Snyk Organizational AI Readiness Report
Unsere Umfrage unter Mitarbeitern in Tech-Teams zeigt: Der Großteil hält sein Unternehmen bereit für KI-gestütztes Coding. Gleichzeitig werden aber Bedenken rund um Sicherheitsrisiken laut, die dadurch entstehen. Ebenso beobachten die Befragten eine unzureichende Vorbereitung bei der Einführung entsprechender Tools. So mangelt es etwa an Proof of Concept-Phasen und Developer-Schulungen. Umfrageteilnehmer, die täglich direkt mit Tools für KI-Programmierung und KI-generiertem Code interagieren, zeigten sich am meisten besorgt über seine Qualität und die Risiken.
Einführung
Wie aus unserem AI Code Security Report 2023 hervorging, nutzen 96 % aller Programmierer generative KI-Tools in ihren Workflows. Unternehmen, die selbst Software entwickeln, wissen um die Bedeutung dieser Technologien: Sie einzusetzen, wird zunehmend essenziell, um wettbewerbsfähig zu bleiben – auch am Talentmarkt. Mit KI-Coding-Tools entstehen jedoch auch verschiedene neue Sicherheitsrisiken und operative Herausforderungen im SDLC. Es stellen sich also zwei wichtige Fragen: Wie gut vorbereitet sind Tech-Leader und ihre Teams auf diese neue Coding-Ära? Und wie rüsten sie sich für diesen signifikanten Paradigmenwechsel in der Programmierung?
Um diesen Fragen nachzugehen, haben wir mit über 400 Tech-Fachkräften gesprochen. Dabei wollten herausfinden, wie gut Unternehmen auf den Einsatz von KI-Coding-Tools vorbereitet sind und welches Meinungsbild sie allgemein dazu haben. Die Teilnehmer unserer Umfrage ließen sich drei Gruppen zuordnen: C-Levels mit Tech-Fokus, AppSec sowie Teams im Bereich Software-Entwicklung/Engineering Jede dieser Gruppen hat eigene Perspektiven zu KI-Coding-Tools und ihrem Output, zur Wirksamkeit von Sicherheitsrichtlinien für KI-gestützt generierten Code und dazu, wie gut ihr Unternehmen in dieser Hinsicht aufgestellt ist. In unserem Report gehen wir auf die wichtigsten Ergebnisse unserer Umfrage ein.
Teil 1
Unternehmen sehen sich als KI-ready, vor allem die Leadership-Ebene
Generell herrscht in den Unternehmen der Befragten Zuversicht, für die Implementierung von KI-Tools bereit zu sein. Bei Fragen rund um KI-Readiness zeigt sich: Für die meisten Unternehmen hat eine zeitnahe Einführung von KI eine hohe Priorität. Um dem Genüge zu tun, werden Use-Case-Analysen und Produkttests vor der Implementierung teils nur rudimentär durchgeführt. C-Levels sind dabei zuversichtlicher als die anderen Befragten, auf die Implementierung von KI vorbereitet zu sein und über sichere KI-Tools zu verfügen.
Größere Überzeugung im Hinblick auf KI-Readiness bei der C-Suite
Wie gut ist Ihr Unternehmen auf KI-Coding-Tools vorbereitet?
CTO/CISO
AppSec/Sec
Dev/Eng
50%
40%
30%
20%
10%
0%
0%
10%
20%
30%
40%
50%
Hervorragend vorbereitet
Sehr gut vorbereitet
Gut vorbereitet
Einigermaßen vorbereitet
Überhaupt nicht vorbereitet
Ready for AI? CISOs und CTOs doppelt so zuversichtlich wie Developer.
