Wir haben gerade Claude Code Security in einem Kundenprojekt ausgerollt – das sollten Sie wissen.

KI-gestützte Security-Tools sind schon länger Gesprächsthema. Wir haben den Bereich genau verfolgt, mehrere Optionen getestet und kürzlich eine Entscheidung getroffen: Wir haben Claude Code Security in einem unserer Kundenprojekte produktiv eingesetzt.
Dieser Beitrag ist keine Produktempfehlung. Es ist ein ehrlicher Bericht – was das Tool kann, wo es stark ist, wo seine Grenzen liegen und wie es sich im Marktvergleich schlägt. Sobald wir mehr Daten haben, folgt ein ausführlicher Praxisbericht.

Was ist Claude Code Security?

Claude Code Security (CCS) ist eine in Claude Code integrierte Fähigkeit, entwickelt von Anthropic. Es scannt Codebasen nach Sicherheitslücken und schlägt gezielte Patches zur menschlichen Prüfung vor – bevor irgendetwas angewendet wird.

Der zentrale Unterschied zu klassischen statischen Analyse-Tools (SAST): CCS vergleicht Code nicht nur mit bekannten Muster-Signaturen. Es liest und versteht den Code ähnlich wie ein Security-Analyst – erkennt, wie Komponenten interagieren, wie Daten durch die Anwendung fließen, und findet komplexe Schwachstellen, die regelbasierte Tools typischerweise übersehen.

Jedes Finding durchläuft einen mehrstufigen Verifizierungsprozess. Claude prüft die eigenen Ergebnisse erneut, versucht, sie zu be- oder widerlegen, und vergibt Schweregradbewertungen, damit Teams zuerst das Wichtigste anpacken. Validierte Findings erscheinen in einem Dashboard, in dem Entwickler sie prüfen, den vorgeschlagenen Fix einsehen und freigeben können. Nichts wird ohne menschliche Freigabe angewendet.

Derzeit ist CCS als limitierte Research-Preview für Enterprise- und Team-Kunden verfügbar, mit beschleunigtem Zugang für Maintainer von Open-Source-Repositories.

Warum das für Enterprise-Entwicklung wichtig ist

Security-Teams haben ein strukturelles Problem: zu viele Schwachstellen, zu wenig Menschen für die Prüfung. Bestehende statische Analyse-Tools sind gut beim Erkennen bekannter Muster – offengelegte Passwörter, veraltete Verschlüsselungsverfahren. Die subtilen, kontextabhängigen Schwachstellen, die Angreifer tatsächlich ausnutzen, erfordern jedoch qualifizierte menschliche Analysten. Diese sind teuer und rar.

CCS schließt die Lücke zwischen automatisiertem Scanning und menschlicher Prüfung. Es ersetzt Ihr Security-Team nicht. Es liefert ein besser gefiltertes Backlog, mit dem sie arbeiten können.
 

Für Unternehmen mit regulierten Daten – Finanzdienstleistungen, Gesundheitswesen, Fertigung – ist das kein Nice-to-have. Die Kosten eines Sicherheitsvorfalls, finanziell wie reputationsbezogen, gehen in die Millionen. Tools, die die Zeit zwischen Einführung und Entdeckung einer Schwachstelle verkürzen, haben direkten Business-Mehrwert.

Die Pros

Kontextbewusste Analyse. CCS versteht Anwendungslogik, nicht nur Syntax. Es findet Dinge wie fehlerhafte Zugriffskontrolle oder Lücken in der Geschäftslogik, die Pattern-Matching-Tools routinemäßig übersehen.
Weniger False-Positive-Rauschen. Der mehrstufige Verifizierungsschritt filtert Findings heraus, die einer genaueren Prüfung nicht standhalten. Entwickler verschwenden weniger Zeit mit Sackgassen.
Menschliche Kontrolle ist eingebaut. Nichts wird automatisch angewendet. Jeder Vorschlag erfordert die Freigabe durch Entwickler. Für Enterprise-Kunden mit strengem Change-Management ist das entscheidend.
Konfidenzwerte pro Finding. CCS markiert, wie sicher es sich bei jedem Ergebnis ist. So können Teams effektiv priorisieren, statt jeden Alarm gleich zu behandeln.
Integriert sich in bestehende Workflows. Auf Basis von Claude Code fügt es sich in bestehende Review- und Iterations-Workflows ein.

