Kategorie

How to

Kontakt

Nino Müller
n.mueller@substring.ch

Was ist ein Vibe Coding Audit?

Vibe Coding, also das Erstellen von Software durch natürliche Spracheingaben an Gen-AI KI-Tools wie Cursor, GitHub Copilot oder Claude Code revolutioniert die Softwareentwicklung. Mitarbeitende aus Fachabteilungen, Produktmanager und sogar Geschäftsleitungen bauen heute funktionale Prototypen in Stunden statt Wochen. Das Ergebnis: In vielen Unternehmen entstehen KI-generierte Applikationen, die produktiv im Einsatz sind, ohne dass sie jemals professionell geprüft wurden.

Ein Vibe Coding Audit ist die systematische Prüfung von KI-generiertem Code auf Sicherheit, Qualität, Wartbarkeit und Nachvollziehbarkeit. Das Ziel: die entstandene Software verstehen, bewerten und production-ready machen.

Kennt ihr das?

Die interne App, die "einfach funktioniert"

Ein Produktmanager hat mit Cursor ein internes Tool gebaut – ein Kundenportal, ein Ticketsystem, ein Planungstool. Es läuft seit Wochen, das Team nutzt es täglich, alle sind happy. Nur: Niemand hat geprüft, ob API-Keys hardcodiert sind, ob die Authentifizierung hält, oder was passiert, wenn das Ding unter Last steht. Der Code wurde nie reviewed, es gibt keine Tests, und die Person, die es gebaut hat, wechselt demnächst die Abteilung.

Wer schon mal ein Excel-File mit verschachtelten VBA-Makros geerbt hat, kennt das Gefühl. Nur dass diese neuen Blackboxen keine Spreadsheets sind, sondern vollständige Applikationen, mit Datenbankzugriff, API-Anbindungen und Zugriff auf produktive Systeme.

Das Risiko: Eine Applikation, die im Betrieb läuft und für die niemand technische Verantwortung trägt, das VBA-Macro von 2026, einfach in grösser.

Die KI-gestützte Auswertung, die alle lieben

Ein Daten-Team oder ein ambitionierter Analyst hat mit Hilfe von ChatGPT oder Claude ein Script geschrieben, das Daten aus dem Data Warehouse zieht, transformiert und in ein Dashboard einspeist. Die Geschäftsleitung nutzt die Zahlen für strategische Entscheidungen. Alles sieht professionell aus – Charts, Trends, Prozentangaben.

Wie das schiefgehen kann, zeigt ein viel beachteter Fall auf Reddit: Ein Unternehmen setzte seit Monaten einen KI-Agenten ein, der Fragen der Geschäftsleitung zu Metriken beantwortete. Der VP Sales traf Entscheidungen basierend auf den Zahlen, der CFO präsentierte sie dem Board. Bis jemand zufällig eine Zahl überprüfte, und feststellte, dass die KI die ganze Zeit Zahlen halluziniert hatte. Plausible Prozentsätze, die schlicht erfunden waren. Das Unternehmen musste jede Entscheidung aus Q4 rückwirkend überprüfen. Legal wurde eingeschaltet.

Quelle: r/analytics auf Reddit – "We just found out our AI has been making up analytics data for 3 months and I'm gonna throw up."

Das Risiko: Geschäftsentscheidungen auf Basis von Daten, die niemand validiert hat, erzeugt von Code, den niemand versteht.

Warum braucht es ein Vibe Coding Audit?

KI-generierter Code hat eine fundamentale Eigenschaft: Er funktioniert oft auf den ersten Blick, birgt aber versteckte Risiken. Die Veracode-Studie 2025 zeigt, dass rund 45% aller KI-generierten Code-Snippets Sicherheitslücken enthalten. Gleichzeitig akzeptieren viele Nutzer den generierten Code ohne ihn zu lesen – genau das macht Vibe Coding so schnell, aber auch so riskant.

Typische Probleme in Vibe-codierter Software

  • Security-Lücken: Hardcodierte Credentials, fehlende Input-Validierung, zu breite Berechtigungen, unverschlüsselte API-Tokens.
  • Architektur-Schwächen: Keine Trennung von Business-Logik, Datenbank und UI. Änderungen an einer Stelle brechen drei andere.
  • Fehlende Testbarkeit: Kein Unit-Testing, keine Integrationstests, keine CI/CD-Pipeline.
  • Technische Schulden: Duplizierter Code, generische Patterns, die nicht skalieren, fehlende Dokumentation.
  • Compliance-Risiken: Keine Nachvollziehbarkeit, wer welchen Code wann und warum erstellt hat. In regulierten Branchen kann das bei Audits schnell zum Problem werden – sei es unter rDSG, DSGVO, FINMA-Anforderungen oder branchenspezifischen Normen.

Vibe Coding als "neue Shadow IT"

Klassische Shadow IT bedeutete, dass Abteilungen eigene Server oder Cloud-Accounts nutzten, ohne die IT einzubeziehen. Vibe Coding ist die Evolution davon: Fachabteilungen erstellen ganze Applikationen mit KI-Tools, direkt verbunden mit den Systemen oder als eigenständige Tools. Diese "Shadow Software" lebt oft mitten in der produktiven Infrastruktur, ohne dass jemand den Code reviewed, getestet oder architektonisch eingeordnet hat.

