Project Lightwell: IBM investiert 5 Milliarden in Open-Source-Sicherheit

Das Gemeinschaftsprojekt „Project Lightwell" soll mit KI-gestützter Analyse Schwachstellen in Open-Source-Komponenten aufspüren und schließen.

IBM und sein Tochterunternehmen Red Hat haben am Donnerstag ein milliardenschweres Sicherheitsprogramm vorgestellt. Project Lightwell – benannt nach einer Lichtquelle in der Tiefe – ist als „Trusted Open Source Security Clearinghouse" konzipiert. Fünf Milliarden Euro fließen in den Aufbau einer Plattform, die künstliche Intelligenz nutzt, um Sicherheitslücken in frei verfügbaren Softwarebausteinen zu identifizieren und zu beheben.

Angesichts der rasanten Entwicklung neuer KI-Technologien und der damit verbundenen Cyberrisiken müssen Unternehmen ihre Sicherheitsstrategie grundlegend überdenken. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book: Cyber Security Trends jetzt herunterladen

Warum das auch deutsche Unternehmen betrifft

Open-Source-Software ist das Rückgrat der modernen IT-Infrastruktur. Von Cloud-Diensten über Finanztransaktionen bis hin zu Produktionssteuerungen – überall stecken offene Komponenten drin. Genau diese Abhängigkeit machen sich Angreifer zunehmend zunutze. Das neue Projekt kombiniert KI-Modelle mit einem Netzwerk von über 20.000 Sicherheitsspezialisten. Die Dienste werden über kommerzielle Abonnements angeboten.

Finanzbranche als Vorreiter

Die Pilotkunden lesen sich wie das Who's who der globalen Finanzwelt: Bank of America, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Visa und Wells Fargo sind mit an Bord. Auch die kanadische RBC und die US-Bank BNY sowie State Street beteiligen sich. Kein Zufall – die Finanzbranche gehört zu den am stärksten regulierten Sektoren und steht unter besonderem Druck, ihre Lieferketten abzusichern.

Welle von Sicherheitsinitiativen

Die Ankündigung reiht sich ein in eine ganze Serie von Brancheninitiativen der letzten Tage. Erst am Mittwoch stellte Google Cloud seine AI Threat Defense-Plattform vor. Das System integriert Technologie der übernommenen Firma Wiz mit generativer KI. Ziel: die Lücke zwischen Entdeckung und Behebung einer Sicherheitslücke drastisch zu verkürzen. Ein Tool namens CodeMender übernimmt dabei die automatisierte Fehlerbehebung.

Die Dringlichkeit solcher Maßnahmen untermauern aktuelle Erkenntnisse des Google Threat Intelligence Teams. Forscher berichten vom ersten dokumentierten Fall, bei dem Angreifer KI einsetzten, um eine Zero-Day-Lücke in einem Verwaltungstool zu entdecken und auszunutzen. Damit gelang es ihnen, die Zwei-Faktor-Authentifizierung zu umgehen. Internationale Hackergruppen nutzen KI inzwischen im industriellen Maßstab, um sich selbst umschreibende Schadsoftware zu entwickeln.

Angriffe auf die Lieferkette nehmen zu

Ein aktuelles Beispiel für die Verwundbarkeit der Software-Lieferkette ist der „Mini-Shai-Hulud"-Angriff. Seit dem 19. Mai greift die Schadsoftware npm-Pakete der AntV-Bibliothek an. Sie stiehlt CI/CD-Geheimnisse und Cloud-Zugangsdaten – verbreitet über gefälschte Provenienz-Metadaten.

Der Einsatz von künstlicher Intelligenz in der Software-Entwicklung unterliegt seit Kurzem strengen gesetzlichen Auflagen durch den EU AI Act. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den Überblick über Fristen, Pflichten und Risikoklassen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. Kostenlosen Leitfaden zur EU-KI-Verordnung sichern

Regulierungsdruck wächst

Die Politik reagiert. Indiens CERT-In veröffentlichte am Montag einen Entwurf mit strengen Fristen: Für bekannte Schwachstellen in internetzugänglichen Systemen soll ein Patch innerhalb von zwölf Stunden Pflicht werden. In Deutschland gilt seit Dezember 2025 die NIS2-Richtlinie. Sie schreibt für rund 29.500 betroffene Unternehmen „angemessene und verhältnismäßige" Sicherheitsstandards vor – ohne eine konkrete Stundenvorgabe.

Die Europäische Zentralbank erhöht ebenfalls den Druck. EZB-Vizepräsident Luis de Guindos forderte die Euro-Banken am Mittwoch auf, ihre Cybersicherheits-Investitionen zu steigern. Fortschrittliche KI-Modelle könnten strukturelle Schwächen in Banksystemen identifizieren – Grund genug für notwendige Nachrüstungen.

Mittelstand hinkt hinterher

Während Großbanken Projekte wie Lightwell vorantreiben, sieht es bei kleineren Unternehmen düster aus. Eine IDC-Studie im Auftrag von Sage vom April zeigt: Zwar betrachten 52 Prozent der kleinen und mittleren Unternehmen (KMU) Cybersicherheit als Top-Priorität – doch viele sind auf KI-gestützte Angriffe nicht vorbereitet. In Deutschland verfolgen nur 25 Prozent der KMU einen proaktiven Sicherheitsansatz. Bei Kleinstunternehmen ist die Lage noch prekärer.

Neue Werkzeuge für mehr Sicherheit

Auch andere Technologieanbieter bringen Lösungen auf den Markt. Kyndryl führte am Mittwoch KI-Funktionen für seine Kyndryl Bridge-Plattform ein. KI-Agenten analysieren dort Beobachtbarkeitsdaten, um IT-Ausfälle zu verhindern. Ebenfalls am Mittwoch veröffentlichte Eye Security das Open-Source-Tool Complisec. Es versorgt KI-Agenten mit Compliance-Kontext, um die unbefugte Verarbeitung personenbezogener Daten zu verhindern.

In Richtung souveräner Infrastruktur bewegt sich eine Partnerschaft zwischen Schaeffler und Spire Global. Die beiden Unternehmen unterzeichneten am Mittwoch eine Absichtserklärung zum Aufbau eines europäischen Geschäftsfelds für Raumfahrthardware und Satellitenplattformen. Schwerpunkt: Verteidigung, Wetter und zivile Sicherheit. Ziel ist es, bis Ende des Jahrzehnts kontrolliertere und sicherere Hardware-Lieferketten für die Region zu schaffen.

de | wirtschaft | 69434474 |