AWS Security Agent im Praxistest: Drei Wochen mit KI-gestützter Sicherheit

Die größte Sicherheitslücke in der Softwareentwicklung entsteht oft nicht vor dem Release, sondern danach. Entwicklerteams investieren Wochen in Bedrohungsanalysen, Codeprüfungen und Penetrationstests – doch sobald die Anwendung live geht, geraten diese Maßnahmen schnell in Vergessenheit. Das neue AWS Security Agent soll diese Lücke schließen, indem es nicht nur punktuell, sondern durchgehend Sicherheitschecks über den gesamten Lebenszyklus hinweg ermöglicht: von der Konzeption über die Entwicklung bis hin zum laufenden Betrieb.

Um die Wirksamkeit dieses Ansatzes zu prüfen, habe ich das Tool über drei Wochen hinweg an einem echten Projekt getestet: einer serverlosen Quiz-Plattform im Stil von Kahoot!. Was dabei herauskam, war keine klassische Sicherheitsprüfung, sondern eine praktische Einführung in die Möglichkeiten und Grenzen von KI-gestützter Sicherheit – einschließlich unerwarteter Erkenntnisse zu benutzerdefinierten Regeln und Integrationshürden.

Drei Sicherheitsphasen in einem Tool: Wie AWS Security Agent funktioniert

Das AWS Security Agent fasst Sicherheitsprüfungen in einem einzigen Arbeitsablauf namens Agent Space zusammen. Das Tool deckt dabei drei zentrale Phasen ab, die jeweils einen anderen Abschnitt im Entwicklungsprozess abdecken:

• Designprüfung: Analysiert Architekturpläne, Anforderungen und Spezifikationen automatisch auf Konformität mit AWS-Sicherheitsrichtlinien und individuellen Regeln.
• Codeprüfung: integriert sich direkt in GitHub und kommentiert Pull Requests mit sicherheitsrelevanten Hinweisen.
• Penetrationstest: Führt automatisierte Angriffsszenarien auf die laufende Anwendung durch – inklusive Generierung von Pull Requests zur Behebung gefundener Schwachstellen.

Seit dem 31. März 2026 ist die Penetrationsfunktion allgemein verfügbar, während Design- und Codeprüfung sich noch in der Vorschauphase befinden. Die zentrale Oberfläche vereinfacht die Handhabung, da Nutzer nicht zwischen verschiedenen Tools wechseln müssen.

Das Testobjekt: Eine serverlose Quiz-App mit echtem Umfang

Anstatt ein bewusst unsicheres Demo-Projekt zu nutzen, entschied ich mich für ein persönliches Vorhaben mit realer Komplexität: eine Echtzeit-Quizplattform mit folgenden Komponenten:

• Frontend: CloudFront für die Bereitstellung, kombiniert mit S3 für statische Dateien
• API: API Gateway für REST- und WebSocket-Verbindungen
• Backend: Python-basierte Lambda-Funktionen
• Datenbank: DynamoDB für die Speicherung von Quizfragen und Ergebnissen
• Authentifizierung: Cognito für Administratoren, rotierende 6-stellige Codes für Teilnehmer

Die Anwendung unterstützt Live-Quizze mit Echtzeitergebnissen, die über WebSockets übertragen werden. Mit rund 3.500 Codezeilen und 22 API-Endpunkten handelt es sich um ein ernsthaftes Projekt – aber kein unternehmenskritisches System. Damit eignet es sich ideal für einen Solo-Entwickler, der eine gründliche Sicherheitsprüfung durchführen möchte.

Designprüfung: KI, die mitdenkt und dazulernt

Die Designprüfung des AWS Security Agent akzeptiert verschiedene Dateiformate wie DOCX, Markdown, PDF, PNG und TXT. Das Tool extrahiert die Inhalte und bewertet sie automatisch anhand vorgegebener Sicherheitsrichtlinien. In meinem Test habe ich vier Markdown-Dateien hochgeladen:

• architecture.md: Systemdesign und Architektur
• requirements.md: Funktionale Anforderungen
• security-design.md: Sicherheitskonzepte und -kontrollen
• sequence-diagram.md: Authentifizierungs- und Datenflüsse

Ein besonderer Vorteil des Tools: Es analysiert die Dokumente nicht isoliert, sondern verknüpft die Inhalte und erstellt ein kohärentes Modell des Gesamtsystems. So kann es beispielsweise nachvollziehen, wie der Authentifizierungsprozess von der Sequenzdiagramm-Datei über das Sicherheitsdesign bis zur tatsächlichen Implementierung verläuft – und erkennt somit auch indirekte Schwachstellen.

