Die aktuelle Studie »The State of Embedded Software Quality and Safety 2025« von Black Duck zeigt: Eingebettete Software verändert sich rasanter als jemals zuvor. Besonders die massive Einführung von KI-gestützten Tools sowie die steigende Bedeutung von Transparenz in der Software-Lieferkette stellen Unternehmen vor neue Chancen und Risiken. [...]
Fast 90 Prozent der Unternehmen setzen inzwischen KI-gestützte Code-Assistenten ein, und über 96 Prozent bauen Open-Source-KI-Modelle direkt in ihre Produkte ein, so die aktuelle Studie von Black Duck. Die Anwendungen reichen von Datenverarbeitung über Computer Vision bis hin zu Prozessautomatisierung. Damit ist KI längst kein Experimentierfeld mehr, sondern fester Bestandteil des Entwicklungsalltags.
Doch die Governance hinkt deutlich hinterher. Mehr als 21 Prozent der befragten Firmen sind nicht überzeugt, dass ihre Prozesse ausreichen, um zu verhindern, dass KI-generierter Code neue Schwachstellen einführt. Hinzu kommt eine erhebliche rechtliche Unsicherheit: Knapp 20 Prozent der Organisationen geben an, nicht ausreichend in der Lage zu sein, Lizenzrisiken aus KI-generiertem Code zu kontrollieren. Da viele KI-Modelle auf frei verfügbaren Projekten trainiert wurden, können ungewollt Lizenzpflichten entstehen – ein potenzielles Haftungsrisiko.
Ein besonders heikles Thema ist »Shadow AI«. Rund 18 Prozent der Unternehmen wissen, dass Entwickler KI-Werkzeuge nutzen, obwohl dies offiziell untersagt ist. Damit entstehen unkontrollierte Risiken für Sicherheit, Compliance und geistiges Eigentum.
Software-Lieferkette: SBOMs werden geschäftskritisch
Parallel zur KI-Revolution hat sich das Thema Software Supply Chain zu einer Kernaufgabe entwickelt. Über 70 Prozent der Unternehmen müssen inzwischen eine Software Bill of Materials (SBOM) vorlegen. Während SBOMs ursprünglich vor allem für staatliche Vorgaben wie in den USA oder der EU gefordert wurden, ist inzwischen der Markt der Treiber: Kunden und Partner verlangen Transparenz über eingesetzte Komponenten.
Unternehmen reagieren darauf, indem sie Software Composition Analysis (SCA) zum Standard machen. Mehr als die Hälfte scannt mittlerweile nicht nur Hauptkomponenten, sondern auch kleine Code-Schnipsel auf Lizenz- und Sicherheitsrisiken. Diese Scans erfolgen zunehmend in Echtzeit, etwa direkt in der Entwicklungsumgebung oder bei jedem Build. Damit entwickelt sich ein »Shift-everywhere«-Ansatz, bei dem Sichtbarkeit in allen Phasen der Entwicklung gefordert ist.
Entwickleralltag: Zwischen Geschwindigkeit und Qualität
Die klassischen Spannungsfelder bleiben bestehen. Zwar sehen sich 71 Prozent der Befragten als erfolgreich, doch fast 40 Prozent räumen ein, dass dies nur durch Abstriche bei der Qualität gelingt. Der größte Engpass bleibt die wachsende Komplexität der Systeme, gefolgt von engen Release-Zeitplänen.
Besonders deutlich wird die Diskrepanz zwischen Management und Entwicklern. Während 86 Prozent der CTOs und leitenden Manager Projekte als erfolgreich betrachten, stimmen nur 56 Prozent der Entwickler zu. Die Studienautoren sprechen von einem »Reality Gap«: Führungskräfte sehen pünktliche Releases, Entwickler hingegen technische Schulden und akzeptierte Risiken, die den langfristigen Erfolg gefährden können.
Der Wandel des Entwicklerprofils
Neben den technologischen Trends verändert sich auch das Kompetenzprofil der Entwickler. Während C und C++ weiter wichtig bleiben, setzen inzwischen mehr als 80 Prozent der Unternehmen auf speichersichere Programmiersprachen wie Rust, Go oder C#. Python gewinnt vor allem im Zusammenhang mit KI und Machine Learning stark an Bedeutung und hat in der Beliebtheit bereits C++ überholt.
Damit verschiebt sich auch die Definition von »gutem Code«. Sicherheit und Speicherstabilität rücken stärker in den Vordergrund. Gleichzeitig wächst der Druck auf Entwickler, sich kontinuierlich weiterzubilden und neue Sprachen wie Rust oder Swift in ihren Werkzeugkasten aufzunehmen.
Handlungsempfehlungen
Die Autoren und Autorinnen der Studie geben konkrete Empfehlungen für verschiedene Rollen im Unternehmen.
Für Entwickler: KI-Assistenten sollten wie »talentierte, aber unzuverlässige Praktikanten« behandelt werden. Jede Codezeile muss überprüft, getestet und verifiziert werden. Moderne Werkzeuge sollten nahtlos in IDEs und CI/CD-Pipelines integriert werden, um Risiken frühzeitig zu erkennen.
Für Manager: Eine klare KI-Nutzungsrichtlinie ist zwingend notwendig, um »Shadow AI« einzudämmen. Zudem müssen Schulungen in speichersicheren Sprachen und im sicheren Umgang mit KI verstärkt werden. Sicherheit darf nicht länger als Kostenfaktor, sondern muss als Investition in Geschwindigkeit und Stabilität verstanden werden.
Für Sicherheits- und Compliance-Teams: Bedrohungsmodelle müssen KI-spezifische Risiken berücksichtigen. SBOMs sollten nicht nur als Compliance-Aufgabe, sondern als strategisches Werkzeug genutzt werden, das Transparenz schafft und Vertrauen bei Kunden und Partnern aufbaut.
Die Studie prognostiziert, dass bis 2026 eine neue Generation von KI-Governance-Tools entsteht, die den Wildwuchs an »Shadow AI« eindämmen soll. Gleichzeitig wird sich der Fachkräftemarkt weiter verändern: Entwickler mit Knowhow in speichersicheren Sprachen und KI-bezogenen Sicherheitspraktiken werden besonders gefragt sein.
Be the first to comment