Blog

KI trifft Bestandssystem: Warum gewachsene IT-Landschaften kein Hindernis für KI sind, sondern oft ein Vorteil

Blog

KI trifft Bestandssystem: Warum gewachsene IT-Landschaften kein Hindernis für KI sind, sondern oft ein Vorteil

KI ist in der Softwareentwicklung längst keine Zukunftsfrage mehr. Laut dem aktuellen Trends Report von CodeSignal nutzen bereits mehr als 80 Prozent der Softwareentwicklerinnen und -entwickler KI bei ihrer täglichen Arbeit, fast die Hälfte davon täglich. Und doch klafft genau hier eine Lücke, die in der Branche noch zu wenig offen diskutiert wird: Zwischen der Nutzung und dem verantwortungsvollen Umgang damit liegen Welten.

Wir wollen diese Lücke nicht ignorieren. Dieser Beitrag zeigt, wie wir bei BAYOOTEC mit KI arbeiten, wo wir sie bewusst nicht einsetzen, und warum wir Governance und regelmäßige Schulungen nicht als Bürokratie begreifen, sondern als Qualitätsmerkmal.

Produktivitätsschub mit Nebenwirkungen

Kein Zweifel: KI-Unterstützung in der Entwicklung funktioniert. Microsoft-Forschende konnten zeigen, dass Teams mit GitHub Copilot dieselbe Aufgabe rund 50 Prozent schneller erledigten als Vergleichsgruppen ohne KI-Unterstützung. Diese Größenordnung ist beeindruckend und erklärt, warum KI-Tools in Entwicklungsteams weltweit so schnell zur Selbstverständlichkeit geworden sind.

Aber die gleiche Entwicklung hat eine Kehrseite, die langsam sichtbar wird. Eine aktuelle Studie des Sicherheitsunternehmens Apiiro zeigt: Entwicklerinnen und Entwickler, die KI-Assistenten nutzen, schreiben zwar drei- bis viermal mehr Code, schleusen dabei aber auch die zehnfache Menge an Risiken ein. Darunter fallen ungeprüfte Open-Source-Abhängigkeiten, versteckte Hintertüren im generierten Code sowie versehentlich veröffentlichte Zugangsdaten. Nach Schätzungen aus der Branche hat KI im Jahr 2025 rund 40 Prozent des weltweit geschriebenen Codes produziert. Das sogenannte „Vibe Coding“, also das intuitive Generieren von Code durch KI-Prompts ohne tiefes Verständnis des Ergebnisses, ist Realität.

Das Bewusstsein dafür wächst: Das Vertrauen der Entwicklerinnen und Entwickler in die Genauigkeit von KI-generiertem Code ist laut Stack Overflow Developer Survey zwischen 2024 und 2025 von 42 auf 33 Prozent gesunken. Senior Engineers sind dabei besonders skeptisch, und das hat einen Grund: KI-generierte Fehler sind oft gut versteckt. Der Code sieht auf den ersten Blick sauber und durchdacht aus, die Schwachstellen liegen tiefer. Es braucht häufig erfahrene Entwicklerinnen und Entwickler, um sie überhaupt zu erkennen. Wer Code wirklich versteht, sieht auch, was die KI falsch gemacht hat.

Wo KI bei BAYOOTEC konkret eingesetzt wird

Bei BAYOOTEC setzen wir KI gezielt und nicht flächendeckend ein. In drei Bereichen bringt uns KI-Unterstützung einen echten Mehrwert.

  • Code-Review und Security-Scanning:
     KI-gestützte Review-Tools helfen uns dabei, Security-Smells, Anti-Patterns und unsichere Abhängigkeiten direkt im Pull Request sichtbar zu machen. Wichtig ist dabei eine klare interne Regel: KI-Hinweise werden nie automatisch gemergt. Sie sind Input für menschliche Reviewerinnen und Reviewer, kein Ersatz dafür. Eine KI-Empfehlung ist ein Vorschlag, kein Commit. Verantwortlich ist immer die benannte Person, sei es der Lead Developer oder der Security Champion eines Projekts

  • Testgenerierung:
    Tests schreiben kann KI gut, das überlassen wir ihr gerne. Was getestet wird, entscheiden Menschen. Unser QA-Team definiert die relevanten Szenarien, die KI setzt sie um. Dass 89 Prozent der KI-Vorschläge unverändert durch den Code-Review gehen, lesen wir als Warnsignal, nicht als Erfolgsmetrik.

