Was früher eine Excel-Datei mit Makros war, ist heute eine vollständige Webapplikation – gebaut in zwei Stunden von einer Fachabteilung ohne jede Software-Engineering-Erfahrung. Vibe Coding, also die KI-gestützte Softwareentwicklung durch Nicht-Entwickler, verändert die IT-Landschaft in Unternehmen fundamental. Dieser Beitrag ist ein Leitfaden für IT-Leiter und CIOs, die jetzt eine Strategie brauchen, um diese Entwicklung nicht nur zu tolerieren, sondern produktiv und sicher in ihre Organisation zu integrieren.
Das Wichtigste auf einen Blick
- Vibe Coding bezeichnet die Softwareentwicklung durch Nicht-Entwickler mit Hilfe von KI-Assistenten wie ChatGPT, Claude oder GitHub Copilot. Der Mensch beschreibt in natürlicher Sprache, die KI generiert lauffähigen Code.
- Hauptproblem für Unternehmen: Schatten-IT 2.0 – produktiv genutzte Webapplikationen ohne SSO, Logging, Security Scans oder kontrolliertes Hosting.
- Lösungsmuster: Zentrale KI-Plattform (z. B. CompanyGPT) + GitHub als Code-Drehscheibe + GitHub Copilot als KI-Reviewer mit Skills + CI/CD-Pipeline auf verwalteter Cloud-Infrastruktur (Azure App Service, Static Web Apps oder Kubernetes) + App-Katalog mit Reifegradmodell.
- Rolle der IT: Plattformbetreiber und Qualitätsgarant – nicht Verbieter, nicht selbst Entwickler.
Die Ausgangslage: Ein Praxisbeispiel aus dem deutschen Mittelstand
Vor kurzem erreichte uns die Anfrage eines produzierenden mittelständischen Familienunternehmens mit rund 500 Mitarbeitenden. Die IT-Abteilung stand vor einem Szenario, das wir inzwischen regelmäßig erleben: Ein Fachbereich hatte begonnen, mit Hilfe der unternehmensinternen KI-Plattform HTML-basierte Webtools zu entwickeln. Es handelte sich um Berechnungs- und Hilfstools im Kontext der eigenen Produkte und Dienstleistungen – also Anwendungen, die vorher als Excel-Berechnungen existiert hatten.
Der Druck auf die IT-Abteilung war hoch. Kurzfristig sollten diese Tools intern zum Testen bereitgestellt werden. Perspektivisch war sogar eine Veröffentlichung mit Login-Bereich für externe Partner und Kunden geplant. Die IT-Abteilung hatte weder Erfahrung in Webentwicklung noch in Webhosting und stand vor der Frage: Wie bauen wir einen soliden Unterbau, der diese neuen Erzeugnisse sicher und professionell in den Betrieb bringt?
Dieses Szenario ist kein Einzelfall. Es ist die neue Normalität.
Was ist Vibe Coding – und warum passiert es jetzt?
Der Begriff Vibe Coding wurde vom KI-Forscher Andrej Karpathy geprägt und beschreibt einen Entwicklungsansatz, bei dem Menschen mit KI-Tools wie ChatGPT, Claude, Cursor oder GitHub Copilot Software erstellen, indem sie in natürlicher Sprache beschreiben, was sie brauchen. Der Entwickler wird zum Dirigenten, der die KI orchestriert, statt selbst Code zu schreiben.
Die Barriere für die Erstellung funktionierender Software ist dadurch praktisch auf null gesunken. Was früher einen Frontend-Entwickler, einen Backend-Entwickler und einen DevOps-Engineer brauchte, kann heute ein Produktmanager, ein Controller oder ein Vertriebsmitarbeiter in wenigen Stunden mit einem KI-Chatbot erzeugen. Die Ergebnisse sind oft erstaunlich: funktionale Webapplikationen mit Formularen, Berechnungslogik, Datenbank-Anbindung und sogar Authentifizierungsmechanismen.
Die Adoption ist rasant. Laut Stack Overflow nutzen bereits 76 Prozent aller Entwickler KI-Tools in ihrem Arbeitsprozess. Noch bedeutsamer ist, dass diese Tools zunehmend von Nicht-Entwicklern eingesetzt werden. Was bisher als „Power-User mit Excel" galt, manifestiert sich jetzt als „Fachabteilung baut Webapplikation".
Die Risiken: Warum IT-Abteilungen sofort handeln müssen
Die Produktivitätsgewinne durch Vibe Coding sind real. Studien zeigen 55 Prozent schnellere Aufgabenfertigstellung und eine hohe Zufriedenheit bei den Nutzern. Aber diese Geschwindigkeit verdeckt erhebliche Risiken, die IT-Leiter kennen und adressieren müssen.
