Anthropics Project Glasswing zeigt, wie spezialisierte KI-Modelle jahrelang unentdeckte Sicherheitslücken in Open-Source-Software aufspüren. Was das für Unternehmen bedeutet – und warum technische Sicherheit allein nicht ausreicht. Ein Kommentar von Heiko Klarl, CEO bei Nexis.
Project Glasswing, eine Initiative von Anthropic, hat in der Cybersicherheits- und Softwarebranche Aufmerksamkeit erzeugt. Das Projekt demonstriert, welches Potenzial spezialisierte KI-Modelle in der Schwachstellenanalyse besitzen: Kritische Sicherheitslücken in weit verbreiteter Open-Source-Software wurden identifiziert, darunter Fehler, die teilweise über Jahre und in einzelnen Fällen sogar jahrzehntelang unentdeckt geblieben sind. Glasswing geht damit über eine reine Technologiedemonstration hinaus und deutet auf eine grundlegende Veränderung in der Art hin, wie Software entwickelt und abgesichert wird.
Für viele Unternehmen ist die aktuelle Situation von wachsender Unsicherheit geprägt. Die Zahl identifizierter Schwachstellen steigt, Security-Teams stehen unter Druck, Risiken schneller zu bewerten und Systeme zeitnah abzusichern. Aus Sicht von Heiko Klarl, CEO bei Nexis, handelt es sich dabei um einen notwendigen Prozess: Die Branche arbeite technische Altlasten auf, die sich über viele Jahre angesammelt haben. Diese Phase sei entscheidend für eine langfristig stabilere und sicherere digitale Infrastruktur.
Sicherheit wandert in den Entwicklungsprozess
KI wird künftig zum festen Bestandteil des gesamten Software-Lifecycles. Sicherheitsorientierte Modelle analysieren Code kontinuierlich und liefern automatisiert Verbesserungsvorschläge, sobald sich potenzielle Schwachstellen abzeichnen. Sicherheit verlagert sich damit weiter nach vorn in den Entwicklungsprozess – idealerweise direkt beim Schreiben von Code. Diese Entwicklung dürfte die Qualität moderner Software langfristig erhöhen. Zugleich verändert sie die Anforderungen an Governance und Risikosteuerung.
Für das Feld der Authorization Governance stellt das eine positive Entwicklung dar, da eine sicherere technische Basis die gesamte IT eines Unternehmens stärkt. Eine zentrale Frage bleibt jedoch bestehen: Wer darf in welcher Situation auf welche Systeme und Daten zugreifen?
Modelle wie Mythos oder vergleichbare KI-gestützte Sicherheitslösungen können Schwachstellen automatisiert identifizieren und teilweise beheben. Sie ersetzen jedoch nicht die Notwendigkeit, Richtlinien und Berechtigungen klar zu definieren und diese regelmäßig zu überprüfen. Governance bleibt eine zentrale Unternehmensaufgabe – unabhängig davon, wie leistungsfähig die eingesetzten KI-Werkzeuge sind.
IAM und GRC rücken enger zusammen
Derzeit lässt sich eine stärkere Annäherung von Identity & Access Management (IAM) und Governance, Risk & Compliance (GRC) beobachten. Authorization Governance entwickelt sich zu einem wichtigen Bestandteil unternehmensweiter Risiko- und Compliance-Strategien. Die technische Korrektheit einer Berechtigung reicht dabei künftig nicht mehr aus. Entscheidend wird, ob sie im jeweiligen Kontext risikobewusst und geschäftlich sinnvoll ist.
In Autorisierungsentscheidungen fließen zunehmend mehr Kontextinformationen ein – etwa Daten aus dem Informationssicherheitsmanagementsystem (ISMS), Bewertungen zur Anwendungskritikalität sowie Erkenntnisse aus dem Third-Party-Management. Authorization Governance wird dadurch deutlich dynamischer und stärker kontextbezogen.
Dynamic Access Policies machen Zugriffsentscheidungen abhängig von Standort, Gerät, Tageszeit und aktuellem Risikolevel. Ergänzt um Informationen aus Third-Party-Management-Systemen sowie GRC- und ISMS-Daten entsteht ein präziseres Risikobild. Unternehmen können Zugriffe damit dynamisch an die jeweilige Bedrohungslage anpassen.
Parallel dazu vernetzt das Shared Signals Framework (SSF) Sicherheitssysteme enger miteinander. Signale aus Endpoint Detection und Verhaltensanalysen werden zentral ausgewertet und mit Identitätsprüfungen verknüpft. Systeme reagieren dadurch in Echtzeit: Sie passen Zugriffe an oder lösen zusätzliche Authentifizierungsschritte aus, sodass Sicherheitsentscheidungen schneller und stärker automatisiert getroffen werden können.
KI-Agenten brauchen klare Leitplanken
Besonders relevant wird Authorization Governance im Umgang mit autonomen KI-Agenten. Wenn KI-Systeme eigenständig handeln oder auf sensible Daten zugreifen, braucht es klare Regeln und technische Leitplanken. Intents und Controls lassen sich als Policies in den Systemen hinterlegen. Diese Policies steuern Governance und Enforcement gleichermaßen und binden KI-Agenten kontrolliert in bestehende Compliance- und Risikostrukturen ein.
Gerade hier zeigt sich, wie wichtig Governance künftig wird: Je autonomer Systeme handeln, desto entscheidender wird die Frage, welche Rechte sie besitzen und wo ihnen Grenzen gesetzt sind. Identity Visibility and Intelligence (IVIP) gewinnt in diesem Zusammenhang an Bedeutung, weil sie Transparenz über Identitäten und Berechtigungen schafft – auch dann, wenn es sich um nichtmenschliche Akteure wie KI-Agenten handelt.
Project Glasswing markiert eine Verschiebung in der Cybersicherheit. KI verkürzt die Zeit, in der Sicherheitslücken erkannt und behoben werden, erheblich. Die Verantwortung für Governance und Zugriffsentscheidungen bleibt davon unberührt bei den Unternehmen. Wer mit KI sichereren Code produziert, hat damit noch nicht beantwortet, wer in welcher Situation auf welche Systeme zugreifen darf. Diese Frage wird in einer zunehmend KI-getriebenen IT weiter an Bedeutung gewinnen.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de