Die Mehrheit der Teilnehmer in allen drei Gruppen hält ihr Unternehmen im Hinblick auf die Implementierung von KI-Coding-Tools für „hervorragend vorbereitet“ oder „sehr gut vorbereitet“. Weniger als 4 % sehen ihr Unternehmen nicht vorbereitet. Allerdings zeigen sich C-Levels unter allen Teilnehmergruppen als die zuversichtlichsten, wenn es um die Einführung dieser Technologien geht. Von ihnen attestierten 40,3 % ihrem Arbeitgeber, „hervorragend vorbereitet“ zu sein. Bei den AppSec-Teams waren dies nur 26 %, bei den Entwicklern lediglich 22,4 %. Zwischen CISOs und CTOs war hier kein gravierender Unterschied festzustellen. Da der Fokus ersterer traditionell auf Sicherheit und Risikomitigierung liegt, ist dieses Ergebnis durchaus verwunderlich. Begründet sein könnte dies in dem erheblichen Druck auf Tech-Leader, die Implementierung von KI-Coding-Tools voranzutreiben, um die Dev-Cycles im Unternehmen zu beschleunigen. Ursächlich für die Skepsis der anderen Gruppen sind wahrscheinlich Bedenken, wie gut ihr Unternehmen bei praktischen Implementierungsfaktoren wie Sicherheit, Schulungen und Code-Qualität vorbereitet ist.
CTOs und CISOs favorisieren baldige Implementierung von KI-Coding-Tools
32,5 % der C-Levels betrachten eine rasche Einführung von Tools für KI-Coding als „essenziell“. Im Vergleich mit den Befragten aus dem Bereich Anwendungssicherheit sehen sie das Thema damit fast doppelt so dringlich. Die Entwicklerseite zeigt sich zwar etwas enthusiastischer als die AppSec-Teilnehmer, aber auch merklich verhaltener als die C-Levels. Deren Meinungsbild dürfte allerdings auch vom Druck zur KI-Einführung geprägt sein, der von der CEO-Ebene und im Vorstandsumfeld auf CTOs einwirkt.
Wie wichtig ist eine zeitnahe Implementierung von KI-Coding-Tools für Ihr Unternehmen?
CTO/CISO
AppSec/Sec
Dev/Eng
40%
30%
20%
10%
0%
0%
10%
20%
30%
40%
Äußerst wichtig
Mehrheit hält Sicherheitsrichtlinien für KI-Coding für effektiv
In allen drei Gruppen stufte die Mehrzahl der Teilnehmer – so auch zwei Drittel der C-Levels und Entwickler – die Policies für AI-Coding-Tools ihres Unternehmens als angemessen ein. Nur ein kleiner Prozentsatz findet die Richtlinien zu restriktiv. Ein weitaus größerer Anteil der AppSec-Befragten hielt sie jedoch für unzureichend – dieser Bereich beobachtet also in punkto KI nach wie vor Risiken für sein Unternehmen.
Wie bewerten Sie die Sicherheitsrichtlinien für KI Ihres Unternehmens?
CTO/CISO
AppSec/Sec
Dev/Eng
80%
60%
40%
20%
0%
0%
20%
40%
60%
80%
Unzureichend
Angemessen
Zu stringent
63,3 % attestieren KI-generiertem Code gute Sicherheit
Etwa zwei Drittel der Teilnehmer erachten die Sicherheit von KI-generiertem Code als „ausgezeichnet“ oder „gut“. Lediglich 5,9 % bewerten sie als „schlecht“. Generell äußern sich die Teilnehmer mehrheitlich positiv zu KI-generiertem Code sowie zu Richtlinien für die Implementierung und Nutzung von KI-Coding-Tools.
Wie schätzen Sie die Sicherheit von KI-generiertem Code ein?
Schlecht
5,9%
Akzeptabel
30%
Gut
44%
Hervorragend
19%
Teil 2
Unzureichende Vorbereitung auf Einsatz von KI-Code – trotz Bedenken zu seiner Sicherheit
Ungeachtet der generell positiven Resonanz rund um KI-Readiness im Unternehmen, zu Sicherheitsrichtlinien, Qualität und Risiken von KI-Code sehen die Befragten im Faktor Sicherheit weiterhin die größte Hürde bei der Implementierung von KI-Coding-Tools. Dennoch unterbleiben selbst grundlegende Schritte zur Risikominimierung, etwa in Form von Proof of Concept-Phasen und Developer-Schulungen zu KI-Coding-Tools.