Schatten-IT 2.0
Was früher unkontrollierte Excel-Dateien und Access-Datenbanken auf Abteilungslaufwerken waren, sind heute voll funktionsfähige Webapplikationen, die auf privaten Cloud-Accounts, lokalen Rechnern oder kostenlosen Hosting-Diensten laufen. Diese neue Generation von Schatten-IT ist potenziell gefährlicher, denn eine Webapplikation hat im Gegensatz zu einer Excel-Datei eine Angriffsfläche im Netzwerk oder sogar im Internet.
Der CTO-Berater Keith Townsend bringt es auf den Punkt, wenn er die historische Parallele zu Lotus Notes zieht: Dezentralisierte Abteilungs-Workflows beschleunigten anfänglich die Produktivität, führten aber langfristig zu erheblicher operativer Komplexität und technischen Schulden. Vibe Coding hat das Potenzial, dieses Muster mit turbobeschleunigtem Werkzeug zu wiederholen.
Sicherheitsrisiken und Datenschutz
Vibe-Coding-Apps entstehen typischerweise ohne Sicherheitsbewusstsein. Die KI erzeugt funktionierenden Code, der aber häufig Schwachstellen enthält: fehlende Input-Validierung, SQL-Injection-Anfälligkeit, hartcodierte Zugangsdaten, fehlende Verschlüsselung, ungeprüfte Abhängigkeiten. Laut dem Snyk AI Code Security Report umgehen fast 80 Prozent der Entwickler Sicherheitsrichtlinien bei der Nutzung von KI-Tools, während nur etwa 10 Prozent der Organisationen den Großteil des KI-generierten Codes automatisiert scannen.
Besonders kritisch wird es, wenn diese Apps Zugang nach außen haben: als Portal für Kunden, als API-Schnittstelle für Partner oder als Tool, das Daten per E-Mail versendet. Ohne Sicherheitsprüfung können solche Anwendungen unbemerkt Unternehmensdaten preisgeben.
Technische Schulden und fehlende Wartbarkeit
KI-generierter Code ist funktional oft korrekt, aber architektonisch selten durchdacht. Es fehlen Logging, Fehlerbehandlung, saubere Trennung von Konfiguration und Code, automatisierte Tests und Dokumentation. Diese technischen Schulden akkumulieren sich schnell und werden erst sichtbar, wenn die Anwendung gewartet, erweitert oder in eine andere Umgebung überführt werden muss.
Fehlende Integration in die IT-Landschaft
Vibe-Coding-Apps sind Insellösungen. Sie nutzen eigene Authentifizierung statt zentralem SSO, speichern Daten in lokalen SQLite-Dateien statt in verwalteten Datenbanken, haben kein Monitoring, kein zentrales Logging und keinen definierten Deployment-Prozess. Jede einzelne App wird zum Sonderfall, der manuell betreut werden muss.
Design Principles: Was produktive Vibe-Coding-Apps erfüllen müssen
Die gute Nachricht: Die meisten Vibe-Coding-Apps sind technisch gesehen Webapplikationen. Für Webapplikationen existieren bewährte Standards und Design Principles, die seit Jahren im Microservices-Umfeld gelten. IT-Abteilungen müssen keinen neuen Regelkatalog erfinden, sondern die bestehenden Prinzipien auf diese neue Kategorie von Anwendungen anwenden.
Hier sind die zentralen Design Principles, die jede Vibe-Coding-App erfüllen muss, bevor sie produktiv genommen wird:
1. Zentrale Authentifizierung via SSO
Keine produktive App darf eine eigene Benutzerverwaltung mitbringen. Die Authentifizierung muss über den zentralen Identity Provider des Unternehmens laufen – in den meisten Fällen Microsoft Entra ID (ehemals Azure AD). Das gilt für interne Nutzer genauso wie für externe Zugänge über Gastkonten. So bleibt die Benutzerverwaltung zentral, Berechtigungen lassen sich konsistent verwalten und beim Austritt eines Mitarbeiters werden automatisch alle Zugänge gesperrt.
2. Zentrales Logging und Monitoring
Jede produktive App muss ihre Logs an ein zentrales System senden. Ob ELK Stack, Azure Monitor, Google Cloud Logging oder eine andere Lösung: Ohne zentrales Logging ist eine Fehleranalyse im Produktivbetrieb unmöglich. Dazu gehören strukturierte Log-Nachrichten im JSON-Format, Correlation IDs für die Nachverfolgung von Anfragen und automatische Alerts bei ungewöhnlichem Verhalten.
3. Zentrales Deployment auf verwalteter Infrastruktur
Vibe-Coding-Apps dürfen nicht auf dem Laptop eines Mitarbeiters oder auf einem privaten Cloud-Account laufen. Sie gehören auf eine zentral verwaltete Infrastruktur – sei es ein gemeinsam genutzter Kubernetes-Cluster, Azure App Service, Azure Static Web Apps oder ein vergleichbarer verwalteter Dienst. Die Wahl hängt vom vorhandenen Setup ab. Für Microsoft-lastige Organisationen bieten sich Azure Static Web Apps für einfache Frontend-Apps und Azure App Service für Apps mit Backend-Logik an. Für Organisationen mit bestehender Container-Infrastruktur ist ein gemeinsamer Kubernetes-Cluster die skalierbarste Lösung.
4. Externalisierte Konfiguration und Secrets Management
Zugangsdaten, API-Schlüssel und umgebungsspezifische Konfigurationen dürfen niemals im Quellcode stehen. Sie gehören in ein zentrales Secrets-Management-System wie Azure Key Vault, HashiCorp Vault oder Kubernetes Secrets. Die Anwendung liest ihre Konfiguration zur Laufzeit aus Umgebungsvariablen oder einem Konfigurationsdienst.
5. API Gateway und Sicherheitsperimeter
Wenn Vibe-Coding-Apps nach außen erreichbar sein sollen – für Kunden, Partner oder mobile Zugriffe – muss der Zugang über ein zentrales API Gateway oder einen Reverse Proxy laufen. Dort werden Authentifizierung, Rate Limiting, DDoS-Schutz und TLS-Terminierung zentral verwaltet, anstatt dass jede einzelne App diese Sicherheitsaspekte selbst implementieren muss.
6. Automatisierte Tests und Code-Qualität
Bevor eine Vibe-Coding-App produktiv genommen wird, muss ein Mindestmaß an Tests vorhanden sein. Dazu gehören zumindest grundlegende Funktionstests und ein automatisierter Security Scan (SAST/DAST). KI-Tools können diese Tests auch selbst generieren, wenn man sie in den Prompt integriert. Die Herausforderung besteht darin, diesen Anspruch als Standardvorgabe zu verankern – nicht als optionalen Bonus.
Der Engineering-Übergang: GitHub, GitOps und CI/CD als Brücke
Der kritischste Punkt in der gesamten Vibe-Coding-Strategie ist der Übergang von der „App auf dem Laptop" zum „produktiven System unter IT-Kontrolle". Dieser Übergang muss so einfach und reibungsarm wie möglich sein, damit er auch von Nicht-Entwicklern akzeptiert und praktiziert wird. GitHub und GitHub Actions sind dafür der ideale Anknüpfungspunkt.
GitHub als zentrale Plattform
Jede Vibe-Coding-App bekommt ein Repository auf GitHub (oder einer vergleichbaren Plattform wie GitLab oder Azure DevOps). Das ist der erste Engineering-Touchpoint: Der Code ist versioniert, nachvollziehbar und zentral gespeichert. Selbst wenn ein Fachabteilungsmitarbeiter keine Git-Erfahrung hat, kann der initiale Push durch die IT-Abteilung oder einen Partner erfolgen. GitHub Desktop und die Integration in Editoren wie VS Code oder Cursor machen den Einstieg niedrigschwellig.
CI/CD mit GitHub Actions
Sobald der Code in einem Repository liegt, greifen automatisierte Pipelines. Eine Standard-Pipeline für Vibe-Coding-Apps sollte diese Schritte umfassen:
- Build: Die Anwendung wird automatisch gebaut und auf Syntaxfehler geprüft.
- Security Scan: Ein automatisierter SAST-Scan (z. B. mit CodeQL, Snyk oder Trivy) prüft den Code auf bekannte Schwachstellen.
- Tests: Vorhandene Tests werden ausgeführt.
- KI-Code-Review (siehe nächster Abschnitt): GitHub Copilot prüft den Pull Request automatisiert gegen unternehmensspezifische Skills.
- Deployment in Staging: Die App wird automatisch in eine Staging-Umgebung deployed, wo sie getestet werden kann.
- Manuelles Gate: Vor dem Produktiv-Deployment muss eine manuelle Freigabe durch die IT-Abteilung oder einen designierten Reviewer erfolgen.
- Deployment in Produktion: Nach der Freigabe wird die App automatisch in die Produktionsumgebung deployed.
