KI ist mittlerweile Teil des realen Betriebs. Es schreibt Code, liest Dokumente, ruft Tools auf, fasst Tickets zusammen, durchsucht internes Wissen und greift auf Kundendaten zu. Das gibt den Teams Geschwindigkeit. Außerdem erhalten Angreifer dadurch mehr Möglichkeiten zum Testen.
Aber das Problem geht über die KI hinaus.
Ein modernes Unternehmen stellt eine vollständige Sicherheitskontur zur Verfügung: Web-Apps, APIs, Admin-Panels, mobile Clients, Desktop-Software, Cloud-Rollen, OAuth-Apps, CI-Pipelines, Geheimnisse, Protokolle, Zahlungsströme, Datenspeicher, Anbieter, Support-Tools, RAG-Indizes und Agenten. KI erhöht den Druck auf diese Kontur. Es ersetzt es nicht.
Diese Unterscheidung ist wichtig. Ein Zertifikat, das nur die KI-Schicht abdeckt, ist für einen ernsthaften Käufer zu eng. Der Käufer möchte wissen, ob das System den gesamten Pfad bewältigen kann: Identität, Daten, Geld, Code, Infrastruktur, Betrieb und die darüber liegenden neuen KI-Workflows.
Investoren verlangen Beweise. Banken verlangen Beweise. Fintech-Partner fordern Beweise. Der Unternehmenseinkauf verlangt Beweise. Eine klare Antwort des Teams hilft. Ein verifiziertes Zertifikat hat mehr Gewicht.
Was sich im Jahr 2026 geändert hat
Am 11. Mai 2026 berichtete die Google Threat Intelligence Group, dass Angreifer von frühen KI-Experimenten zur industriellen Nutzung generativer Modelle in allen Angriffsabläufen übergehen. Google beschrieb KI-unterstützte Schwachstellenerkennung, Exploit-Generierung, Malware-Verschleierung, autonome Malware-Operationen, Aufklärung, Informationsoperationen und KI-Angriffe auf die Lieferkette. In dem Bericht heißt es außerdem, dass GTIG einen Akteur der Cyberkriminalität mithilfe eines Zero-Day-Exploits identifiziert habe, von dem Google annimmt, dass er mit KI entwickelt wurde.
Am 7. Mai 2026 veröffentlichte Microsoft Security eine Studie zu Remote-Codeausführungspfaden in KI-Agent-Frameworks. In einer Fallstudie zum semantischen Kernel erreichte die sofortige Injektion die Ausführung des Tools, weil der Agent vom Modell bereitgestellte Parameter akzeptierte. Sobald ein Modell Tools aufrufen kann, kann eine Eingabeaufforderung von der Textmanipulation zum Schreiben von Dateien, zur Datenfreigabe und zur Remotecodeausführung übergehen.
Am 30. April 2026 veröffentlichten die NSA, CISA, das britische NCSC, das Canadian Centre for Cyber Security, das ACSC von ASD und andere Behörden gemeinsame Leitlinien zu Agenten-KI-Diensten. Ihre Warnung ist praktisch: Agentensysteme erhöhen das Privilegienrisiko, das Designrisiko, das Verhaltensrisiko, das Strukturrisiko und das Verantwortungsrisiko. Aktionen können verbundene Komponenten schneller durchdringen, als eine normale Überprüfung folgen kann.
OWASP listet Prompt Injection als LLM01 in den Top 10 2025 für LLM-Anwendungen auf. Die gegnerische Taxonomie des maschinellen Lernens von NIST umfasst direkte Prompt-Angriffe, indirekte Prompt-Injection, Datenvergiftung, Modellextraktion, Datenschutzgefährdung und Agentensicherheit. Dies sind keine Grenzfälle mehr. Sie stellen Betriebsrisiken für Produkte dar, die KI in Benutzerströme integrieren.
Die Lektion ist einfach. KI erweitert die Karte. Die gesamte Karte muss noch überprüft werden.
Der kommerzielle Schmerz
Die Außenwelt sieht Ihr Architekturdiagramm nicht. Das Ticket, in dem das Team angibt, dass das Problem behoben ist, wird nicht angezeigt. Es sieht Risiko.
Es handelt sich um ein Produkt, das mit Finanz-, Identitäts-, CRM-, Analyse-, Cloud-, Abrechnungs-, Code-Hosting- und Support-Workflows verbunden ist. Es sieht OAuth-Berechtigungen. Es sieht Anbieter. Es sieht Admin-Oberflächen. Es sieht KI-Agenten, die Werkzeuge aufrufen können. Dabei gehen Kundendaten durch viele Hände.
Für ein Fintech-Unternehmen kann dies das Onboarding von Partnern verlangsamen. Für ein Unternehmen, das mit Geld arbeitet, kann es dazu führen, dass Zahlungen, Bankgeschäfte oder Beschaffungsprüfungen blockiert werden. Für ein Startup, das Kapital beschafft, kann dies zu einer Due-Diligence-Lücke führen. Für ein Unternehmen, das an Unternehmenskäufer verkauft, kann es dazu führen, dass der Sicherheitsfragebogen länger, langsamer und teurer wird.
Sicherheit muss sichtbar, konkret und leicht erklärbar werden.
Was das SToFU-Zertifikat abdeckt
SToFU Die Sicherheitszertifizierung deckt den gesamten Sicherheitsbereich ab, einschließlich KI, wenn das Produkt diese verwendet.
KI ist enthalten, wenn das Produkt sie verwendet. Der Rest des Systems wird einbezogen, weil Angreifer Produktkategorien nicht respektieren. Sie gehen den schwächsten nützlichen Weg.