Für Unternehmen entsteht ein wachsendes Risiko: Jede dieser Applikationen ist eine potenzielle Blackbox. Sie funktioniert, aber niemand versteht genau warum und was passiert, wenn sich Rahmenbedingungen ändern.

Was umfasst ein Vibe Coding Audit?

Ein professionelles Vibe Coding Audit geht über eine einfache Code-Review hinaus und umfasst typischerweise folgende Bereiche:

1. Security Assessment

Prüfung auf bekannte Schwachstellen (OWASP Top 10), Authentifizierungs-Lücken, exponierte API-Keys, fehlende Verschlüsselung und zu breite Zugriffsrechte.

2. Architektur-Review

Bewertung der Codestruktur: Ist die Software modular aufgebaut? Gibt es eine saubere Trennung von Concerns? Kann das System skalieren?

3. Explainability & Dokumentation

Der wichtigste und oft unterschätzte Teil: Was macht der Code genau? Warum wurden bestimmte Entscheidungen getroffen? Ein Audit erstellt die fehlende Dokumentation und macht die Blackbox transparent.

4. Test-Coverage & CI/CD-Readiness

Einrichtung oder Bewertung von automatisierten Tests, Qualitätsprüfungen und Deployment-Pipelines, damit Änderungen sicher ausgerollt werden können.

5. Compliance & Nachvollziehbarkeit

Gerade in der Schweiz stellen rDSG und branchenspezifische Regulierungen klare Anforderungen an die Nachvollziehbarkeit von Software. Ein Audit schafft den nötigen Audit-Trail: Welche Prompts wurden verwendet? Welche KI-Tools kamen zum Einsatz? Wer hat was freigegeben? Diese Transparenz ist keine Kür, sondern wird zunehmend zur Pflicht.

6. Roadmap zur Produktionsreife

Das Audit endet nicht mit einem Bericht, sondern mit einem konkreten Massnahmenplan: Was muss sofort gefixt werden? Was kann warten? Wie sieht die Zielarchitektur aus?

Wann ist ein Vibe Coding Audit sinnvoll?

  • Vor dem Go-Live: Ein Prototyp funktioniert und soll produktiv gehen, aber wurde nie professionell geprüft.
  • Nach einem Sicherheitsvorfall: Datenlecks, unerklärliches Verhalten oder Performance-Probleme.
  • Bei regulatorischen Anforderungen: Ein Audit oder eine Zertifizierung steht an und der KI-generierte Code muss nachvollziehbar sein.
  • Bei Team-Wechseln: Neue Entwickler übernehmen eine Codebase, die niemand dokumentiert hat.
  • Wenn Zahlen nicht stimmen: Auswertungen oder Dashboards liefern Ergebnisse, denen ihr nicht mehr blind vertraut.

So läuft ein Vibe Code Review bei Substring ab

Schritt 1: Erstgespräch & Scope

Ihr zeigt uns, was ihr gebaut habt. Wir klären: Was macht die Applikation? Wer nutzt sie? Auf welche Systeme und Daten greift sie zu? Gemeinsam definieren wir den Scope für das Review. Das Gespräch ist unverbindlich und kostenlos.

Schritt 2: Code-Übergabe

Ihr gebt uns Zugang zum Code per Git-Repository, ZIP oder direktem Systemzugang. Wir behandeln euren Code vertraulich und arbeiten auf Wunsch unter NDA.

Schritt 3: Review

Unsere Engineers gehen den Code systematisch durch. Je nach Scope prüfen wir:

  • Funktionalität: Tut der Code, was er soll? Gibt es versteckte Annahmen oder Halluzinationen in der Logik?
  • Security: Gibt es offene Flanken? Hardcodierte Secrets, fehlende Validierung, zu breite Berechtigungen?
  • Architektur: Ist der Code wartbar? Was passiert, wenn sich Anforderungen ändern?
  • Datenintegrität: Stimmen die Daten, die der Code produziert? Werden Quellen korrekt abgefragt und Pipelines sauber durchlaufen?
  • Nachvollziehbarkeit: Kann jemand anderes verstehen, was der Code tut – ohne die ursprünglichen Prompts zu kennen?

Schritt 4: Ergebnisbericht

Ihr bekommt einen klaren, verständlichen Bericht: Was haben wir gefunden? Was ist kritisch, was kann warten? Keine 80-seitige Doku, die niemand liest, sondern ein priorisierter Massnahmenplan, den ihr direkt umsetzen könnt.

Schritt 5: Besprechung & nächste Schritte

Wir gehen den Bericht gemeinsam durch. Ihr entscheidet, was ihr selbst fixt und wo ihr Unterstützung braucht. Wenn ihr wollt, packen wir direkt an – Refactoring, Absicherung, saubere Anbindung an eure Datenplattform. Wenn nicht, habt ihr trotzdem Klarheit.

Typischer Aufwand: 2–5 Tage, je nach Komplexität der Applikation.

Ihr habt eine Applikation, bei der ihr euch nicht sicher seid? Meldet euch, wir schauen es uns an.

kontakt

Wir freuen uns, von Ihnen zu hören!
Nino Müller
n.mueller@substring.ch