Individuelle Regeln ohne technischen Overhead

Neben den vordefinierten AWS-Richtlinien lassen sich eigene Sicherheitsanforderungen in natürlicher Sprache hinzufügen. Ich testete dies mit zwei Regeln auf Japanisch:

• Protokollierung muss mindestens 365 Tage aufbewahrt werden
• Daten müssen in einer bestimmten AWS-Region verbleiben

Beide Vorgaben wurden korrekt erkannt und durchgesetzt. Diese Funktion ist besonders wertvoll für Unternehmen, die Sicherheitsrichtlinien bereits in natürlicher Sprache dokumentiert haben. Statt diese Regeln erst in ein formales Schema übersetzen zu müssen, können sie direkt übernommen werden – was den Aufwand für Compliance-Maßnahmen deutlich reduziert und auch Nicht-Sicherheitsexperten den Zugang erleichtert.

Die falsch-negative Erkenntnis: Warum mehrfache Prüfungen sinnvoll sind

Nach der ersten Designprüfung erhielt ich ein makelloses Ergebnis – bis ich meine benutzerdefinierten Regeln hinzufügte. Plötzlich tauchte eine neue Warnung auf: "Beste Praktiken für den Schutz von Geheimnissen". Diese war bei der ersten Prüfung nicht aufgefallen.

Dies ist kein Zeichen für eine Schwäche des Tools, sondern vielmehr ein Charakteristikum probabilistischer KI-Systeme. Im Gegensatz zu statischen Regeln, die exakt definierte Bedingungen abgleichen, generalisieren KI-Modelle Muster aus Daten. Eine einzelne Prüfung kann daher subtile Nuancen übersehen – genau wie ein menschlicher Prüfer bei der ersten Durchsicht möglicherweise einen entscheidenden Aspekt überliest. Die Lehre daraus: Bei kritischen Dokumenten sollten mehrere Prüfungen durchgeführt werden.

Ein weiterer Vorteil des Tools ist die einfache Iteration. Bestehende Prüfungen lassen sich mit angepassten Regeln klonen und wiederverwenden, was sich perfekt in agile Entwicklungsprozesse einfügt, in denen sich Designs häufig ändern.

Codeprüfung: GitHub-Integration, die Entwickler tatsächlich unterstützt

Die Codeprüfung des AWS Security Agent verbindet sich direkt mit GitHub und kommentiert Pull Requests über den Bot aws-security-agent[bot]. Eine wichtige Einschränkung: Ein AWS-Konto kann nur mit einem einzigen GitHub-Konto verknüpft werden. In größeren AWS-Organisationen mit mehreren Unterkonten muss die Integration daher zentralisiert werden.

Sobald die Verbindung hergestellt ist, agiert der Bot wie ein zusätzlicher Prüfer: Er scannt neue Codeänderungen nach geheimen Schlüsseln, unsicheren Abhängigkeiten oder falschen Konfigurationen und gibt sofortiges Feedback. Im Gegensatz zu traditionellen statischen Analyse-Tools ist die Integration nahtlos in den Entwicklungsworkflow eingebettet, sodass Entwickler die Hinweise genau in dem Moment erhalten, in dem sie den Code ändern.

In meinem Test war die Integration überraschend reibungslos. Die Kommentare des Bots waren präzise und umsetzbar – ein deutlicher Fortschritt gegenüber vielen Sicherheitswerkzeugen, die oft durch irrelevante Warnungen auffallen.

Fazit: Sicherheit als kontinuierlicher Prozess, nicht als einmalige Aufgabe

Das AWS Security Agent ist kein Allheilmittel, sondern ein Paradigmenwechsel: Statt Sicherheit als einmalige Meilenstein vor dem Release zu betrachten, wird sie zu einem dauerhaften Begleiter im Entwicklungsprozess. Die Fähigkeit, Designprüfungen zu wiederholen, Codefeedback zu automatisieren und sogar Penetrationstests durchzuführen, bedeutet, dass Sicherheit nicht mehr nach der Bereitstellung verschwindet.

Für Solo-Entwickler und kleine Teams ist dies ein enormer Fortschritt. Statt teure Pentest-Dienstleister quartalsweise zu beauftragen oder zu hoffen, dass niemand versehentlich API-Schlüssel in den Hauptbranch schiebt, erhalten sie konsequente, automatisierte Checks, die sich mit der Anwendung weiterentwickeln.

Die Zukunft wird zeigen, wie sich die Funktionen des Tools über die aktuelle Vorschauphase hinaus entwickeln. Doch bereits jetzt demonstriert AWS Security Agent eindrucksvoll, dass KI-gestützte Sicherheit nicht darauf abzielt, menschliches Urteilsvermögen zu ersetzen – sondern es zu unterstützen und zugänglicher zu machen. Der Weg zu sicherer Software führt nicht über Perfektion, sondern über kontinuierliche Verbesserung – und genau hier setzt das Tool an.