Dieser Pipeline-Ansatz ist der Schlüssel zur Skalierung. Er automatisiert die wiederkehrenden Prüfschritte und reduziert den manuellen Aufwand der IT-Abteilung auf das Review und die Freigabe. Gleichzeitig stellt er sicher, dass keine App ohne Sicherheitsprüfung und Qualitätskontrolle produktiv geht.
GitHub Copilot als KI-Reviewer mit unternehmensspezifischen Skills
Der konsequente nächste Schritt: Wo Code mit KI entsteht, sollte auch ein Teil des Reviews durch KI erfolgen – mit einem klaren Auftrag und klaren Leitplanken. GitHub Copilot Code Review kann seit 2024 Pull Requests automatisiert prüfen, Verbesserungsvorschläge inline kommentieren und über sogenannte Custom Instructions und Copilot Skills auf unternehmensspezifische Standards trainiert werden.
Für eine Vibe-Coding-Strategie ist das aus drei Gründen entscheidend:
1. Skalierung des Reviews ohne menschlichen Engpass Wenn zehn Fachabteilungen parallel Apps bauen, kann eine kleine IT-Abteilung nicht jeden Pull Request manuell durchsehen. Copilot übernimmt den ersten Durchlauf: Er erkennt fehlende Input-Validierung, hartcodierte Secrets, schlechte Fehlerbehandlung, fehlende Logging-Aufrufe, unsichere Dependencies und unzureichende Tests. Der menschliche Reviewer prüft anschließend nur noch das, was Copilot nicht eindeutig entscheiden konnte.
2. Custom Instructions als Code-Constitution
In jedem Repository wird eine .github/copilot-instructions.md hinterlegt. Sie beschreibt die unternehmensspezifischen Vorgaben, die Copilot bei jedem Review berücksichtigen muss. Beispiele:
- „Authentifizierung muss immer über Entra ID erfolgen. Lokale User-Tabellen sind verboten."
- „Logs werden ausschließlich strukturiert (JSON) an unseren zentralen Log-Endpunkt geschickt.
console.logohne Wrapper ist nicht erlaubt." - „Secrets werden über Azure Key Vault geladen, niemals aus
.env-Dateien im Repo." - „Jede neue Route muss eine OpenAPI-Spezifikation und mindestens einen Integrationstest besitzen."
Diese Datei wird einmal von der IT-Abteilung definiert und über ein Template-Repository auf alle neuen Vibe-Coding-Repos vererbt. So bekommen Fachabteilungen eine AI-gestützte Code-Constitution, ohne sich selbst Gedanken über Architekturprinzipien machen zu müssen.
3. Copilot Skills als modulare Prüflogik Mit Copilot Skills lassen sich spezialisierte Prüfschritte modular zusammenstellen – etwa ein Security-Skill, der speziell auf OWASP Top 10 prüft, ein Compliance-Skill für DSGVO-relevante Datenflüsse, ein Architektur-Skill, der die Einhaltung der internen Referenzarchitektur kontrolliert, und ein Test-Coverage-Skill. Jeder Skill lässt sich pro Repository aktivieren, je nach Reifegrad und Risikoklasse der App.
Wichtig: Copilot ersetzt keinen menschlichen Reviewer für sicherheitskritische oder kundenexponierte Apps. Für den Reifegrad „Produktiv extern" bleibt das Vier-Augen-Prinzip durch einen erfahrenen Engineer Pflicht. Aber Copilot übernimmt die Fleißarbeit, hebt die Grundqualität jedes Pull Requests und sorgt dafür, dass der menschliche Reviewer mit deutlich weniger trivialen Findings konfrontiert wird.
GitOps als Betriebsmodell
Für Organisationen, die auf Kubernetes setzen, bietet GitOps den nächsten Reifegrad. Der gewünschte Zustand der Infrastruktur und der Anwendungen wird deklarativ in Git beschrieben. Tools wie ArgoCD oder Flux synchronisieren den tatsächlichen Zustand des Clusters automatisch mit dem Zustand im Repository. Änderungen an der Konfiguration erfolgen ausschließlich über Pull Requests, die reviewed und freigegeben werden. Dadurch entsteht ein vollständiger Audit-Trail und ein konsistenter, reproduzierbarer Deployment-Prozess.
Befähigung der Fachabteilungen
Ein zentraler Erfolgsfaktor ist die Befähigung der Vibe Coder in den Fachabteilungen. Das bedeutet nicht, dass aus Controllern Software-Entwickler werden müssen. Aber sie brauchen ein Grundverständnis für folgende Themen:
- Wie Code in ein Repository kommt (Git Basics, GitHub Desktop).
