🟡 🏥 In der Praxis Veröffentlicht: · 4 Min. Lesezeit ·

Alberta scannte 466 Millionen Codezeilen in 20 Stunden: Regierung nutzt Claude für Cybersicherheit

Editorial-Illustration: Anthropic entdeckt Sicherheitslücken in umfangreichem staatlichem Quellcode

Die Regierung der kanadischen Provinz Alberta setzte Claude Code mit ~50 parallelen KI-Agenten ein, um 466 Millionen Codezeilen in 20 Stunden zu scannen – eine Aufgabe, die mit traditionellen Methoden 6,5 Jahre gedauert hätte. Das Projekt umfasste 1.280 Anwendungen und 3.400 Repositories in 27 Ministerien, von denen keines je eine systematische Sicherheitsrevision durchlaufen hatte.

🤖

Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.

Die Regierung der kanadischen Provinz Alberta veröffentlichte am 6. Juli 2026 die Ergebnisse eines Pilotprojekts zum Einsatz von KI-Agenten in der Cybersicherheit des öffentlichen Sektors. Das Ministerium für Technologie und Innovation setzte Claude Code (Modelle Opus und Sonnet) mit ~50 parallelen KI-Agenten ein, um Sicherheitslücken in staatlichen Systemen zu scannen und zu beheben – in einem Umfang, der mit traditionellen Methoden in keinem Haushaltszyklus realisierbar gewesen wäre.

Wie groß war der Umfang dieses Projekts?

Alberta unterhält als Provinz ~1.280 Anwendungen und 3.400 Repositories in 27 Ministerien. Ein entscheidendes Detail: Keine dieser Anwendungen hatte je eine systematische Sicherheitsrevision durchlaufen – nicht aus Nachlässigkeit, sondern wegen schlichter Kosten- und Ressourcenmathematik. Die traditionelle Schätzung für eine systematische Überprüfung dieses Umfangs belief sich auf 6,5 Jahre kontinuierlicher Arbeit.

KI-Agenten scannten 466 Millionen Codezeilen in nur 20 Stunden.

„Durch den Einsatz von KI zum Auffinden und Beheben von Schwachstellen in unseren Systemen haben wir in Stunden erreicht, was mit dem traditionellen Ansatz Jahre gedauert hätte”, erklärte Nate Glubish, Albertas Minister für Technologie und Innovation.

Methodik: Parallele Agenten und doppelte Kontrolle

Das Projekt folgte einem zweiphasigen Verfahren: automatisierte Rules-Engine im ersten Durchlauf, gefolgt von manueller ingenieurtechnischer Überprüfung der Ergebnisse. Die Agenten erkannten nicht nur Schwachstellen – sie generierten und testeten auch aktiv Patches, schrieben fehlende automatisierte Tests und erneuerten veraltete Teile der Codebasis.

Eine vom Ministerium auferlegte Kernbedingung: Alle KI-Arbeiten erforderten eine ingenieurtechnische Überprüfung und explizite Genehmigung vor dem Merge in die Produktionscode-Basis. KI war hier ein Beschleunigungswerkzeug, kein Ersatz für fachliche Aufsicht.

Das Projekt nutzte eine Red-Team/Blue-Team-Methodik: Agenten griffen in einem Durchlauf Systeme an und suchten nach Schwachstellen (Red Team), während andere Agenten verteidigten und sanierten (Blue Team) – was eine umfassendere Abdeckung ergab als ein standardmäßiges einstufiges Scanning. Jeder Durchlauf umfasste die Prüfung von ~95 Sicherheitskontrollen pro Anwendung.

Modernisierung veralteter Systeme

Neben Sicherheits-Patches umfasste das Projekt auch die Modernisierung von Legacy-Systemen – traditionell der aufwendigste und kostspieligste Teil der Infrastrukturwartung im öffentlichen Sektor.

Alberta plant die Konsolidierung von 185 Legacy-Anwendungen innerhalb eines Ministeriums in 16 moderne, mehrfach verwendbare Anwendungen – eine Aufgabe, die im normalen Tempo Jahre dauern würde. Projektdaten zufolge wurde eines der Legacy-Systeme in 4–5 Tagen modernisiert, während seine ursprüngliche Entwicklung 5 Monate gedauert hatte.

Diese Asymmetrie illustriert Muster, die für KI-assistierte Entwicklung charakteristisch werden: Die Grenzkosten der Systemmodernisierung sinken drastisch, wenn ein Agent Legacy-Code verstehen, Refactoring vorschlagen und Testabdeckung generieren kann – ohne dass ein neuer Ingenieur Wochen damit verbringen muss, fremden Legacy-Code zu verstehen.

Kontinuierliche Überwachung und breitere Wirkung

Das Sicherheitsprojekt blieb keine einmalige Intervention. Alberta hat spezialisierte Review-Agenten eingerichtet, die kontinuierlich ~95 Sicherheitskontrollen pro Durchlauf durch die Anwendungsbases überwachen. Dies verwandelt Sicherheit in einen dauerhaften automatisierten Prozess statt eines periodischen, kostspieligen Audits.

Die Provinz hat technische White Papers veröffentlicht und veranstaltet einen Industry Day zur Weitergabe der Methodik an andere Regierungen – was darauf hindeutet, dass Alberta diesen Ansatz als replizierbares Modell für den öffentlichen Sektor positioniert.

Das praktische Engagement von Claude in der staatlichen Cybersicherheit wirft auch eine breitere systemische Frage auf: Wenn 466 Millionen Codezeilen keine unüberwindbare Hürde für eine Sicherheitsprüfung mehr darstellen, verändert sich die Grundlogik der IT-Infrastrukturverwaltung im öffentlichen Sektor. Eine Revision ist keine Frage privilegierter Ressourcen mehr – sie wird zur Frage der Organisation und des Willens. Eine Regierung mit Zugang zu KI-Agenten hat keine technische Entschuldigung mehr für ungeprüfte Anwendungsbasen.

Albertas Modell bietet auch eine konkrete Antwort auf das chronische Problem des öffentlichen Sektors: angehäufte technische Schulden, die schneller wachsen als Teams sie abbauen können. Die Kombination aus massivem parallelem Scanning, automatischer Patch-Generierung und kontinuierlichem Monitoring verändert die Gleichung – statt einer binären Wahl zwischen Sicherheit und Kosten bietet KI eine dritte Option: systematische Abdeckung zu einem Bruchteil der traditionellen Kosten, ohne Abstriche beim ingenieurtechnischen Aufwand, der für jeden Merge verbindlich bleibt.

Häufig gestellte Fragen

Wie groß war der Umfang des Projekts?
Alberta verwaltet ~1.280 Anwendungen und 3.400 Repositories in 27 Ministerien. KI-Agenten scannten 466 Millionen Codezeilen in 20 Stunden unter Einsatz von ~50 parallelen Claude-Instanzen.
Wie viel schneller ist der KI-Ansatz im Vergleich zu traditionellen Methoden?
Eine Aufgabe, die traditionell 6,5 Jahre gedauert hätte, wurde in 20 Stunden erledigt – ein Beschleunigungsfaktor von etwa 2.800.
Arbeiteten die KI-Agenten autonom ohne Aufsicht?
Nein. Alle KI-Arbeiten erforderten eine ingenieurtechnische Überprüfung und explizite Genehmigung vor dem Merge in die Produktionscode-Basis. KI erkannte Schwachstellen und generierte Patches, Ingenieure validierten diese.