Skip to main content
Vibe Coding

Sicher vibe-coden: Security-Checkliste für KI-generierten Code

KI-generierter Code funktioniert oft auf Anhieb, doch funktionieren heisst nicht sicher sein. Diese praxiserprobte Checkliste zeigt, worauf Schweizer KMU bei Vibe Coding achten müssen, von Zugriffskontrolle über Secrets bis zum revidierten Datenschutzgesetz.

Daniel Müller11 Min. Lesezeit
Sicher vibe-coden: Security-Checkliste für KI-generierten Code

Vibe Coding macht das Bauen von Software erstaunlich schnell. Ein paar Sätze, und eine funktionierende App steht. Doch genau diese Geschwindigkeit verführt zu einem gefährlichen Trugschluss: Was läuft, scheint fertig. In Wahrheit ist Funktion nur die halbe Miete. Die andere Hälfte, Sicherheit, fehlt im generierten Code überdurchschnittlich oft, und sie wird übersehen, bis es zu spät ist.

Dieser Artikel ist eine praxiserprobte Checkliste. Er stammt aus der täglichen Arbeit mit KI-generiertem Code für Schweizer KMU und benennt die Schwachstellen, die immer wieder auftauchen, sowie die konkreten Schritte, um sie zu schliessen, bevor echter Schaden entsteht.

Warum KI-Code besonders aufmerksam geprüft werden muss

Ein KI-Modell optimiert auf eine Sache: dass der Code die beschriebene Aufgabe erfüllt. Sicherheit ist kein Ziel, das es von selbst verfolgt. Es warnt nicht, wenn eine Datenbank offen ist oder ein Schlüssel im Frontend landet. Es liefert, was funktioniert, nicht, was sicher ist. Diese Lücke zwischen "läuft" und "ist sicher" ist die zentrale Gefahr.

Hinzu kommt ein menschlicher Faktor. Wer ohne tiefes technisches Verständnis baut, kann eine Schwachstelle gar nicht erkennen. Im Demo sieht alles gut aus. Erst wenn echte Nutzer und echte Daten ins Spiel kommen, zeigt sich der Riss. Genau deshalb braucht KI-generierter Code, der produktiv geht, eine systematische Prüfung.

In der täglichen Arbeit hat sich gezeigt, dass ein agentisches Werkzeug, das ganze Projekte versteht, beim Aufspüren solcher Probleme hilft. Claude Code etwa kann den Code systematisch durchgehen, Schwachstellen benennen und Tests vorschlagen, statt nur Zeilen zu vervollständigen.

Claude CodeEmpfehlung

Agentisches Coding direkt im Terminal, ohne neuen Editor

4.8Kostenpflichtig
Ansehen

Das ersetzt das menschliche Urteil nicht, aber es ist ein wertvoller zweiter Blick, der die Prüfung gründlicher und schneller macht. Die Erfahrung aus zahlreichen KMU-Projekten zeigt: Die folgenden vier Bereiche verursachen den Grossteil der ernsten Vorfälle.

Punkt 1: Zugriffskontrolle auf Datenebene

Die häufigste und gefährlichste Lücke ist eine Datenbank, die zu viel preisgibt. KI-Tools bauen gerne eine App, die funktioniert, vergessen aber die Regeln, die festlegen, wer welche Daten sehen darf. Das Ergebnis: Ein Nutzer kann die Daten aller anderen abrufen, oft mit einer simplen Anfrage.

Die Lösung heisst Zugriffskontrolle auf Zeilenebene, etwa Row Level Security bei Datenbanken wie PostgreSQL. Damit legst du fest, dass jeder Nutzer ausschliesslich seine eigenen Daten sieht. Prüfe vor jedem Produktiveinsatz: Sind diese Regeln aktiv? Sind sie streng genug? Eine offene Datenbank ist unter dem revidierten Schweizer Datenschutzgesetz ein gravierendes Problem.

Punkt 2: Secrets gehören nie ins Frontend

API-Schlüssel, Datenbankpasswörter und Zugangsdaten sind die Schlüssel zum Königreich. KI-generierter Code packt sie erschreckend oft an die falsche Stelle, ins Frontend, wo jeder Besucher sie über die Entwicklertools des Browsers auslesen kann. Wer einen solchen Schlüssel findet, kann damit auf deine Dienste zugreifen, Daten abrufen oder Kosten verursachen.

Die Regel ist absolut: Secrets gehören ausschliesslich auf den Server, niemals ins Frontend. Verwende Umgebungsvariablen und prüfe gezielt, ob im ausgelieferten Code Schlüssel sichtbar sind. Sollte je ein Schlüssel exponiert gewesen sein, muss er sofort widerrufen und ersetzt werden, das Ändern allein genügt nicht.

Ein exponierter Schlüssel ist ein kompromittierter Schlüssel

Wurde ein API-Schlüssel auch nur kurz im Frontend oder in einem öffentlichen Repository sichtbar, gilt er als kompromittiert. Widerrufe ihn umgehend und erzeuge einen neuen. Verlasse dich nie darauf, dass ihn niemand bemerkt hat, automatisierte Scanner finden exponierte Schlüssel oft innerhalb von Minuten.

Punkt 3: Eingaben validieren und Ausgaben absichern

Eine App, die Nutzereingaben ungeprüft verarbeitet, ist eine Einladung für Angriffe. Klassische Schwachstellen wie das Einschleusen von Schadcode über Formularfelder entstehen, wenn Eingaben blind vertraut wird. KI-Tools bauen oft die fröhliche Variante, die alles akzeptiert, und nicht die misstrauische, die alles prüft.