Sicherheitsbedenken größte Hürde bei Implementierung von KI-Coding-Tools
Mit jeweils rund 58 % herrscht in allen drei Teilnehmergruppen Konsens, dass einer Einführung von KI-Coding-Tools weiterhin vor allem Sicherheitsbedenken im Wege stehen. Weniger als die Hälfte nennt dagegen mangelnden Buy-in auf Leadership-Ebene. Diese Perspektive findet sich auch im allgemeinen Meinungsbild von AppSec-Teams wieder und in geringerem Maße bei den Entwicklern. Sie steht jedoch im Widerspruch zur allgemein positiven Resonanz, die bei der Mehrheit aller Befragten hinsichtlich KI-Coding-Tools und der Vorbereitung ihres Unternehmens festzustellen ist.
Welchen Hürden begegnet Ihr Unternehmen bei der Implementierung von KI-Coding-Tools?
CTO/CISO
AppSec/Sec
Dev/Eng
60%
40%
20%
0%
0%
20%
40%
60%
Mangelnder Buy-in auf Leadership-Ebene
Sicherheitsbedenken
Geringe Developer Adoption
Mangelnde Vorbereitung und Schulung
Proof of Concept-Phasen für KI bei weniger als 20 % aller Unternehmen
Bei der Einführung neuer Technologien und Tools erfolgt nach einer positiv bewerteten Kosten-Nutzen-Analyse typischerweise ein Proof of Concept (POC) mit eingeschränkter Implementierung. Auch das Platform Engineering Team von Pinterest nutzte eine solche Testphase für sein KI-Coding-Toolset. Bei den Teilnehmern unserer Umfrage kam ein POC aber nur in 20 % aller Fälle zum Einsatz. Von allen Vorbereitungsschritten fanden POCs sogar am seltensten Anwendung – andere Methoden waren rund 3x häufiger.
POCs werden somit als eher überflüssig angesehen, dies konsequent in allen Bereichen, von AppSec-Teams über CTOs und CISOs bis hin zu Entwicklern und Engineering-Teams. Zwar wurden bei über 50 % der befragten Unternehmen zusätzliche Security-Tools und -Checks zur Vorbereitung auf KI-Coding-Tools instituiert, doch mehr als ein Drittel der Teilnehmer verzichtete auf entsprechende Maßnahmen. Sie vertrauen wohl entweder auf die bestehenden Security-Komponenten ihres Dev-Frameworks oder gehen davon aus, dass mit KI-Coding-Tools nicht notwendigerweise zusätzliche Risiken im SDLC einhergehen.
Welche vorbereitenden Schritte hat Ihr Unternehmen vor der Implementierung von KI-Coding-Tools unternommen?
CTO/CISO
AppSec/Sec
Dev/Eng
80%
60%
40%
20%
0%
0%
20%
40%
60%
80%
POC
Security Review
Schulungen zu KI-Tooling
Ausarbeitung von KI-Richtlinien und -Prozessen
Zusätzliche Security-Checks und -Tools sowie Code-Reviews
Nichts von alledem
Schulungen zu KI-gestützter Programmierung bei lediglich 44,8 % der Unternehmen
Für jede Technologie, deren Einführung nicht unerhebliche Sicherheitsrisiken bedeuten könnte, sind entsprechende Schulungen unerlässlich. Es verwundert somit, dass in weit weniger als der Hälfte aller Unternehmen die Mehrzahl der Entwickler diese auch erhalten hat. Daraus lässt sich womöglich auf eine besonders einfache Anwendung der Tools schließen oder auf bereits in ihren Workflows integrierte Security-Scans. Allerdings bieten Coding-Tools keinerlei Hinweise dazu, wie sich von ihnen begangene Fehler identifizieren lassen, obwohl diese keine Seltenheit und zur Genüge dokumentiert sind.