  • Dokumentation und Change-Logs:
    KI hilft uns beim Erklären von Code, beim Erzeugen von API-Dokumentation und beim Verfassen von Change-Logs. Gerade bei größeren Refactoring-Zyklen kann das erheblich Zeit sparen. In regulierten Projekten und überall, wo Kunden die Dokumentation explizit prüfen, gilt aber: Die finale Freigabe liegt immer bei Fachleuten. Versioniert, nachvollziehbar, revisionssicher.

Wo wir bewusst auf KI verzichten

Dass wir KI einsetzen, bedeutet nicht, dass wir sie überall einsetzen. In Projekten mit besonders sensiblen Kundendaten oder hochsensiblem Quellcode verzichten wir auf KI-Unterstützung. Das Fraunhofer AISEC warnt in seinem Impulspapier zu GenAI und Cybersicherheit explizit vor dem Risiko des Informationsabflusses durch sogenannte Inference Attacks: Wer vertrauliche Daten in ein Large Language Model übergibt, kann die Kontrolle über diese Information verlieren.

In streng regulierten Umgebungen, also dort, wo DSGVO, EU AI Act, MDR oder ISO-Normen einzuhalten sind, arbeiten wir mit besonderer Vorsicht. Die OWASP Top 10 für LLM-Anwendungen lischt Prompt Injection, unsichere Ausgaben und Datenlecks als kritische Risiken. Für sicherheitskritische Komponenten wie Kryptografie, Authentifizierungslogik oder Zugriffssteuerung gilt bei uns generell: kein automatisches Generieren ohne dedizierte manuelle Prüfung und explizite Freigabe.

Und dort, wo Kunden das ausdrücklich nicht wünschen, setzen wir keine KI ein. Das ist für uns keine Einschränkung, sondern professionelle Haltung. In einer Zeit, in der laut der Studie „Future of Application Security in the Era of AI“ nur 18 Prozent der Unternehmen über klare KI-Richtlinien verfügen, gleichzeitig aber 81 Prozent wissentlich unsicheren Code bereitstellen, ist ein bewusstes Nein zur Abkürzung kein Rückschritt. Es ist der Standard, den wir uns selbst setzen.

Warum KI-Code kein Freifahrtschein ist

KI-generierter Code sieht sauber aus. Oft ist er es auch. Aber er kann Geheimnisse hart codieren oder unsicher behandeln, Krypto-APIs falsch nutzen, Bibliotheken ohne Versions- oder Vulnerability-Check einführen, und Input-Validierung sowie Autorisierungsprüfungen lückenhaft implementieren. Das Fraunhofer AISEC formuliert es in seinem Impulspapier klar: Generative KI kann Entwicklungsqualität und -geschwindigkeit verbessern, doch die ungeprüfte Nutzung von KI-Antworten kann Sicherheitslücken erzeugen, besonders wenn generierter Code unkontrolliert verwendet wird.

Aus diesem Grund behandeln wir KI-generierten Code intern wie „unauditierten Code“. Das bedeutet: Er durchläuft dieselben Secure-Coding-Gates wie jeder andere Code, manchmal mit zusätzlichen Schritten. Ergänzend haben wir eigene Secure-Coding-Regeln formuliert, die KI-spezifische Failure-Patterns explizit adressieren: unsichere Defaults, fragwürdige Bibliotheksempfehlungen, fehlende Boundary-Checks.

Das ist kein Misstrauen gegenüber der Technologie. Es ist Qualitätssicherung.

KI im Entwickleralltag: Wie wir Cybersecurity und Verantwortung zusammendenken

Unsere KI-Governance: Wer entscheidet was, und wie

Analyse ist keine Verantwortung. Das klingt simpel, beschreibt aber den Kern des Problems sehr genau. KI kann Schwachstellen finden, Vorschläge machen, Risiken priorisieren. Aber Risk Appetite, Policies und Freigabeprozesse lassen sich nicht delegieren. Das sind menschliche Entscheidungen.

Bei BAYOOTEC haben wir dafür klare Governance-Strukturen etabliert:

  • Erstens eine KI-Policy, die festlegt, wo KI erlaubt ist und wo nicht. Das schließt explizit Projekte mit sicherheitskritischen Steuerungen, hochsensiblen Gesundheitsdaten oder vertraglichen Einschränkungen aus. Für jedes Projekt wird eine Risikoklasse bestimmt und anhand dieser Evaluierung über den Einsatz von KI entschieden.