Stelle sicher, dass jede Eingabe validiert wird, bevor sie verarbeitet oder gespeichert wird, und dass Daten beim Anzeigen sauber behandelt werden. Das gilt besonders für alles, was in eine Datenbankabfrage oder eine Webseite eingebettet wird. Diese Prüfung wirkt unscheinbar, verhindert aber eine ganze Klasse verbreiteter Angriffe.

Punkt 4: Abhängigkeiten aktuell halten

Moderne Apps bauen auf Dutzenden fremder Code-Bausteine, sogenannten Abhängigkeiten. Viele davon enthalten irgendwann bekannte Schwachstellen, für die es Korrekturen gibt. Wer veraltete Versionen verwendet, schleppt diese Lücken mit. KI-Tools greifen nicht immer zur aktuellsten, sichersten Version.

Prüfe regelmässig, ob die verwendeten Bausteine aktuell sind und keine bekannten Schwachstellen aufweisen. Es gibt einfache Werkzeuge, die das automatisch melden. Dieser Schritt ist schnell erledigt und schliesst Lücken, die sonst über lange Zeit offen bleiben.

Sicherheit ist ein Prozess, kein Zustand

Eine einmalige Prüfung reicht nicht. Neue Schwachstellen werden laufend entdeckt, und jede Änderung am Code kann neue Lücken öffnen. Etabliere Sicherheit als wiederkehrende Routine, etwa bei jedem grösseren Update, statt sie als einmaligen Haken abzuhaken.

Datenschutz nach Schweizer Recht

Über die technische Sicherheit hinaus stellt das revidierte Datenschutzgesetz klare Anforderungen. Personendaten müssen angemessen geschützt, zweckgebunden verarbeitet und nachvollziehbar behandelt werden. Für KI-generierten Code, der Kundendaten verarbeitet, bedeutet das: Zugriffskontrolle, Verschlüsselung sensibler Daten und eine klare Vorstellung davon, wo die Daten liegen und wer darauf zugreift.

Wer mit externen Diensten arbeitet, etwa einem gehosteten Backend, sollte zudem prüfen, ob die Daten in einer geeigneten Region liegen und ob die vertraglichen Grundlagen stimmen. Diese Punkte sind keine Bürokratie, sondern der rechtliche Rahmen, in dem ein Schweizer KMU agiert. Sie zu ignorieren, kann teuer werden, finanziell wie reputationsbezogen.

Die Checkliste auf einen Blick

Bevor eine mit Vibe Coding gebaute Anwendung mit echten Daten live geht, sollten diese Punkte abgehakt sein. Sind die Zugriffskontrollen auf Datenebene aktiv und streng? Liegen alle Secrets ausschliesslich auf dem Server? Werden Eingaben validiert und Ausgaben sauber behandelt? Sind die Abhängigkeiten aktuell und frei von bekannten Schwachstellen? Erfüllt die Verarbeitung von Personendaten die Anforderungen des revidierten DSG?

Wer alle fünf Fragen ehrlich mit Ja beantworten kann, hat die häufigsten Fallen vermieden. Im Zweifel, und gerade bei sensiblen Daten, gehört diese Prüfung in fachkundige Hände. Die Investition ist gering im Vergleich zum Schaden, den eine einzige übersehene Lücke anrichten kann.

Vibe Coding ist ein Geschenk für die Geschwindigkeit, aber Geschwindigkeit ohne Sicherheit ist ein Risiko mit Ansage. Die gute Nachricht: Die meisten Schwachstellen sind bekannt, vorhersehbar und mit einer systematischen Checkliste vermeidbar. Für Schweizer KMU, die KI-generierten Code verantwortungsvoll einsetzen wollen, ist diese Disziplin kein Bremsklotz, sondern die Grundlage, auf der sich das Tempo der neuen Werkzeuge überhaupt erst gefahrlos nutzen lässt.

Häufige Fragen

Ist KI-generierter Code unsicher?+

Nicht grundsätzlich, aber er enthält überdurchschnittlich oft Schwachstellen wie fehlende Zugriffskontrollen, offene Schnittstellen oder im Frontend gelandete Schlüssel. Die KI optimiert auf Funktion, nicht auf Sicherheit. Darum gehört jeder generierte Code, der mit echten Daten arbeitet, vor dem Produktiveinsatz geprüft.

Welche Sicherheitslücken treten bei Vibe Coding am häufigsten auf?+

Am häufigsten sind fehlende oder zu lasche Zugriffskontrollen auf Datenebene, im Frontend exponierte API-Schlüssel, unvalidierte Eingaben und veraltete Abhängigkeiten mit bekannten Schwachstellen. Diese vier Punkte verursachen einen Grossteil der ernsten Vorfälle.

Was muss ich als Schweizer KMU beim Datenschutz beachten?+

Das revidierte Datenschutzgesetz verlangt, dass Personendaten angemessen geschützt und nur zweckgebunden verarbeitet werden. KI-generierter Code, der Kundendaten verarbeitet, muss Zugriffskontrolle, Verschlüsselung und nachvollziehbare Verarbeitung gewährleisten. Im Zweifel gehört eine fachkundige Prüfung dazu.

Über den Autor

Daniel Müller

Senior Developer & SEO-Stratege

Daniel Müller ist Senior Developer und SEO-Stratege bei DLM Digital in Zürich. Mit über 10 Jahren Erfahrung in Webentwicklung, SEO, GEO/AEO und KI-Integration begleitet er Schweizer KMU bei der digitalen Transformation. Im DLM Magazin schreibt er über KI, Vibe Coding und moderne Suchmaschinen-Sichtbarkeit.

Weiterlesen