Das Common Vulnerability Scoring System (CVSS) ist ein internationaler Standard zur Bewertung der Schwere von IT-Schwachstellen. Es hilft Unternehmen, Risiken zu priorisieren und Maßnahmen systematisch zu planen.
Künstliche Intelligenz hält Einzug in die Softwareentwicklung – schneller, produktiver, kosteneffizienter. Doch mit den jüngst bekannt gewordenen Schwachstellen in „Claude Code“, dem KI-basierten Coding-Assistenten von Anthropic, wird deutlich: Der Einsatz autonomer Entwicklungswerkzeuge verschiebt das Risiko fundamental. Es geht nicht mehr nur um fehlerhaften Code. Es geht um Remote Code Execution, API-Key-Diebstahl und eine neue Dimension von Supply-Chain-Risiken.
Die gemeldeten Schwachstellen – darunter CVE-2025-59536 und CVE-2026-21852 – erlauben unter bestimmten Bedingungen die Ausführung beliebiger Shell-Befehle sowie die Exfiltration sensibler API-Zugangsdaten. Besonders brisant: Allein das Öffnen eines manipulierten Repository kann ausreichen, um aktive API-Keys abzufangen und an Angreifer umzuleiten.
Die technische Detailtiefe ist komplex. Die strategische Botschaft ist einfach: KI-Tools sind selbst Teil der Angriffsfläche – und damit kritisch für Geschäftsmodell, Compliance und Wettbewerbsfähigkeit.
Die Untersuchungen von Check Point Research zeigen, dass verschiedene Mechanismen innerhalb von Claude Code ausgenutzt werden konnten – darunter Projekt-Hooks, Model Context Protocol (MCP)-Server sowie Umgebungsvariablen. Damit wurde das möglich, was bislang vor allem von klassischen Malware-Szenarien bekannt war: Codeausführung ohne bewusste Benutzerinteraktion.
Die offizielle Sicherheitsmeldung von Anthropic zu CVE-2026-21852 beschreibt den Kern des Problems: Wird Claude Code in einem von Angreifern kontrollierten Verzeichnis gestartet und setzt dieses eine manipulierte ANTHROPIC_BASE_URL, können API-Anfragen vor dem eigentlichen Vertrauensdialog an eine fremde Infrastruktur gesendet werden – inklusive potenziell sensibler Schlüssel (Siehe Hersteller-Advisory).
Die Bewertung der Schweregrade erfolgt über das etablierte CVSS-System (Common Vulnerability Scoring System), das vom NVD (National Vulnerability Database) verwaltet wird. CVE-2025-59536 wurde mit 8.7 als „hoch“ eingestuft.
Grundlagen zur CVSS-Systematik finden sich beim NVD des NIST:
Für das C-Level ist jedoch weniger die Zahl entscheidend, sondern die Tragweite: Konfigurationsdateien sind nicht mehr nur Kontext. Sie sind Ausführungsebene. Wer ein Projekt öffnet, führt potenziell Code aus.
Das klassische Supply-Chain-Risiko bezog sich bislang auf kompromittierte Bibliotheken oder manipulierte Third-Party-Komponenten. Jetzt erweitert sich die Bedrohung auf Automatisierungs- und Orchestrierungsebenen innerhalb von KI-Tools.
Laut MITRE beschreibt Remote Code Execution (RCE) eine Klasse von Angriffen, bei denen Angreifer aus der Ferne Schadcode auf einem Zielsystem ausführen können – oft mit erheblichen Folgen für Integrität und Verfügbarkeit (Definition bei MITRE )
Wenn ein KI-Tool automatisiert auf externe MCP-Server zugreift oder Projektkonfigurationen ohne explizite Bestätigung übernimmt, verschiebt sich die Verantwortung: Der Entwickler wird zum unbewussten Proxy eines potenziellen Angriffs.
Damit entsteht ein neues Szenario:
Für technologiegetriebene Unternehmen bedeutet das: Das geistige Eigentum befindet sich nicht nur im Code. Es liegt in den AI-Modellen, API-Integrationen, Versionshistorien und Cloud-Artefakten.
Vom Entwicklungswerkzeug zur strategischen Schwachstelle
Die CISA (Cybersecurity and Infrastructure Security Agency) warnt regelmäßig davor, neue Technologien ohne angemessenes Sicherheitsdesign produktiv einzusetzen. Grundprinzip ist dabei „Secure by Design“.
Leitlinien der CISA hierzu:KI-gestützte Coding-Assistenten sind faktisch privilegierte Systeme. Sie greifen auf Quellcode, Umgebungsvariablen, Schlüssel, Cloud-Integrationen und externe Services zu. Sie sind damit keine einfachen Produktivitätstools – sie sind hochautomatisierte Integrationsschnittstellen.
Wenn diese Systeme Manipulationen unterliegen, ergeben sich drei zentrale Managementrisiken:
Für CIOs und CISOs bedeutet das: Die Einführung von KI in der Softwareentwicklung ist kein IT-Projekt. Es ist ein Transformationsprojekt mit erweiterten Angriffspfaden.
