PHP

Automatisierung für Webseiten-Sicherheit - und warum das in Zeiten von KI so wichtig ist

Ein Gruß aus dem Maschinenraum.

Malte Wunsch

Vorletzte Woche haben mein Kollege Matthias und ich einen spannenden und lehrreichen Tag auf der heise devSec 2026 - KI und Security verbracht. Eine Grafik von Zero Day Clock wird uns ganz besonders im Gedächnis bleiben, weil sie wie keine andere zeigt: Es ist ernst.

Diagramm zur Time-to-Exploitation von Sicherheitslücken 2018–2026: Die durchschnittliche Zeit bis zur aktiven Ausnutzung sinkt von 2,3 Jahren auf 1,6 Tage. Quelle: zerodayclock.com, Stand 28.05.2026
Time-to-Exploitation von Sicherheitslücken 2018–2026, Quelle: zerodayclock.com, Stand 28.05.2026

Zwischen der Veröffentlichung einer Sicherheitslücke auf cve.org und ihren ersten in freier Wildbahn bestätigten Ausnutzungen vergingen 2026 im Schnitt also noch... 1,6 Tage! 2019 waren das noch über 1,6 Jahre.

Was ist da passiert? Ein Teil der Antwort ist sicherlich: KI. Zuletzt hat Anthropics Ankündigung von Mythos für viel Wirbel gesorgt. Mythos ist ein general-purpose language model, das sehr stark im Finden von Software-Sicherheitslücken ist. Anthropic hat Mythos noch nicht öffentlich freigegeben, sondern nur ausgewählten Software-Entwicklern zur Verfügung gestellt ("Project Glasswing"), damit diese die Sicherheitslücken zuerst schließen könnten.

Ich stand dem Wirbel aus verschiedenen Gründen erst sehr skeptisch gegenüber. Langsam sickerte aber auch in meine technische Bubble die Erkenntnis ein: Da ist was dran. Beispielsweise hat Mozilla die Zusammenarbeit zur Härtung des Firefox-Browsers gelobt. Mozillas CTO Bobby Holley schreibt: "Defenders finally have a chance to win, decisively."

Mythos hat auch das Symfony-Framework geprüft und 19 Sicherheitslücken gefunden. Das ist für uns und unsere Kunden von besonderer Bedeutung, weil die allermeisten unserer Projekte auf diesem Framework aufsetzen. Was ist danach passiert?

Symfony hat die Sicherheitslücken geschlossen, gestern Sicherheits-Updates bereitgestellt und schließlich die Sicherheitslücken veröffentlicht.

Und wir als webfactory? Wir haben die uns betreffenden Sicherheits-Updates bereits eingespielt. Über 160 an der Zahl. Verteilt auf 42 Projekte und knapp 50 Webseiten. Das hat 312 Minuten gebraucht. Obwohl wir jedes Update einzeln geprüft haben.

Wie konnten wir das schaffen: im Schnitt alle 2 Minuten ein Sicherheits-Update einspielen, für Individualsoftware? Der erste Teil der Antwort ist Symfonys hervorragende Vorarbeit. Der zweite: unsere Automatisierung.

Wir haben für alle unsere Projekte Dependabot so eingerichtet, dass automatisch für jedes neu veröffentlichte Sicherheits-Update ein Pull Request generiert wird - also ein konkreter Vorschlag, mit dem das jeweilige Sicherheits-Update eingespielt würde.

Für jeden dieser Pull Requests läuft dann automatisch unsere Continuous Integration-Pipeline. Insbesondere werden dann unter Berücksichtigung des Änderungsvorschlags alle automatisierten Software-Tests für das jeweilige Projekt ausgeführt. So können wir schnell sehen, ob alles, was wir getestet haben, mit den Änderungen noch funktioniert.

Und dieses System hat funktioniert. Sehr gut.

Bei einigen Pull Requests ächzte unsere Continuous Integration-Pipeline zwar unter der ungewohnt hohen Last - aber "einmal Gegentreten" hat immer geholfen.

Inhaltlich konnten wir nahezu alle Pull Requests problemlos annehmen.

Nur in einem einzigen Projekt gab es einen kleinen Fehler: Jenes Projekt wird noch mit PHP 8.3 betrieben und wir hatten übersehen, diese Beschränkung anzugeben. Deshalb schlug Dependabot unpassende Updates vor, die PHP 8.4 voraussetzten. Aber die konnten wir im Vorfeld abfangen.

Zwei Klicks - und schon ist ein Pull Request angenommen, eine neue Projektversion wird erstellt und dank Continuous Deploment automatisch in Betrieb genommen. Auch dabei gab es durch die ungewohnt hohe Last vereinzelt Schwierigkeiten, die sich aber innerhalb weniger Minuten beheben ließen und nicht auf den Betrieb durchgeschlagen sind.

Den Betrieb der neuen Projektversionen haben wir die ganze Zeit über in unserem Monitoring überwacht - mit Argusaugen, falls noch Fehler auftauchen würden, die nicht durch unsere automatisierten Software-Tests aufgedeckt werden konnten. Sehr erfreulich: Durch die Updates ist bisher kein einziger Fehler im Betrieb aufgetreten. Es bleibt zwar immer ein Restrisiko, dass Fehler erst später auftreten - aber auch dafür haben wir ja unser Monitoring. Fehler im Betrieb bleiben bei uns nicht unbemerkt (je nach Schwere der Fehler lassen wir uns auch SMS schicken, um sie nicht verpassen zu können).

Insgesamt muss ich sagen... dass ich unsere Automatisierung gerade sehr feiere!

Wie geht es in Zukunft weiter?

KI-gestützte Sicherheitsanalysen werden Sicherheitslücken zunehmend schneller aufdecken. Und Sicherheitslücken werden schneller ausgenutzt werden. Aber für verbreitete Software im professionellen Umfeld werden auch schneller Sicherheits-Updates bereitgestellt werden.

Unsere Infrastruktur (namentlich Dependabot, Continuous Integration und Continuous Deployment) ermöglichst es uns, damit Schritt zu halten.

Und mein Techniker-Hirn denkt schon weiter: Unter welchen Bedingungen können wir welche Teile vollautomatisieren, um Sicherheits-Updates noch schneller in Betrieb zu nehmen?

Interesse geweckt?

Wir hören gerne zu, wenn Sie Fragen oder Anmerkungen zu diesem Thema haben. Und wenn Sie ein Projekt, ein Produkt, ein Problem oder eine Idee mit uns besprechen möchten, freuen wir uns erst recht über ein Gespräch!

Kontakt aufnehmen

Hallo, wir sind webfactory 👋

Seit 1997 entwickeln wir mit Sitz in Bonn maßgeschneiderte Websites und Webanwendungen für Unternehmen und öffentliche Auftraggeber. Wir stehen für langlebige Lösungen, Barrierefreiheit und partnerschaftliche Zusammenarbeit auf technisch höchstem Niveau. Unter anderem bieten wir: