DevWerk Blog

Der Markt wird plötzlich voll von erstaunlich günstigen Software-Angeboten. Warum das kein Zufall ist, was „Vibe Coding" wirklich bedeutet und woran du einen verantwortungsvollen Anbieter erkennst.

Vibe Coding: Risiken von unkritisch übernommenem KI-Code
Entwicklung
Dominik Stier 9 Min. Lesezeit

Vibe Coding: Warum billige KI-Entwicklung Unternehmen 2026 teuer zu stehen kommt

Du wirst es gerade merken: Die Angebote für Software- oder Webprojekte werden auffällig günstig. Teilweise liegen neue Anbieter 40 bis 60% unter dem üblichen Marktpreis. Das ist kein besonders effizientes Geschäftsmodell. Das ist fast immer Vibe Coding. Für dich als Auftraggeber wird das zu einem der teuersten Trends 2026, wenn du den Unterschied nicht erkennst.

Was „Vibe Coding" wirklich bedeutet

Der Begriff stammt von Andrej Karpathy, Mitgründer von OpenAI. Gemeint ist eine neue Arbeitsweise: Entwickler beschreiben in natürlicher Sprache, was sie wollen. Tools wie Cursor oder Copilot liefern hunderte Zeilen Code. Der Entwickler drückt „übernehmen". Fertig. Er hat nicht wirklich nachvollzogen, warum der Code funktioniert. Er hat nur den Vibe akzeptiert.

Das ist für Prototypen eine Produktivitäts-Revolution. Für produktive Software, die dein Unternehmen jeden Tag benutzt, ist es ein tickendes Risiko. Genau dieses Risiko wird gerade an Mittelständler verkauft, ohne dass es benannt wird.

Warum die günstigen Angebote möglich geworden sind

Ein fähiger Entwickler produzierte 2022 etwa 30 bis 80 Zeilen getesteten, produktionsreifen Code pro Tag. Derselbe Entwickler, der KI unkritisch nutzt, produziert 2026 locker 500 bis 1.000 Zeilen. Das ist der gleiche Entwickler, der jetzt für den gleichen Funktionsumfang ein Fünftel des Aufwands anbietet. Solange nichts schief geht, sieht das Ergebnis gut aus.

Das Problem: Du zahlst heute für die Entwicklung. Du zahlst später für alles andere.

Die versteckten Folgekosten für Auftraggeber

Wir werden immer häufiger zu Projekten gerufen, bei denen der günstige Anbieter „geliefert" hat und die Probleme erst nach drei bis sechs Monaten aufschlagen. Die Muster sind erstaunlich konsistent:

  • Sicherheitslücken bei Grundthemen. Eine Stanford-Studie belegt: KI-generierter Code enthält signifikant häufiger klassische Schwachstellen wie SQL-Injections, fehlerhafte Session-Verwaltung oder unsichere Authentifizierung. Diese Fehler sind mit einem Tool-Scan sichtbar. Nur macht der Scan niemand.
  • Code, den niemand versteht. Sobald ein Bug auftritt oder eine Erweiterung gewünscht ist, sitzt der ursprüngliche Entwickler vor Code, den er selbst nicht geschrieben hat. Die Folge: Erweiterungen werden teurer als das Original.
  • Fehlende Architektur. KI optimiert lokal, nicht strukturell. Die einzelne Funktion sieht sauber aus. Das Gesamtsystem wird zum Durcheinander ohne konsistente Patterns. Ab einer gewissen Größe wird jede Änderung riskant.
  • Inkompatible Abhängigkeiten. KI wählt gerne Bibliotheken nach Häufigkeit im Trainingsset, nicht nach Langlebigkeit. Ergebnis: Ein Jahr später ist die halbe Library-Liste veraltet oder abandoned.
  • Keine Tests. Weil sie Aufwand kosten und weder Kunde noch KI sie einfordern. Bei jeder Änderung wird das System zur Black Box.

Der Haftungs-Schock, über den keiner redet

Die unbequeme rechtliche Wahrheit, die viele Auftraggeber erst nach dem Vorfall lernen: Du haftest für den Code, den dein Dienstleister liefert. Nicht OpenAI, nicht Microsoft, nicht der Tool-Anbieter. Du. Wenn dein Kundenportal wegen einer KI-generierten Injection-Lücke gehackt wird, bist du als Unternehmen für Datenschutzverstöße, Informationspflichten und Schadenersatz zuständig.

Das Bundesamt für Sicherheit in der Informationstechnik warnt seit 2024 ausdrücklich davor, generierten Code ohne Review in produktive Systeme zu übernehmen. Viele der günstigen 2026er-Angebote tun genau das. Nur wird es im Angebot nicht erwähnt.

