Künstliche Intelligenz verändert die Softwareentwicklung grundlegend – und bringt neue Sicherheitsrisiken mit sich. Das Unternehmen Mend hat nun ein praxisorientiertes Governance-Framework veröffentlicht, das Organisationen helfen soll, KI-gestützte Entwicklungsumgebungen strukturiert und regelkonform zu steuern.
Mend veröffentlicht Governance-Framework für KI-Sicherheit in Unternehmen
Das Softwareunternehmen Mend hat ein Framework zur Steuerung von KI-Sicherheitsrisiken veröffentlicht, das Sicherheits- und Entwicklungsteams beim strukturierten Umgang mit KI-Tools unterstützen soll. Im Fokus steht die Frage, wie Unternehmen KI-Assistenten in ihre Prozesse integrieren können, ohne dabei die Kontrolle über Risiken und Compliance zu verlieren.
Hintergrund: Wachsende Risiken durch KI im Softwareentwicklungsprozess
Mit der zunehmenden Verbreitung von KI-Assistenten in der Softwareentwicklung – etwa GitHub Copilot, Cursor oder vergleichbare Tools – entstehen neue Angriffsflächen und Compliance-Fragen. Automatisch generierter Code kann:
- Schwachstellen einführen
- veraltete Abhängigkeiten enthalten
- gegen interne Sicherheitsrichtlinien verstoßen
Gleichzeitig fehlen in vielen Unternehmen klare Prozesse, um diese Risiken systematisch zu erfassen und zu steuern.
Inhalte des Frameworks
Das Framework gliedert sich in mehrere Handlungsfelder:
Transparenz über KI-Outputs
Unternehmen sollen nachvollziehen können, welcher Code auf KI-Vorschlägen basiert und welche Sicherheitsprüfungen darauf angewendet wurden.
Sicherheitskontrollen in der Entwicklungspipeline
Dazu gehört die automatisierte Überprüfung von KI-generiertem Code auf bekannte Schwachstellen sowie die Einhaltung von Lizenz- und Compliance-Anforderungen – ein Punkt, der angesichts der ungeklärten Rechtslage rund um KI-generierte Inhalte zunehmend an Bedeutung gewinnt.
Governance-Struktur und Verantwortlichkeiten
Das Framework beantwortet zentrale organisatorische Fragen:
Wer trägt die Verantwortung für KI-bezogene Sicherheitsentscheidungen? Wie werden Richtlinien dokumentiert und kommuniziert – und wie lässt sich ihre Einhaltung überprüfen?
Diese Fragen sind besonders für regulierte Branchen wie Finanzdienstleistungen oder das Gesundheitswesen relevant.
Einordnung: Standards noch im Entstehen
Branchenweite verbindliche Standards für KI-Sicherheit im Entwicklungsumfeld existieren derzeit kaum. Initiativen wie die OWASP Top 10 für Large Language Models oder Leitlinien des NIST geben erste Orientierung, bleiben aber oft abstrakt.
Mends Ansatz versucht, diese Lücke mit konkreten Umsetzungsempfehlungen zu schließen – auch wenn das Framework naturgemäß die eigene Produktpalette des Anbieters im Hintergrund hat.
Unternehmen sollten solche Frameworks daher als Ausgangspunkt betrachten, nicht als abschließende Lösung. Die Qualität liegt weniger in der theoretischen Vollständigkeit als in der Frage, wie gut sich die Empfehlungen in bestehende DevSecOps-Prozesse integrieren lassen.
Relevanz für den deutschsprachigen Markt
Für deutsche Unternehmen kommt das Thema KI-Sicherheits-Governance zur richtigen Zeit: Der EU AI Act verpflichtet Organisationen ab bestimmten Risikoklassen zu nachweisbaren Governance-Strukturen beim KI-Einsatz.
Wer jetzt Prozesse aufbaut, um KI-generierte Codebestandteile zu verfolgen, zu prüfen und zu dokumentieren, schafft eine Grundlage, die sowohl für interne Qualitätssicherung als auch für regulatorische Anforderungen nutzbar ist. Frameworks wie das von Mend können dabei als strukturierte Checkliste dienen – vorausgesetzt, sie werden auf die eigene Unternehmensrealität angepasst und nicht unreflektiert übernommen.
Quelle: MarkTechPost