Die Cons

Noch in limitierter Preview. CCS ist nicht allgemein verfügbar. Der Zugang erfordert einen Enterprise- oder Team-Plan, und der Rollout erfolgt schrittweise. Nicht jedes Team kann es heute nutzen.
KI-Grenzen gelten weiterhin. Wie jedes KI-System kann CCS Dinge übersehen und gelegentlich Findings liefern, die sorgfältiges menschliches Urteil bei der Auslegung benötigen. Es reduziert die Prüf-Last – ersetzt aber nicht den kompetenten Security-Reviewer.
Codebase-Komplexität beeinflusst die Qualität. Je größer und verwobener die Codebase, desto schwieriger ist es für jedes Tool – KI oder nicht –, alle Datenflüsse exakt nachzuvollziehen. Ergebnisse werden mit sauberer Architektur und gut strukturiertem Code besser.
Kein Ersatz für Security-Architektur. CCS findet Schwachstellen im Code. Es entwirft keine sicheren Systeme, verwaltet keine Zugriffsrichtlinien und ersetzt kein umfassendes Security-Programm. Es ist eine Schicht in einem Defense-in-Depth-Ansatz.
Unsicherheit bei Kosten und Zugang. Die Preisgestaltung für die Preview und künftige GA-Tiers ist noch nicht vollständig transparent. Budgetplanung ist schwieriger, solange das kommerzielle Modell in Arbeit ist.

Vergleich: Ähnliche Tools am Markt

Der Markt für KI-unterstütztes Security-Scanning wächst schnell. Hier eine kurze Landkarte weiterer Lösungen:

• GitHub Advanced Security (GHAS) — integriert sich direkt in GitHub-Workflows mit CodeQL für semantische Codeanalyse. Ausgereift, weit verbreitet, stark für Teams, die bereits auf GitHub sind. Weniger Fokus auf KI-generierte Patch-Vorschläge.
• Snyk — stark beim Scannen von Abhängigkeiten und Containern auf Schwachstellen. Exzellente, developer-freundliche UX und breite Ökosystem-Unterstützung. Weniger Schwerpunkt auf kontextabhängigen Logikfehlern im Anwendungscode.
• Checkmarx — Enterprise-taugliches SAST mit tiefer Anpassbarkeit. Mächtig, aber komplex in der Konfiguration. Eher für große Security-Teams mit dedizierten AppSec-Ressourcen.
• Semgrep — schnelle, anpassbare statische Analyse mit starker Open-Source-Community. Regelbasiert, also nur so gut wie die Regeln, die Sie schreiben oder übernehmen. Keine KI-native Reasoning-Ebene.
• SonarQube — weit verbreitet für Codequalität und Security. Gute Basisabdeckung, starke CI/CD-Integration, aber primär pattern-basiert. Die KI-Funktionen sind neuer und noch in der Reifung.
• Veracode — Enterprise-SAST und -DAST mit langjähriger Erfolgsbilanz. Gründlich, aber langsamer in der Integration und eher schwergewichtig für Teams, die agiles Security-Scanning wollen.

Alle diese Tools haben ihre Berechtigung. Die Wahl hängt von Ihrem Stack, Ihrem Threat Model, der Teamkapazität und Ihren Compliance-Anforderungen ab. CCS besetzt eine spezielle Position: KI-natives Reasoning über Codelogik, mit Human-in-the-Loop bei Patch-Vorschlägen. Das unterscheidet es von den meisten oben genannten.

Warum wir Claude Code Security gewählt haben

Nach der Evaluierung der Optionen haben wir uns aus einem konkreten Grund für den Einsatz von CCS in einem Kundenprojekt entschieden: Die Komplexität der Codebase sorgte dafür, dass Pattern-Matching-Tools viel Rauschen erzeugten und gleichzeitig die schwerer zu findenden Logikfehler übersahen. Wir brauchten etwas, das über die Anwendung schlussfolgern kann – nicht nur sie scannen.

Das Modell mit menschlicher Freigabe passte außerdem zu den Change-Management-Anforderungen unseres Kunden. Keine automatischen Patches, vollständige Entwickleraufsicht, revisionssichere Findings.

Wir erklären es nicht zur endgültigen Antwort. Es ist ein Tool, das ein spezifisches Problem gut adressiert. Wir verfolgen die Ergebnisse genau.

Was als Nächstes kommt

Wir veröffentlichen einen Folgebeitrag mit konkreten Beobachtungen aus dem Einsatz – was CCS gefunden hat, was es übersehen hat, wie es den Review-Workflow des Teams beeinflusst hat und ob die Findings unserem eigenen Security-Review standgehalten haben. Wir geben Ihnen eine klare Einschätzung, was für Ihre Situation sinnvoll ist.

Artikel basierend auf: https://www.anthropic.com/news/claude-code-security.