- Warum Konfiguration und Secrets nicht in den Code gehören.
- Welche Informationen die KI braucht, um sicheren und wartbaren Code zu erzeugen (strukturierte Prompts, Vorgabe von Sicherheitsstandards).
- Wie der Review- und Freigabe-Prozess funktioniert.
Diese Befähigung ist eine Investition, die sich schnell auszahlt: Je besser die Fachabteilung die Grundprinzipien versteht, desto weniger Nacharbeit entsteht in der IT-Abteilung.
Governance und Organisationsmodell: Der unternehmensweite App-Katalog
Die operative Umsetzung braucht klare Strukturen. Wir empfehlen unseren Kunden den Aufbau eines zentralen App-Katalogs, der als organisatorisches und technisches Rückgrat für alle Vibe-Coding-Apps dient.
Die Idee des App-Katalogs
Der App-Katalog ist ein zentrales Verzeichnis aller im Unternehmen entwickelten Vibe-Coding-Apps. Für jede App werden definiert:
- Zweck und Fachbereich
- Verantwortlicher aus der Fachabteilung (Owner)
- Technischer Ansprechpartner in der IT oder beim externen Partner
- Reifegrad (Prototyp, intern getestet, produktiv intern, produktiv extern)
- Datenklassifizierung (keine personenbezogenen Daten, interne Daten, Kundendaten)
- Zugriffsmodell (nur intern, extern mit Login, öffentlich)
Reifegrad-Modell
Nicht jede Vibe-Coding-App muss dieselben Standards erfüllen. Ein Reifegrad-Modell hilft bei der Priorisierung.
| Reifegrad | Beschreibung | Anforderungen |
|---|---|---|
| Prototyp | Lokale Nutzung durch den Ersteller, kein produktiver Einsatz | Keine besonderen Anforderungen, aber Dokumentation des Zwecks |
| Intern getestet | Bereitstellung für eine begrenzte Testgruppe im Unternehmen | Repository auf GitHub, grundlegender Security Scan, Hosting auf verwalteter Infrastruktur |
| Produktiv intern | Nutzung durch Mitarbeitende im Regelbetrieb | SSO-Authentifizierung, zentrales Logging, CI/CD-Pipeline, Code Review, automatisierte Tests |
| Produktiv extern | Zugang für Kunden, Partner oder die Öffentlichkeit | Alle internen Anforderungen plus: Penetration Test, Datenschutzprüfung, API Gateway, SLA-Definition, professionelles Code Review mit Fokus auf Sicherheit |
Rollen und Verantwortlichkeiten
Die IT-Abteilung übernimmt in diesem Modell die Rolle des Plattformbetreibers und Qualitätsgaranten. Sie stellt die Infrastruktur bereit (Kubernetes, App Service, CI/CD-Pipelines), definiert die Standards und Guardrails, führt oder beauftragt Code Reviews für höhere Reifegrade, verwaltet den App-Katalog und betreibt das Monitoring.
Die Fachabteilung bleibt der fachliche Owner der App. Sie definiert Anforderungen, erstellt den initialen Code mit KI-Unterstützung und ist verantwortlich für fachliche Tests und Abnahme.
Ein externer Partner wie innFactory kann die technische Lücke schließen: Code Review und Qualitätssicherung durchführen, die Cloud-Infrastruktur aufsetzen und betreuen, die CI/CD-Pipelines definieren und warten, Fachabteilungen in Vibe-Coding Best Practices schulen und den Übergang von Prototyp zu produktiver App begleiten.
Schatten-KI vermeiden: CompanyGPT als zentrale KI-Plattform
Ein Aspekt, der in der Vibe-Coding-Diskussion oft übersehen wird: Viele Vibe-Coding-Aktivitäten finden heute über private KI-Accounts statt. Mitarbeitende nutzen ChatGPT, Claude oder andere Tools mit ihren privaten Konten, geben dabei Unternehmensdaten in die Prompts ein und erzeugen Code, der auf unkontrollierten Systemen entsteht. Dieses Phänomen haben wir bereits ausführlich unter dem Stichwort Bring Your Own AI beschrieben – siehe unseren Beitrag BYOAI: Herausforderungen für den Mittelstand.
Die Lösung für dieses Problem ist die Bereitstellung einer zentralen, DSGVO-konformen KI-Plattform. Mit CompanyGPT bieten wir genau diese Plattform: ein Enterprise-Fork von LibreChat, der alle relevanten KI-Modelle (Claude über AWS Bedrock, GPT über Azure OpenAI, Gemini über Vertex AI) über eine einheitliche Oberfläche verfügbar macht und dabei vollständig im eigenen Cloud-Tenant des Unternehmens läuft. Eine Detailbetrachtung der Modell- und Datenschutzaspekte finden Sie in unserem Beitrag CompanyGPT: Eigene KI-Modelle datenschutzkonform im Unternehmen einsetzen.