Anteil der Entwickler, die Schulungen zu KI-Coding-Tools erhalten haben
0-25%
20%
26–50%
34%
51–75%
30%
76–100%
14%
Teil 3
Sicherheitsbedenken steigen mit Code-Exposition
AppSec-Teams hatten in unserer Umfrage eine tendenziell negativere Meinung zu den Sicherheitsrisiken von KI und dem Umgang ihres Unternehmens mit diesen. So schätzen sie die Sicherheit von KI-generiertem Code im Vergleich mit den anderen Teilnehmern geringer ein und die von KI-Tools ausgehenden Risiken höher. Die Security-Richtlinien für KI ihres Unternehmens halten sie für weniger zureichend.
Größte Bedenken zu Code-Sicherheit von GenAI bei AppSec-Teams
AppSec- und Security-Teams machen zwar nur einen kleineren Teil der Befragten aus. Die Wahrscheinlichkeit, dass sie die Sicherheit von KI-generiertem Code als „schlecht“ kategorisieren, ist bei ihnen allerdings 3x höher als bei C-Levels und auch weitaus höher als bei Entwicklern. Diese Kluft zeigt, dass Schwächen von KI-Tools klarer sichtbar werden für Rollen, die direkt mit der Absicherung von Code und der Behebung von Problemen betraut sind. Manche Entwickler hingegen bekommen Code-Schwachstellen eher weniger zu sehen, und C-Levels interagieren nur höchst selten mit dem Code selbst. So stuften CTOs und CISOs die Qualität von KI-generiertem Code sehr viel wahrscheinlicher als „ausgezeichnet“ ein als Entwickler, die täglich damit arbeiten. Dies legt nahe, dass Developer über eine realistischere Einschätzung zur Qualität von KI-generiertem Code, seinen Schwachstellen und Problemen verfügen. Eine These, die auch von weiteren Snyk Studien sowie akademischer Forschungsarbeit gestützt wird.
Hieraus ergeben sich mehrere Fragen. Zunächst und zuerst: Unterschätzen Unternehmen die von KI-Coding-Tools ausgehenden Risiken signifikant? Unabhängig von ihrer Rolle erachteten die Befragten die Qualität von KI-Code generell als hoch. Dem entgegen stehen diverse akademische Forschungsberichte, aus denen hervorgeht, dass durch KI-generierten Code Sicherheitsrisiken in Software-Komponenten entstehen. Dies macht weitere Code-Reviews und zusätzliches Troubleshooting erforderlich. In diesem Snyk Webinar zeigen wir beispielsweise einen Live-Exploit von KI-generiertem Code. Die zweite wichtige Fragestellung: Wenn CTOs und CISOs die Qualität von KI-generiertem Code wirklich überschätzen, wie entsteht dieser Trugschluss? Etwa weil sie unvollständige Informationen erhalten oder zu wenig direkten Kontakt mit den Mitarbeitern haben, die die zugehörigen Tools verwenden? Und warum vertreten Entwickler hier eine andere Haltung?
Wie schätzen Sie die Sicherheit von KI-generiertem Code ein?