Wir beginnen mit dem Umfang. Wir kartieren, was offengelegt wird, was sensibel ist und was Geld, Daten, Zugriffe oder Abläufe verändern kann. Ein normaler Zertifizierungsumfang kann Folgendes umfassen:
- Öffentliche Webanwendungen und Backend-APIs.
- Admin-Panels, Support-Tools und interne Workflows.
- Authentifizierung, Autorisierung, Sitzungsabwicklung und Rollenmodelle.
- OAuth-Apps, Integrationen von Drittanbietern und Anbieterzugriff.
- Cloud-Identität, Speicher, Netzwerkregeln und Bereitstellungspfade.
- CI/CD-Pipelines, Build-Artefakte, Abhängigkeiten und Geheimnisse.
- Mobile Apps, Desktop-Clients, Update-Kanäle und lokaler Speicher.
- Zahlungsströme, Wege zur Kontoübernahme, Finanzabläufe und Betrugsrisiko.
- Protokollierung, Alarmierung, Vorfallbereitschaft und Beweisqualität.
- KI-Agenten, RAG-Quellen, Eingabeaufforderungen, Werkzeugberechtigungen, Speicher und Ausgabepfade.
Dann testen wir die Kontur anhand praktischer Fehlermodi. Wir suchen nach Autorisierungslücken, fehlerhafter Zugriffskontrolle auf Objektebene, unsicheren Agentenberechtigungen, sofortiger Injektion, Datenlecks, der Offenlegung von Geheimnissen, Abhängigkeitsschwächen, Lieferkettenrisiken, unsicherer Speicherung, schwachen Wiederherstellungspfaden und Fehlkonfigurationen, die aus einem kleinen Fehler ein geschäftliches Ereignis machen können.
Das Zertifikat dokumentiert, was überprüft wurde, wann es überprüft wurde, was gefunden wurde, was behoben wurde und wie lange das Ergebnis gültig bleibt.
Was der Kunde erhält
Der Käufer benötigt ein Dokument, das einen Geschäftsprozess durchlaufen kann, ohne dass in jeder Besprechung eine Übersetzung durch einen Ingenieur erforderlich ist.
Das SToFU-Zertifizierungspaket gibt diese Struktur vor:
- Ein Sicherheitszertifikat mit überprüftem Umfang und Gültigkeitsdauer.
- Eine Zusammenfassung des Umfangs, die die überprüften Systeme, Abläufe und Grenzen benennt.
- Eine Zusammenfassung des Behebungsstatus für geschlossene Ergebnisse.
- Nachweisreferenzen für Nachtestergebnisse und wichtige Kontrollen.
- Praktische Hinweise für Änderungen, die eine erneute Überprüfung auslösen sollten.
Dies hilft der Führung, direkte Fragen zu beantworten:
- Wurde die freigelegte Kontur überprüft?
- Wurden kritische und risikoreiche Befunde behoben?
- Umfasst die Überprüfung nur die KI oder das gesamte System?
- Kann dies Investoren, Partnern, Wirtschaftsprüfern und Unternehmenskäufern gezeigt werden?
- Welche Änderungen würden dazu führen, dass das Zertifikat veraltet ist?
Die letzte Frage ist wichtig. Ein Zertifikat ist nützlich, weil seine Grenzen klar sind.
Wenn das Zertifikat ausgestellt wird
Ein Zertifikat wird ausgestellt, wenn die Überprüfung ergibt, dass keine kritischen oder risikoreichen ausnutzbaren Schwachstellen im vereinbarten Umfang verbleiben.
Wenn Schwachstellen gefunden werden, ist der Weg direkt: beheben, erneut testen, Beweise sichern und dann zertifizieren. Eine geschlossene Schwachstelle beweist Disziplin, wenn das Team sie behebt und das Ergebnis überprüft.
Für die meisten Produktionssysteme ist das Zertifikat bis zu 12 Monate gültig. Das ist ein praktischer Rhythmus für Vertrieb, Investorenbewertung, Beschaffung und jährliche Sicherheitsplanung. Software ändert sich schnell, daher muss die Gültigkeitsdauer der Realität entsprechen.
Wesentliche Änderungen sollten früher eine erneute Überprüfung auslösen. Beispiele hierfür sind ein neuer KI-Agent, ein neuer Zahlungsfluss, eine neue OAuth-Integration, eine große Cloud-Migration, ein neues Admin-Panel, eine kritische Abhängigkeitsänderung, ein neuer Anbieter mit sensiblem Zugriff oder eine wesentliche Änderung bei der Datenverarbeitung.
Warum das jetzt wichtig ist
KI hilft Angreifern, schneller zu recherchieren, mehr zu automatisieren, sauberere Payloads zu generieren und Logik zu testen, die älteren Scannern entgeht. Es hilft Verteidigern auch, wenn es mit Isolation, Überwachung, eingeschränkten Berechtigungen und Beweisen eingesetzt wird.
Aber der Kernzug ist älter und stärker als der Hype.
Kartieren Sie die Kontur. Testen Sie die freigelegten Pfade. Reparieren Sie, worauf es ankommt. Erneut testen. Bewahren Sie den Beweis auf. Geben Sie dem Markt ein Zertifikat, aus dem hervorgeht, dass das System klar und deutlich überprüft wurde.
Das ist der Zweck der SToFU-Sicherheitszertifizierung: Sicherheit klar genug zu machen, damit Investoren, Fintech-Partner, Beschaffungsteams und Unternehmenskäufer entsprechend handeln können.