Für die Vibe-Coding-Strategie ist CompanyGPT aus mehreren Gründen relevant:
- Kontrollierter KI-Zugang: Alle Mitarbeitenden nutzen dieselbe Plattform mit zentraler Authentifizierung über Entra ID. Es gibt keine privaten Accounts und keine unkontrollierten Datenflüsse.
- Audit-Trail: Alle KI-Interaktionen sind nachvollziehbar. Das ist besonders relevant, wenn KI-generierter Code in produktive Systeme überführt wird.
- Prompt-Bibliotheken und Vorlagen: Unternehmen können Standard-Prompts bereitstellen, die Sicherheitsanforderungen, Coding-Standards und Architekturvorgaben bereits enthalten. So wird die Qualität des KI-generierten Codes von Anfang an gesteigert.
- Datenintegration über CompanyRAG: Interne Dokumentation, Richtlinien und technische Standards können als Wissensquelle angebunden werden, sodass die KI beim Vibe Coding automatisch die unternehmenseigenen Vorgaben berücksichtigt.
Mehr zu CompanyGPT und dem Unterschied zwischen Modell-APIs und App-Erlebnis finden Sie in unserem Beitrag Claude vs. ChatGPT: Warum Sie über AWS Bedrock oder Vertex AI nie die App bekommen, die Sie kennen.
Entscheidungsmatrix für IT-Leiter
| Situation | Empfohlene Maßnahme |
|---|---|
| Fachabteilung hat ein Tool mit KI gebaut und will es intern nutzen | Aufnahme in den App-Katalog, Repository auf GitHub anlegen, Security Scan, Hosting auf verwalteter Infrastruktur, SSO einbinden |
| Tool soll für Kunden oder Partner zugänglich werden | Zusätzlich: professionelles Code Review, Penetration Test, Datenschutzprüfung, API Gateway, SLA-Definition |
| IT-Abteilung hat kein Web-Development-Knowhow | Externen Partner einbinden für Infrastruktur-Setup, CI/CD-Pipeline, Code Review und Schulung der Fachabteilung |
| Mitarbeitende nutzen private KI-Tools für Code-Generierung | Zentrale KI-Plattform bereitstellen (z. B. CompanyGPT), klare Richtlinien kommunizieren, Audit-Trail sicherstellen |
| Mehrere Fachabteilungen erstellen unkoordiniert Apps | Governance-Modell mit App-Katalog etablieren, Reifegrade definieren, IT als zentralen Plattformbetreiber positionieren |
| Schnelle Bereitstellung für Tests gefordert, Standards noch nicht definiert | Staging-Umgebung auf verwalteter Infrastruktur bereitstellen, parallele Standards-Definition, keine Produktivnahme ohne Mindest-Guardrails |
| IT-Abteilung hat Sorge vor zu vielen Pull Requests aus Fachabteilungen | GitHub Copilot Code Review mit Custom Instructions aktivieren, sodass triviale Findings automatisch erkannt werden und der menschliche Reviewer entlastet wird |
| Apps weichen ständig von Architekturvorgaben ab | Vorgaben in .github/copilot-instructions.md als verbindliche Code-Constitution hinterlegen und über Template-Repository auf alle Repos vererben |
Checkliste: Die ersten 12 Schritte zur Vibe-Coding-Strategie
- Bestandsaufnahme: Welche Vibe-Coding-Apps existieren bereits im Unternehmen? Wo werden sie gehostet? Welche Daten verarbeiten sie?
- KI-Plattform zentralisieren: Eine DSGVO-konforme KI-Plattform wie CompanyGPT bereitstellen, damit Mitarbeitende keine privaten Accounts mehr nutzen müssen.
- GitHub-Organisation einrichten: Eine zentrale GitHub-Organisation anlegen, in der alle Vibe-Coding-Repositories verwaltet werden.
- Template-Repository definieren: Ein Vorlagen-Repository mit Standard-CI/CD-Pipeline,
.github/copilot-instructions.md, Beispiel-Tests und einem Standard-READMEbereitstellen. - Standard-CI/CD-Pipeline definieren: Eine Template-Pipeline mit Build, Security Scan, Test, KI-Review und Deployment-Stages erstellen, die für neue Repositories automatisch verfügbar ist.