  • Zweitens klar definierte Rollen und Verantwortlichkeiten: Wer darf Prompts formulieren? Wer prüft generierten Code? Wer gibt frei? Diese Fragen müssen vor dem Einsatz beantwortet sein, nicht hinterher.

  • Drittens Logging und Traceability im CI/CD-Prozess: Welche Tools wurden eingesetzt, in welcher Version, mit welchen Prompts, und welche Vorschläge wurden übernommen? Diese Transparenz ist keine bürokratische Pflicht, sondern Voraussetzung für nachvollziehbare Softwareentwicklung, gerade in Projekten mit Audit-Anforderungen.

Diese Herangehensweise deckt sich mit dem, was internationale Governance-Frameworks wie das NIST AI Risk Management Framework oder die OWASP LLM Top 10 empfehlen: menschliche Kontrolle bei Hochrisiko-Entscheidungen, klare Zuständigkeiten, strukturierte Dokumentation. Und ab dem 2. August 2026 gilt für den Großteil aller KI-Systeme der EU AI Act verbindlich. Wer die Governance heute noch nicht aufgebaut hat, arbeitet bereits mit Verspätung.

Schulungen: Was „KI-kompetent“ bei uns konkret bedeutet

Regelmäßige interne Schulungen zu KI sind bei uns kein Pflichtprogramm, sondern der praktische Hebel, mit dem wir sicherstellen, dass Effizienzgewinne durch KI nicht auf Kosten der Sicherheit oder Codequalität gehen.

Theodor W. Adorno hat einmal geschrieben: „Das Halbverstandene und Halberfahrene ist nicht die Vorstufe der Bildung, sondern ihr Feind.“ Das trifft auf KI-Tools im Entwicklungsalltag präziser zu als auf fast jedes andere Werkzeug.

Unsere Schulungen beginnen deshalb nicht mit Regeln, sondern mit Verständnis: Wie funktionieren Large Language Models? Was können sie, was nicht, und warum? Wer KI nicht als magische Black Box begreift, sondern als Werkzeug mit bekannten Schwächen, kann sie sicher einsetzen. Erst auf dieser Basis folgen die weiteren Bereiche: typische Failure-Patterns, sicheres Prompting ohne sensible Daten sowie rechtliche Grundlagen wie EU AI Act und DSGVO.

Technische Guardrails ergänzen das Schulungsprogramm: zugelassene Tools, eingeschränkter Zugriff auf bestimmte Modelle, automatisierte Checks in der Pipeline. Schulung und System müssen zusammenwirken, weil Wissen allein keine Sicherheit garantiert.

KI und Cybersecurity: Zwei Seiten derselben Medaille

Es gibt noch eine Dimension, die in vielen Blog-Beiträgen zu KI in der Entwicklung unterbelichtet bleibt: KI verändert nicht nur, wie Software gebaut wird, sondern auch, wie sie angegriffen wird.

Cyberangriffe werden durch KI schneller, skalierbarer und gezielter. Malware kann heute mit einem einzigen Prompt generiert werden. KI hilft Angreifern, Schwachstellen in Code zu erkennen und auszunutzen, auch in KI-generiertem Code. Dieser Zusammenhang ist kein hypothetisches Risiko: Unternehmen, die KI-Coding-Assistenten nutzen, melden laut Apiiro monatlich über 10.000 neue sicherheitsrelevante Meldungen durch KI-generierten Code.

Für BAYOOTEC bedeutet das: KI-Unterstützung in der Entwicklung und Cybersecurity-Kompetenz sind keine getrennten Themen, die in getrennten Silos bearbeitet werden. Sie gehören zusammen. Wer KI einsetzt, muss gleichzeitig die Angriffsfläche im Blick behalten, die dadurch entsteht. Das ist der Kern unseres Ansatzes: verantwortungsvoller Einsatz nicht als Gegenpol zur Effizienz, sondern als Voraussetzung dafür, dass Effizienz langfristig funktioniert.

Fazit: KI ja, aber mit Haltung

KI bleibt. Sie wird leistungsfähiger, zugänglicher und tiefer in Entwicklungsprozesse integriert. Das ist keine Bedrohung, aber auch kein Selbstläufer. Der entscheidende Faktor ist, wie Unternehmen und Teams damit umgehen.