CTO/CISO
AppSec/Sec
Dev/Eng
30%
20%
10%
0%
0%
10%
20%
30%
Hervorragend
2–5x so viele C-Levels sehen keine Sicherheitsrisiken durch KI-Coding wie andere Befragte
Die meisten Teilnehmer unser Umfrage stimmen darin überein, dass durch KI-Coding-Tools keine weitreichenden Risiken entstehen. Stark auseinander gehen die Meinungen aber bei der Frage, ob sie komplett risikofrei sind. 19,4 % der C-Levels halten KI-Coding-Tools für „überhaupt nicht risikobehaftet“, bei den AppSec-Professionals sind es lediglich 4,1 %. Auch die Entwickler tendieren eher in diese Richtung: 8,8 % von ihnen attestieren den Tools ein minimales Risiko. Als mindestens „sehr risikobehaftet“ sehen sie hingegen 38,3 % der AppSec-Befragten und nur 29,8 % der C-Levels. Eine mögliche Interpretation dieser Zahlen: AppSec-Teams kommen in ihrem Aufgabenbereich viel direkter in Berührung mit Code-Problemen und -Schwachstellen. Sie sehen die Sicherheitsprobleme, die von KI-Tools ausgehen, somit ganz unmittelbar – im Gegensatz zu Executives, die sich weniger konkret mit Security-Themen und Code befassen.
Wie schätzen Sie die Sicherheitsrisiken durch KI für Ihr Unternehmen ein?
CTO/CISO
AppSec/Sec
Dev/Eng
20%
15%
10%
5%
0%
0%
5%
10%
15%
20%
Überhaupt nicht risikobehaftet
3x so viele AppSec-Professionals halten KI-Sicherheitsrichtlinien für unzureichend
Bei den AppSec-Teilnehmern ist einige Skepsis bemerkbar im Hinblick auf die Security Policies ihrer Unternehmen für KI-Coding-Tools. Mit 30,1 % beschrieben nahezu 3x so viele Befragte aus diesem Bereich die Richtlinien als „unzureichend“ wie bei den CTOs und CISOs. Die Entwickler und Engineering-Teams finden sich mit 19 % statistisch in etwa zwischen den beiden anderen Gruppen. Je aktiver und direkter Tech-Professionals in Security-Prozesse involviert sind, desto weniger wahrscheinlich haben sie eine hohe Meinung der Security Policies für KI ihres Unternehmens. Dies könnte darauf hindeuten, dass AppSec-Teams Risiken klarer wahrnehmen. Es könnte auch bedeuten, dass sie ein Erfordernis sehen, Security-Richtlinien für KI effizienter zu gestalten und Anforderungen für Anwendungssicherheit konsequenter einfließen zu lassen. Übermäßige Stringenz attestieren den Policies am ehesten die C-Levels. Hier zeigt sich womöglich ihr Bestreben, KI-Coding-Tools möglichst zeitnah zu implementieren, das auch in anderen Ergebnissen dieser Umfrage deutlich wird.
Wie bewerten Sie die Sicherheitsrichtlinien für KI Ihres Unternehmens?
CTO/CISO
AppSec/Sec
Dev/Eng
80%
60%
40%
20%
0%
0%
20%
40%
60%
80%
Unzureichend
Angemessen
Zu stringent
Fazit
Diffuses Meinungsbild zu eigener KI-Readiness in Unternehmen, grundlegende Vorbereitungen lückenhaft
KI-ready – ja oder nein? Im Allgemeinen halten die Befragten ihr Unternehmen im Hinblick auf KI-Tooling für gut vorbereitet. So erachten sie die zugehörigen Security Policies allgemein als ausreichend, KI-generierten Code als sicher und ihr Unternehmen als KI-ready. Bei der Sicherheit von KI-Coding-Tools sind die Meinungsbilder jedoch diffuser. Alle drei Rollen sehen Sicherheitsbedenken als größte Hürde für die Einführung von KI-Coding-Tools. Bei weniger als einem Fünftel der Befragten wurden im Unternehmen POCs durchgeführt – diese sind jedoch ein essenzieller Schritt bei der Einführung neuer Technologien. Weniger als die Hälfte aller Teilnehmer berichtet von Schulungen zu KI-Coding-Tools für die Mehrheit ihrer Entwickler. Diese teils widersprüchlichen Resultate könnten auf einen Mangel an strategischer Planung hindeuten, ebenso auf eine eher unstrukturierte Implementierung von KI.
