwei wichtige Fragen: Wie gut vorbereitet sind Tech-Leader und ihre Teams auf diese neue Coding-Ära? Und wie rüsten sie sich für diesen signifikanten Paradigmenwechsel in der Programmierung? 

Um diesen Fragen nachzugehen, haben wir mit über 400 Tech-Fachkräften gesprochen. Dabei wollten herausfinden, wie gut Unternehmen auf den Einsatz von KI-Coding-Tools vorbereitet sind und welches Meinungsbild sie allgemein dazu haben. Die Teilnehmer unserer Umfrage ließen sich drei Gruppen zuordnen: C-Levels mit Tech-Fokus, AppSec sowie Teams im Bereich Software-Entwicklung/Engineering Jede dieser Gruppen hat eigene Perspektiven zu KI-Coding-Tools und ihrem Output, zur Wirksamkeit von Sicherheitsrichtlinien für KI-gestützt generierten Code und dazu, wie gut ihr Unternehmen in dieser Hinsicht aufgestellt ist. In unserem Report gehen wir auf die wichtigsten Ergebnisse unserer Umfrage ein.

Die Mehrheit der Teilnehmer in allen drei Gruppen hält ihr Unternehmen im Hinblick auf die Implementierung von KI-Coding-Tools für „hervorragend vorbereitet“ oder „sehr gut vorbereitet“. Weniger als 4 % sehen ihr Unternehmen nicht vorbereitet. Allerdings zeigen sich C-Levels unter allen Teilnehmergruppen als die zuversichtlichsten, wenn es um die Einführung dieser Technologien geht. Von ihnen attestierten 40,3 % ihrem Arbeitgeber, „hervorragend vorbereitet“ zu sein. Bei den AppSec-Teams waren dies nur 26 %, bei den Entwicklern lediglich 22,4 %. Zwischen CISOs und CTOs war hier kein gravierender Unterschied festzustellen. Da der Fokus ersterer traditionell auf Sicherheit und Risikomitigierung liegt, ist dieses Ergebnis durchaus verwunderlich. Begründet sein könnte dies in dem erheblichen Druck auf Tech-Leader, die Implementierung von KI-Coding-Tools voranzutreiben, um die Dev-Cycles im Unternehmen zu beschleunigen. Ursächlich für die Skepsis der anderen Gruppen sind wahrscheinlich Bedenken, wie gut ihr Unternehmen bei praktischen Implementierungsfaktoren wie Sicherheit, Schulungen und Code-Qualität vorbereitet ist.

KI-ready – ja oder nein? Im Allgemeinen halten die Befragten ihr Unternehmen im Hinblick auf KI-Tooling für gut vorbereitet. So erachten sie die zugehörigen Security Policies allgemein als ausreichend, KI-generierten Code als sicher und ihr Unternehmen als KI-ready. Bei der Sicherheit von KI-Coding-Tools sind die Meinungsbilder jedoch diffuser. Alle drei Rollen sehen Sicherheitsbedenken als größte Hürde für die Einführung von KI-Coding-Tools. Bei weniger als einem Fünftel der Befragten wurden im Unternehmen POCs durchgeführt – diese sind jedoch ein essenzieller Schritt bei der Einführung neuer Technologien. Weniger als die Hälfte aller Teilnehmer berichtet von Schulungen zu KI-Coding-Tools für die Mehrheit ihrer Entwickler. Diese teils widersprüchlichen Resultate könnten auf einen Mangel an strategischer Planung hindeuten, ebenso auf eine eher unstrukturierte Implementierung von KI. 

Zwischen den einzelnen Rollen lassen sich klare Unterschiede im Hinblick auf ihre Einschätzung von Code-Qualität, Tool-Sicherheit und allgemeinen KI-Vorbereitung im Unternehmen beobachten. C-Levels bewerten KI-Coding-Tools und die KI-Readiness ihres Unternehmens allgemein positiver als Teilnehmer, die direkter mit Code, Security-Prozessen und -Richtlinien interagieren. Insbesondere AppSec-Professionals weisen eine vergleichsweise skeptische Haltung zur Sicherheit von KI-Coding-Tools auf. Hier kann man davon ausgehen, dass Probleme, die durch KI-generierten Code entstehen, für diese wichtige Gruppe akuter sichtbar sind. 

Diese Gegensätze legen unzureichende Planung oder strategische Mängel bei der Einführung von KI-Tools nahe. Auch lassen sie auf eine ungenaue Erfassung und unvollständige Erfüllung der Vorbedingungen schließen. Dies könnte mangelnder abteilungsübergreifender Transparenz geschuldet sein. Ähnlich wie bei Smartphones und bestimmten Software-Lösungen für Privatanwender könnte hier die anfänglich unkontrollierte Einführungsdynamik ursächlich sein, bevor es dann zu einer Standardisierung durch IT-Fachbereiche kommt. Wie gut sich die Nutzung im weiteren Verlauf wird kontrollieren lassen, bleibt abzuwarten. In jedem Fall wäre es ratsam für Unternehmen, KI-Coding-Tools strukturierter zu implementieren, ähnlich wie bei anderen Technologien in einer Enterprise-Umgebung. Damit sollten sich auch Sicherheitsbedenken besser adressieren lassen – speziell für Entwickler und Security-Teams, die in dieser Hinsicht noch die größte Skepsis zeigen. Erforderlich hierfür sind bessere Kontrollmechanismen, die diesen Paradigmenwechsel in der Software-Entwicklung mit einem klar definierten, umfassenden Konzept ermöglichen.

Dieser Report ist das Ergebnis einer weltweiten Umfrage unter 406 IT-Professionals. Die Teilnehmer hatten eine Rolle als CTO, CISO, Entwickler oder Engineer inne oder waren im Security- oder AppSec-Bereich tätig. Im weiteren Jahresverlauf 2024 werden wir bei Online- und Präsenz-Events zusätzliche Daten für die Umfrage erheben. Damit wird es uns möglich sein, die KI-Readiness in Unternehmen sowie die unterschiedlichen Meinungsbilder zu KI-Risiken, den Implementierungsanforderungen und -herausforderungen noch genauer zu beleuchten.