- GitHub Copilot Code Review aktivieren: Copilot als automatischen Reviewer für jeden Pull Request einbinden und mit unternehmensspezifischen Custom Instructions ausstatten.
- Hosting-Infrastruktur aufsetzen: Einen verwalteten Hosting-Dienst (Azure App Service, Static Web Apps oder Kubernetes) bereitstellen, der als Zielumgebung für alle Vibe-Coding-Apps dient.
- SSO-Integration als Standard setzen: Eine Vorlage für die Integration von Entra ID bereitstellen, die in den Standard-Prompt für Vibe Coder aufgenommen wird.
- App-Katalog anlegen: Ein zentrales Verzeichnis aller Apps mit Owner, Reifegrad und Datenklassifizierung etablieren.
- Reifegrad-Modell kommunizieren: Klare Kriterien definieren, welche Anforderungen für welchen Reifegrad gelten, und diese im Unternehmen kommunizieren.
- Schulungsprogramm starten: Fachabteilungen in Vibe-Coding Best Practices, Git-Grundlagen und den unternehmenseigenen Standards schulen.
- Review-Prozess etablieren: Einen klaren Prozess definieren, wie Apps vom Prototyp in den produktiven Betrieb überführt werden – inklusive KI-Review durch Copilot, menschlichem Code Review und finaler Freigabe.
Fazit
Vibe Coding ist keine Modeerscheinung, sondern ein fundamentaler Wandel in der Art, wie Software in Unternehmen entsteht. Die ACM Technology Policy Council warnt, dass KI-gestütztem Vibe Coding zentrale Absicherungen fehlen. Forbes formuliert es noch direkter: Das eigentliche Risiko liegt nicht in der Technologie selbst, sondern darin, ob ein Unternehmen das Urteilsvermögen hat, zu steuern, was die KI nun bauen kann.
Die richtige Antwort ist weder ein Verbot noch ein unkontrolliertes Gewährenlassen. IT-Abteilungen müssen die Rolle des Plattformbetreibers und Qualitätsgaranten einnehmen, Infrastruktur und Standards bereitstellen, die den Übergang von der Vibe-Coding-App zum produktiven System so reibungsarm wie möglich machen, und Fachabteilungen befähigen, innerhalb klarer Guardrails selbstständig zu arbeiten.
Die Parallele zu Microservices-Architekturen ist kein Zufall: Dieselben Design Principles, die für produktive verteilte Systeme gelten – zentrales Logging, SSO, Containerisierung, externalisierte Konfiguration, API Gateways – gelten auch für Vibe-Coding-Apps. Der Unterschied liegt in der Zielgruppe: Statt erfahrener Entwickler müssen diese Standards für Fachabteilungen ohne Engineering-Hintergrund zugänglich und anwendbar gemacht werden.
Wer jetzt eine durchdachte Vibe-Coding-Strategie etabliert, gewinnt gleich doppelt: Die Innovationskraft der Fachabteilungen bleibt erhalten, und die IT behält die Kontrolle über Sicherheit, Compliance und Betrieb. Wer es nicht tut, riskiert eine neue Generation von Schatten-IT, die deutlich gefährlicher ist als es Excel-Dateien jemals waren.
Sie stehen vor genau dieser Herausforderung? Sprechen Sie mit uns über den Aufbau Ihrer Vibe-Coding-Strategie, die passende Cloud-Architektur und die Einführung von CompanyGPT als zentrale KI-Plattform.
FAQ
Was ist Vibe Coding?
Vibe Coding ist ein von KI-Forscher Andrej Karpathy geprägter Begriff für die Erstellung von Software mit Hilfe von KI-Tools wie ChatGPT, Claude oder GitHub Copilot. Statt selbst Code zu schreiben, beschreibt der Nutzer in natürlicher Sprache, was die Anwendung tun soll, und die KI generiert den entsprechenden Code. Dadurch können auch Menschen ohne Programmierkenntnisse funktionsfähige Anwendungen erstellen.
Warum ist Vibe Coding ein Problem für IT-Abteilungen?
Vibe-Coding-Apps entstehen typischerweise außerhalb der IT-Kontrolle: ohne zentrale Authentifizierung, ohne Logging, ohne Sicherheitsprüfung und ohne verwaltetes Hosting. Wenn solche Apps Unternehmensdaten verarbeiten oder nach außen erreichbar sind, entstehen Sicherheitsrisiken, Datenschutzprobleme und eine neue Form von Schatten-IT.
Muss man Vibe Coding verbieten?