Zwischen den einzelnen Rollen lassen sich klare Unterschiede im Hinblick auf ihre Einschätzung von Code-Qualität, Tool-Sicherheit und allgemeinen KI-Vorbereitung im Unternehmen beobachten. C-Levels bewerten KI-Coding-Tools und die KI-Readiness ihres Unternehmens allgemein positiver als Teilnehmer, die direkter mit Code, Security-Prozessen und -Richtlinien interagieren. Insbesondere AppSec-Professionals weisen eine vergleichsweise skeptische Haltung zur Sicherheit von KI-Coding-Tools auf. Hier kann man davon ausgehen, dass Probleme, die durch KI-generierten Code entstehen, für diese wichtige Gruppe akuter sichtbar sind.
Diese Gegensätze legen unzureichende Planung oder strategische Mängel bei der Einführung von KI-Tools nahe. Auch lassen sie auf eine ungenaue Erfassung und unvollständige Erfüllung der Vorbedingungen schließen. Dies könnte mangelnder abteilungsübergreifender Transparenz geschuldet sein. Ähnlich wie bei Smartphones und bestimmten Software-Lösungen für Privatanwender könnte hier die anfänglich unkontrollierte Einführungsdynamik ursächlich sein, bevor es dann zu einer Standardisierung durch IT-Fachbereiche kommt. Wie gut sich die Nutzung im weiteren Verlauf wird kontrollieren lassen, bleibt abzuwarten. In jedem Fall wäre es ratsam für Unternehmen, KI-Coding-Tools strukturierter zu implementieren, ähnlich wie bei anderen Technologien in einer Enterprise-Umgebung. Damit sollten sich auch Sicherheitsbedenken besser adressieren lassen – speziell für Entwickler und Security-Teams, die in dieser Hinsicht noch die größte Skepsis zeigen. Erforderlich hierfür sind bessere Kontrollmechanismen, die diesen Paradigmenwechsel in der Software-Entwicklung mit einem klar definierten, umfassenden Konzept ermöglichen.
Für Tech-Leader, die sich die Signale dieser Umfrage zunutze machen möchten, könnten sich die folgenden Schritte auszahlen:
Ausgestaltung eines formellen POC-Prozesses bei der Implementierung von KI-Tools
Stärkere Gewichtung für die Empfehlungen von Mitarbeitern, die direkt mit Code-Schwachstellen und Tool-Risiken interagieren
Dokumentation und Audit aller Tool-Instanzen für KI-gestütztes Coding zur Optimierung von Security- und QA-Prozessen
Regelmäßige Befragung zu KI-Coding aller drei Gruppen
Ggf. spezielle Konsultation zu Best Practices durch ausgewiesene KI-Experten
Sicherung von Buy-in auf Exec-Ebene durch ROI-Nachweis für KI-Security-Tools
Implementierung von Security-Tools, die Schwachstellen früh in der Software-Entwicklung identifizieren und beheben
Einsatz von entwicklerfreundlichen KI-Security-Tools und -Prozessen mit nahtloser Integration in bestehende Workflows
Durchführung von Schulungen zum Thema KI-gestützte Programmierung und zugehörigen Tools; Nutzung eines KI-Coding-Assistant (Google Gemini), der direkt mit Snyk und seiner Knowledge Base integrierbar ist
Methodik
Dieser Report ist das Ergebnis einer weltweiten Umfrage unter 406 IT-Professionals. Die Teilnehmer hatten eine Rolle als CTO, CISO, Entwickler oder Engineer inne oder waren im Security- oder AppSec-Bereich tätig. Im weiteren Jahresverlauf 2024 werden wir bei Online- und Präsenz-Events zusätzliche Daten für die Umfrage erheben. Damit wird es uns möglich sein, die KI-Readiness in Unternehmen sowie die unterschiedlichen Meinungsbilder zu KI-Risiken, den Implementierungsanforderungen und -herausforderungen noch genauer zu beleuchten.