Neue Bedrohungen für globale Lieferketten und der Siegeszug der Künstlichen Intelligenz zwingen Entwickler und Unternehmen zum Umdenken.
OWASP Top 10 2025: Lieferketten rücken in den Fokus
Die aktualisierte OWASP-Rangliste der größten Sicherheitsrisiken, veröffentlicht am 5. Juni 2026, setzt neue Prioritäten. Die Kategorie A03 heißt nun „Software Supply Chain Failures“ und ersetzt den bisherigen Fokus auf „Vulnerable and Outdated Components“. Der Wechsel ist programmatisch: Es geht nicht mehr nur um einzelne Code-Fehler, sondern um das gesamte Software-Ökosystem.
Anzeige: Wer die neuen OWASP Top 10 2026 auf sein Unternehmen anwenden will, findet in diesem kostenlosen Report die wichtigsten Strategie-Hebel – von Supply-Chain-Checkliste bis KI-Code-Review. Jetzt kostenlosen Sicherheits-Report anfordern
Ein alarmierendes Beispiel für diese systemischen Risiken ereignete sich bereits im Mai dieses Jahres. Damals wurden drei manipulierte Versionen eines Python-SDKs für „durabletask“ auf dem PyPI-Repository entdeckt. Das betroffene Paket wird normalerweise mehr als 400.000 Mal pro Monat heruntergeladen – ein Beleg für die potenzielle Reichweite solcher Angriffe.
Die neue Kategorie A10, „Mishandling of Exceptional Conditions“, adressiert ein weiteres Einfallstor: die Art und Weise, wie Anwendungen auf unerwartete Fehler reagieren. Genau hier lauern häufig Angriffspunkte für Hacker.
KI als Schutzschild und Risikoquelle zugleich
Während die Sicherheitsstandards weiterentwickelt werden, spielt Künstliche Intelligenz eine doppelte Rolle. Am 3. Juni veröffentlichte Anthropic auf GitHub eine neue Open-Source-Referenzimplementierung, die das KI-Modell Claude in einen autonomen Code-Verteidiger verwandelt. Das System kann Sicherheitslücken selbstständig erkennen, priorisieren und schließen.
Die Veröffentlichung folgt auf die Ausweitung des „Project Glasswing“ vom 2. Juni. Rund 150 Organisationen aus über 15 Ländern sind mittlerweile beteiligt, darunter Samsung, SK Hynix, die NATO und die EU-Agentur für Cybersicherheit ENISA. Laut internen Berichten hat das offensive Sicherheitsmodell seit April mehr als 10.000 hochkritische Schwachstellen identifiziert.
Auch die US-Regierung formalisiert ihren Ansatz. Ein Exekutivbefehl vom 2. Juni 2026 richtet eine spezialisierte KI-Cybersicherheits-Zentrale ein. Sie soll Schwachstellen-Scans und Patch-Verteilungen für kritische Infrastrukturen koordinieren. Das Timing ist kein Zufall: Unternehmen bereiten sich auf die Berichtspflichten des EU-Cyber-Resilience-Acts vor, die am 11. September 2026 in Kraft treten.
KI-generierter Code: Schneller, aber riskanter
KI senkt die Hürde für komplexe Cyberangriffe. Aktuelle Sicherheitsleitfäden beobachten, dass moderne KI-Modelle zunehmend zur Generierung von PowerShell-Skripten und zur Entdeckung von Zero-Day-Lücken eingesetzt werden.
Die Zahlen sind ernüchternd: Nur etwa 55 Prozent des KI-generierten Codes besteht die standardmäßigen Sicherheitsprüfungen. Pull-Requests von KI-Assistenten enthalten zwischen 15 und 18 Prozent mehr Sicherheitslücken als solche, die von menschlichen Entwicklern stammen.
Zu den aktuellen Bedrohungen Anfang Juni zählt die Ransomware „Lalia“, die Windows-Systeme attackiert. Sie verschlüsselt Dateien und löscht Volumenschattenkopien, um die Datenwiederherstellung zu verhindern. Sicherheitsfirmen warnen zudem vor einer Zunahme von Deepfake-Betrug – kurze Audio-Clips reichen aus, um Stimmen zu klonen und Mitarbeiter oder Kunden zu täuschen.
Verteidigung in der Tiefe: Neue Strategien für Unternehmen
Anzeige: KI-generierter Code enthält 15–18 % mehr Sicherheitslücken – und der EU-Cyber-Resilience-Act verlangt ab September 2026 Berichte. Dieser Leitfaden zeigt, wie Sie Schwachstellen automatisiert erkennen und Ihre Lieferkette absichern. EU-CRA-konformen Leitfaden jetzt sichern
Cloud-Anbieter und Sicherheitsfirmen reagieren mit aktualisierten Schutzrahmen. Amazon Web Services kündigte am 4. Juni mehrere Sicherheitsverbesserungen an, darunter fein granulare Zugriffskontrollen für Verbraucheranwendungen und neue Werkzeuge zur Identifizierung ungenutzter Verschlüsselungsschlüssel.
Für Unternehmen, die KI-Anwendungen betreiben, empfehlen Experten eine mehrschichtige Verteidigungsstrategie. Neben standardmäßiger Datenverwaltung sollten Entwickler auf Anwendungsschutz-Tools setzen: Verschleierung, Kontrollflussschutz und String-Verschlüsselung verhindern das Reverse Engineering wertvoller Logiken und Prompts.
Für die wachsende Zahl von Remote-Mitarbeitern betonen Sicherheitsberater die Bedeutung digitaler Hygiene. Aktuelle Empfehlungen umfassen WPA3 für Heimnetzwerke, die 3-2-1-Backup-Regel (drei Kopien auf zwei verschiedenen Medien, eine davon extern) und die Priorisierung von Multi-Faktor-Authentifizierung für E-Mail und andere kritische Konten.