API-Keys sind digitale Generalschlüssel. Sie autorisieren Systeme zum Zugriff auf Cloud-Dienste, KI-Modelle oder Unternehmensschnittstellen. Werden diese kompromittiert, kann der Angreifer:
OWASP beschreibt im Kontext von API-Sicherheit regelmäßig, dass Fehlkonfigurationen und unzureichende Authentifizierung zu den häufigsten Ursachen erfolgreicher Angriffe gehören (siehe OWASP API Security Top 10).
Im Fall von Claude Code war es eben keine klassische Schwachstelle in einer Programmierschnittstelle, sondern ein Konfigurationsmechanismus, der dazu führte, dass Anfragen vor einem Vertrauensdialog abgesetzt wurden.
Für Unternehmen bedeutet das: Selbst wenn Entwickler sicher programmieren, kann die Infrastruktur des Entwicklungsprozesses kompromittiert sein.
Das ist die eigentliche Zäsur.
Wer KI-gestützte Entwicklung einsetzt, beschleunigt Innovationszyklen. Doch genau diese Geschwindigkeit wird zum Risikator. Angreifer müssen nicht mehr direkt in Produktionssysteme eindringen. Es reicht, die Entwicklungsumgebung zu kompromittieren.
In Branchen mit hoher Forschungsintensität – etwa Automotive, Pharma, Maschinenbau oder Defence – kann ein kompromittiertes Repository die Vorstufe zu wirtschaftlichem Schaden in Millionenhöhe sein.
Industriespionage verlagert sich damit in:
Die Schwachstellen in Claude Code zeigen exemplarisch, wie gering die Hürde sein kann: Das Öffnen eines manipulierten Projekts genügt.
Für den Vorstand stellt sich daher nicht die Frage, ob KI genutzt werden soll, sondern wie sie sicher integriert wird.
Die Reaktion darf nicht operativ reaktiv sein, sondern strategisch strukturiert.
Erstens: Klare Richtlinien für den Einsatz von KI-Tools.
Zweitens: Härtung von Entwicklerarbeitsplätzen als hochsensible Zonen.
Drittens: Segmentation von API-Keys und Einführung eines strikten Secret-Managements.
Viertens: Security-by-Design-Reviews bei neuen KI-basierten Integrationen.
Zudem ist ein Update-Management essenziell: Die betroffenen Claude-Code-Versionen wurden inzwischen gepatcht. Doch in vielen Unternehmen laufen Werkzeuge monatelang ohne zentrale Kontrolle.
Security darf nicht von der Disziplin einzelner Entwickler abhängen.
Für CEOs steht die Sicherung des digitalen Geschäftsmodells im Vordergrund. Für CIOs ist es eine Frage der IT-Architektur. Für CISOs geht es um das Erkennen neuer Angriffsklassen. Für CSOs um den Schutz vor von außen gesteuerter Wirtschaftsspionage.
Die entscheidende Erkenntnis: KI-Tools sind privilegierte Systeme. Wer sie einführt, muss sie wie kritische Infrastruktur behandeln.
Warum ProSec jetzt entscheidend ist
Genau hier setzt ProSec an.
ProSec unterstützt Unternehmen dabei,
Als Spezialist für IT-Security, Wirtschaftskriminalität und Industriespionage analysiert ProSec nicht nur Schwachstellen, sondern Geschäftsrisiken. Unser Ansatz kombiniert Penetration Testing, Red Teaming, Architekturberatung und strategische Sicherheitsarchitektur.
Gerade bei KI-Tools geht es darum, technische Details in unternehmerische Resilienz zu übersetzen.
Abschließende Einordnung
Die Bedrohungslage verschiebt sich vom klassischen Exploit hin zu konfigurationsgetriebener Manipulation automatisierter Systeme. Sobald KI-Tools eigenständig externe Integrationen initialisieren, werden Konfigurationsdateien zur Angriffsfläche.
Unternehmen müssen anerkennen: Das Risiko beginnt nicht erst beim Deployment. Es beginnt beim Öffnen eines Projekts.
Wer KI produktiv nutzen will, muss ihre Infrastruktur strategisch schützen.
Remote Code Execution beschreibt eine Schwachstelle, die es Angreifern ermöglicht, aus der Ferne eigenen Code auf einem Zielsystem auszuführen. Sie zählt zu den kritischsten Angriffstypen, da sie vollständige Kontrolle über Systeme ermöglichen kann.
Ein API-Key ist ein digitaler Zugangsschlüssel zu einer Programmierschnittstelle. Er authentifiziert Systeme und erlaubt Zugriff auf Funktionen oder Daten. Wird er kompromittiert, kann ein Angreifer im Namen des Unternehmens handeln.
Ein Supply-Chain-Angriff zielt nicht direkt auf das Unternehmen, sondern auf vorgelagerte Komponenten wie Bibliotheken, Tools oder Integrationsplattformen. Wird diese Lieferkette kompromittiert, überträgt sich das Risiko auf alle Nutzer.
MCP ist ein Mechanismus, über den KI-Tools externe Integrationen steuern können. Es erlaubt die Kommunikation mit zusätzlichen Servern oder Tools – und erweitert damit die Angriffsfläche.
Das Common Vulnerability Scoring System (CVSS) ist ein internationaler Standard zur Bewertung der Schwere von IT-Schwachstellen. Es hilft Unternehmen, Risiken zu priorisieren und Maßnahmen systematisch zu planen.