Die 5 Fragen, die ein seriöser Anbieter beantworten können muss

Wenn du gerade Angebote einholst oder eines auf dem Tisch liegen hast, stell diese fünf Fragen. Die Antworten trennen verantwortungsvolle Entwicklung von Vibe Coding:

  1. „Wird KI im Entwicklungsprozess verwendet? Wenn ja, wie wird sichergestellt, dass generierter Code reviewed wird?" Erwartete Antwort: Ja, KI wird genutzt. Es gibt einen festen Review-Prozess, idealerweise Vier-Augen-Prinzip für kritische Bereiche.
  2. „Welche automatisierten Security-Prüfungen laufen in eurer Pipeline?" Erwartete Antwort: Konkrete Tools (z.B. SAST, Dependency Scanning, CSP-Checks) und wann sie anspringen.
  3. „Wie stellt ihr sicher, dass der Code in zwei Jahren noch wartbar ist?" Erwartete Antwort: Klar definierte Architektur, Coding-Standards, dokumentierte Entscheidungen.
  4. „Bekomme ich nach Projektende vollständigen Quellcode-Zugriff, inkl. Dokumentation, Tests und Deployment-Beschreibung?" Erwartete Antwort: Selbstverständlich. Alles andere ist ein Warnsignal.
  5. „Wer haftet vertraglich für Sicherheitslücken, die aus generiertem Code resultieren?" Erwartete Antwort: Ein klar formulierter Abschnitt im Vertrag. Nicht „ähm" oder „das regelt sich".

Wenn mehr als zwei dieser Fragen unbequeme Stille erzeugen, hast du deine Antwort: Das Angebot ist nur scheinbar günstig.

Was „verantwortungsvolle KI-gestützte Entwicklung" konkret heißt

Wir arbeiten bei DevWerk täglich mit KI-Tools. Cursor, Copilot, lokale Modelle. Unsere Produktivität hat sich deutlich erhöht. Aber wir haben eine Regel, die für jedes Projekt gilt:

Kein Code geht in Production, der nicht von einem erfahrenen Entwickler gelesen, verstanden und aktiv freigegeben wurde.

Das bedeutet in der Praxis:

  • Die KI ist ein schneller Junior, nicht ein Senior. Ihre Vorschläge sind ein Startpunkt, nicht das Ergebnis.
  • Sicherheitsrelevante Bereiche (Authentifizierung, Datenverarbeitung, Payment, externe APIs) werden besonders kritisch geprüft.
  • Architekturentscheidungen werden von Menschen getroffen, nie der KI überlassen.
  • Jedes Projekt hat eine kontinuierliche Security-Prüfung, kein einmaliges Audit am Ende.
  • Die Dokumentation erklärt nicht nur, was der Code tut, sondern warum er so strukturiert ist.

Warum das sich auch für dich wirtschaftlich rechnet

Ein verantwortungsvoll gebautes System ist in der Herstellung 15 bis 25% teurer als Vibe-Coded-Software. Das ist die ehrliche Wahrheit. Die andere ehrliche Wahrheit: Das vibe-gecodete System ist in den Gesamtkosten über 3 Jahre typischerweise 40 bis 80% teurer, sobald Wartung, Erweiterung, Security-Incidents und Re-Engineering eingerechnet werden.

Du zahlst also am Anfang 20% mehr, um über die Laufzeit mindestens 40% zu sparen. Plus du schläfst nachts besser. Plus du bekommst kein Compliance-Problem.

Fazit

Vibe Coding verschwindet nicht mehr. KI-gestützte Entwicklung ist die Gegenwart, nicht die Zukunft. Der Unterschied zwischen Wert und Risiko liegt nicht im Tool. Er liegt in der Haltung des Dienstleisters. Wer generierten Code unkritisch ausliefert, baut günstig Risiko. Wer ihn verantwortungsvoll einsetzt, baut schnell und solide. Das zweite ist, was du für dein Unternehmen willst.

Du hast ein laufendes Angebot oder ein bestehendes Projekt, bei dem du dir unsicher bist? Wir machen eine ehrliche Zweitmeinung. 30 Minuten, kein Pitch, nur eine technische Einschätzung, was der Code taugt und welche Risiken versteckt sind. Entweder wir finden gravierende Probleme und du kannst handeln, oder du bekommst Bestätigung, dass alles in Ordnung ist. Beides ist wertvoll. Zweitmeinung anfragen.

Zurück zum Blog Projekt besprechen

Weitere Beiträge

Statt isolierter Einzelartikel bauen wir Themen-Cluster. Diese drei Beiträge passen fachlich zum aktuellen Thema.