Nein. Ein Verbot wäre kontraproduktiv und würde die Innovationskraft der Fachabteilungen blockieren. Die richtige Strategie ist die Kanalisierung: klare Standards definieren, Infrastruktur bereitstellen und einen Review-Prozess etablieren, der den Übergang vom Prototyp zum produktiven System regelt.
Welche Cloud-Dienste eignen sich für das Hosting von Vibe-Coding-Apps?
Für Microsoft-zentrierte Organisationen bieten sich Azure Static Web Apps (für reine Frontend-Apps) und Azure App Service (für Apps mit Backend-Logik) an. Beide Dienste unterstützen SSO über Entra ID und lassen sich in CI/CD-Pipelines integrieren. Für Organisationen mit Container-Erfahrung ist ein verwalteter Kubernetes-Cluster (AKS, GKE, EKS) die flexibelste Lösung.
Was hat CompanyGPT mit Vibe Coding zu tun?
CompanyGPT löst das Problem der Schatten-KI: Wenn Mitarbeitende private KI-Accounts für Vibe Coding nutzen, fließen Unternehmensdaten unkontrolliert in externe Systeme. CompanyGPT stellt eine zentrale, DSGVO-konforme KI-Plattform bereit, die im eigenen Cloud-Tenant des Unternehmens läuft. Zusätzlich können über Prompt-Bibliotheken und angebundene Wissensdatenbanken (CompanyRAG) Coding-Standards und Sicherheitsrichtlinien automatisch in den KI-generierten Code einfließen.
Wie viel Aufwand bedeutet der Aufbau einer Vibe-Coding-Strategie?
Der initiale Aufwand hängt von der vorhandenen Infrastruktur ab. Für eine Organisation mit bestehendem Microsoft/Azure-Setup und Entra ID ist der technische Grundbau (Hosting, CI/CD, SSO-Templates) in wenigen Wochen umsetzbar. Das organisatorische Rahmenwerk (App-Katalog, Reifegrade, Schulungen) wächst parallel. Wir empfehlen einen schrittweisen Ansatz: mit einer Pilotanwendung starten, den Prozess validieren und dann auf weitere Apps ausrollen.
Brauche ich als IT-Abteilung selbst Web-Development-Knowhow?
Nicht zwingend. Viele Organisationen, insbesondere im Mittelstand, haben keine internen Webentwickler. Ein externer Partner kann die technische Infrastruktur aufsetzen und betreuen, Code Reviews durchführen, die CI/CD-Pipelines warten und die Fachabteilungen schulen. Die IT-Abteilung konzentriert sich auf die Governance und das Zusammenspiel mit der bestehenden Infrastruktur.
Welche Rolle spielt GitHub Copilot in der Vibe-Coding-Strategie?
GitHub Copilot übernimmt zwei Rollen: Erstens als Coding-Assistent für die Vibe Coder selbst, zweitens als automatisierter Code-Reviewer im Pull-Request-Prozess. Über .github/copilot-instructions.md und Copilot Skills lassen sich unternehmensspezifische Standards (SSO-Pflicht, Logging-Format, Secrets-Handling, Test-Coverage) hinterlegen, sodass Copilot jeden Pull Request automatisiert dagegen prüft. Das skaliert das Code-Review massiv und entlastet die IT-Abteilung von trivialen Findings.
Was ist der Unterschied zwischen Vibe Coding und Citizen Development?
Citizen Development bezeichnete bisher die Erstellung von Anwendungen durch Fachanwender mit Low-Code/No-Code-Plattformen wie Microsoft Power Apps. Vibe Coding geht einen Schritt weiter: Statt visueller Editoren wird natürliche Sprache verwendet, und das Ergebnis ist echter Quellcode (HTML, JavaScript, Python, …) statt einer plattformgebundenen Konfiguration. Dadurch sind Vibe-Coding-Apps deutlich flexibler, aber auch anspruchsvoller in Betrieb und Governance.
Wie verhindere ich, dass Vibe Coder Unternehmensdaten in private KI-Tools eingeben?
Drei Bausteine: (1) Eine zentrale, DSGVO-konforme KI-Plattform wie CompanyGPT bereitstellen, die alle relevanten Modelle bündelt und über Entra ID abgesichert ist. (2) Klare Richtlinie und Schulung: private KI-Tools sind für Unternehmensdaten verboten. (3) Technische Kontrollen: DLP-Regeln und Netzwerk-Monitoring auf typische Endpunkte (api.openai.com, claude.ai etc.). Erfahrungsgemäß ist Punkt 1 der wirksamste Hebel – wenn das interne Tool gut funktioniert, sinkt der Reiz, private Accounts zu nutzen, fast vollständig.