Bei BAYOOTEC haben wir uns bewusst gegen den Weg entschieden, KI als Black Box zu akzeptieren oder als Abkürzung zu nutzen. Stattdessen bauen wir auf klare Policies, menschliche Freigabeprozesse, sicheres Prompting, strukturiertes Logging und regelmäßige Schulungen. Das kostet Zeit. Es kostet auch etwas Geschwindigkeit an einzelnen Stellen. Aber es ist die Grundlage dafür, dass wir Code liefern können, hinter dem wir stehen, für Kundinnen und Kunden, die das zu Recht erwarten.

Analyse ist keine Verantwortung. Verantwortung liegt bei uns.

BAYOOTEC - Softwareentwicklung von Enterprise Software
Deinem Unternehmen fehlt noch ein starker Partner für Softwareentwicklung?

Nimm Kontakt zu uns auf und wir vereinbaren einen unverbindlichen Kennenlerntermin.

FAQ: KI in der Softwareentwicklung – was Unternehmen wissen müssen

KI lässt sich sicher einsetzen, wenn klare Governance-Strukturen vorhanden sind: eine KI-Policy, definierte Rollen, Logging im CI/CD-Prozess und regelmäßige Schulungen für Entwicklerinnen und Entwickler. Generierter Code sollte stets denselben Secure-Coding-Gates wie manuell geschriebener Code unterliegen und nie automatisch ohne menschliche Prüfung übernommen werden.

KI-generierter Code kann Zugangsdaten hart codieren, Krypto-APIs fehlerhaft nutzen, unsichere Bibliotheken ohne Vulnerability-Check einführen und Autorisierungsprüfungen lückenhaft implementieren. Er sieht oft sauber aus, enthält aber typische Failure-Patterns, die ohne zusätzliche Scanning-Maßnahmen und dedizierte Code-Reviews übersehen werden. Fraunhofer AISEC und OWASP LLM Top 10 dokumentieren diese Risiken ausführlich.

Ein AI-Governance-Framework legt fest, wer KI wie einsetzen darf, welche Daten in Prompts fließen dürfen, wie Entscheidungen dokumentiert werden und wer Freigaben erteilt. Ohne dieses Framework entstehen unkontrollierte Risiken: fehlendes Logging, unklare Verantwortlichkeiten, Compliance-Lücken. Ab August 2026 ist ein solches Framework für viele Unternehmen durch den EU AI Act de facto verpflichtend.

KI darf in regulierten Branchen eingesetzt werden, wenn strenge Anforderungen erfüllt sind: Human-in-the-Loop-Kontrolle, nachvollziehbare Dokumentation, Einhaltung von DSGVO, MDR und EU AI Act. KI-Systeme, die in Medizinprodukte integriert sind, gelten häufig als Hochrisiko-KI und unterliegen entsprechend strengeren Konformitätspflichten. Für die Softwareentwicklung in diesem Umfeld ist besondere Sorgfalt bei der Verwendung generativer KI geboten.

Entwicklerinnen und Entwickler sollten in vier Bereichen geschult werden: Funktionsweise und Grenzen von KI-Modellen, typische Failure-Patterns, sicheres Prompting ohne sensible Daten sowie rechtliche Grundlagen wie EU AI Act und DSGVO. Schulungen sollten durch technische Guardrails ergänzt werden, etwa zugelassene Tools und automatisierte Checks in der CI/CD-Pipeline, da Wissen allein keine Sicherheit garantiert.

Human-in-the-Loop bedeutet, dass KI Vorschläge macht, aber Menschen die finalen Entscheidungen treffen. Im Entwicklungskontext heißt das: KI-generierter Code wird nie automatisch übernommen, sondern immer von einer benannten Person geprüft und freigegeben. Risk Appetite, Sicherheitsrichtlinien und Freigabeprozesse bleiben in menschlicher Verantwortung und lassen sich nicht an ein Modell delegieren.

 

KI erhöht die Angriffsfläche auf zwei Wegen: Zum einen enthält KI-generierter Code häufiger Schwachstellen, die Angreifern neue Einfallstore bieten. Zum anderen nutzen Cyberkriminelle KI selbst, um Angriffe schneller und skalierbarer durchzuführen. Unternehmen, die KI in der Entwicklung einsetzen, müssen daher gleichzeitig ihre Cybersecurity-Maßnahmen anpassen und KI-spezifische Risiken aktiv adressieren.

Jetzt teilen