Home » News » Cybersecurity » Wann Eigenentwicklung zur Kostenfalle wird

KI-Pentests: Wann Eigenentwicklung zur Kostenfalle wird

Unternehmen wollen Penetrationstests mit KI automatisieren und erwägen eigene Werkzeuge. Doch zwischen einer schnellen Demo und einem belastbaren Produktivsystem liegen hohe technische, personelle und regulatorische Hürden. Fünf zentrale Fragen sollten vor der Investition jedoch dringend geklärt werden.

2 Min. Lesezeit
Pentesting
Foto: ©AdobeStock/Tackey

Neue leistungsfähige KI-Modelle wecken bei Vorständen und IT-Leitern die Erwartung, Sicherheitstests künftig weitgehend automatisieren zu können. Ein Sprachmodell mit einigen Prompts ergibt jedoch noch keine belastbare Pentest-Plattform. Für den produktiven Einsatz braucht es eine Orchestrierung spezialisierter Agenten, abgesicherte Zugriffe, eine unabhängige Prüfung der Ergebnisse und Verfahren, die echte Schwachstellen von Fehlalarmen unterscheiden.

Synack warnt deshalb davor, den Aufwand einer Eigenentwicklung anhand eines Proof of Concept zu beurteilen. Eine Demonstration lasse sich schnell erstellen. Die Fähigkeit, komplexe Anwendungen, individuelle Geschäftslogik, Authentifizierungsabläufe und nicht standardisierte Programmierschnittstellen zuverlässig zu prüfen, verursache jedoch den Großteil der Arbeit.

Fünf Fragen vor der Eigenentwicklung 

  1. Reicht ein Frontier-Modell als Grundlage?
    Modelle wie Mythos oder ChatGPT 5.5 können einzelne Aufgaben unterstützen. Ohne spezialisierte Subagenten und eine Validierungsebene bleiben die Ergebnisse jedoch häufig oberflächlich. Auch Open-Source-Frameworks, die im Labor überzeugen, stoßen in produktiven Umgebungen schnell an Grenzen.
  2. Besitzt das Team die nötige Angriffsexpertise?
    Nicht allein KI- und Softwarekenntnisse entscheiden über die Qualität. Ein autonomes System muss Angriffsketten verstehen, Schwachstellen kombinieren und erkennen, ob ein vermeintlicher Exploit tatsächlich funktioniert. Zudem muss es kontinuierlich verfügbar, skalierbar und über Jahre wartbar sein. Synack hat für Sara AI Pentest nach eigenen Angaben Erfahrungen aus 13 Jahren und Zehntausenden Tests in Hunderte spezialisierte Agenten übertragen.
  3. Was bedeutet Kontrolle über Daten und Modelle?
    Ein eigenes System kann mehr Einfluss auf Speicherung, Modellwahl und Datenflüsse ermöglichen. Damit übernimmt das Unternehmen aber auch die Verantwortung für Token-Kosten, Modellwechsel, Zugriffsrechte, Datenverluste und die Prüfung jeder technischen Änderung. „Die Kontrolle über das Tool bedeutet auch die Verantwortung für dessen Ausfälle“, fasst Synack zusammen.
  4. Ist Eigenentwicklung wirklich günstiger?
    Bei umfangreichen Tests erzeugen parallel arbeitende Agenten einen hohen Rechen- und Token-Verbrauch. Gleichzeitig müssen Prompts, Werkzeuge und Schutzmechanismen nach Modellupdates erneut geprüft werden. Aus einem internen Projekt wird so schnell ein dauerhaftes Produktteam. Kommerzielle Angebote können dagegen besser kalkulierbare Kosten bieten.
  5. Genügt ein schlankes Werkzeug für das Red Team?
    Interne Hilfsmittel können repetitive Aufgaben beschleunigen. Sie ersetzen jedoch häufig keine unabhängige Prüfung. Vorgaben wie Payment Card Industry Data Security Standard (PCI DSS), SOC 2, ISO 27001 oder das Federal Risk and Authorization Management Program (FedRAMP) verlangen je nach Anwendungsfall externe Bewertungen. Ein internes System bleibt aus Sicht vieler Auditoren eine Selbstbewertung.

Ein Prototyp ist noch kein Prüfprogramm

Die Eigenentwicklung kann sinnvoll sein, wenn ein Unternehmen über dauerhaft verfügbare Fachleute für offensive Sicherheit, künstliche Intelligenz und Produktbetrieb verfügt. Vor der Investition sollte jedoch feststehen, welche Schwachstellen das System finden muss, wie Befunde validiert werden und ob die Ergebnisse regulatorisch anerkannt werden.

Andernfalls drohen doppelte Kosten: Das Unternehmen wartet eine komplexe interne Plattform und muss zusätzlich externe Pentests beauftragen. Die zentrale Frage lautet deshalb nicht, ob sich ein KI-Pentest-Tool entwickeln lässt, sondern ob es im produktiven Dauerbetrieb zuverlässig, bezahlbar und auditierbar bleibt.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Futuristisches KRITIS-Netzwerk

Cloud-Abhängigkeit wird für KRITIS zum Resilienzrisiko

85 Prozent der deutschen Unternehmen halten die Abhängigkeit von US-Cloud-Anbietern für zu groß. Für Betreiber kritischer Infrastrukturen wird daraus mehr als eine strategische Sor...

Roboter und Mensch zeigen auf das Wort Productivity

„Workslop“ statt Produktivität: KI macht Arbeit – wenn Kompetenz fehlt

KI soll Unternehmen effizienter machen. Doch wer nur Tools einkauft, gewinnt noch keine Produktivität. Ohne Fachwissen, Datenkompetenz und klare Standards entsteht schnell das Gege...

Bruch zwischen den USA und Europa

US-Urteil bringt Europas Fundament für transatlantischen Datentransfer ins Wanken

Ein Urteil des US Supreme Court zu Entlassungsrechten des Präsidenten trifft Europa an empfindlicher Stelle: beim EU-US Data Privacy Framework. Die Entscheidung zeigt, warum Datens...