Ich zeige dem technischen Direktor eines Infrastrukturunternehmens, wie Claude Code funktioniert. Agentic Workflow — das Modell liest Code, analysiert den Kontext, schlägt Änderungen vor, führt Tests aus. Der Direktor nickt und sagt: „Nett. Das können wir selbst."
Drei Monate später ruft mich jemand aus demselben Unternehmen an. Nicht der Direktor — jemand aus dem Team. Er möchte reden, weil es „ein Sicherheitsproblem gibt." Es stellt sich heraus, dass ihr internes Team begonnen hat, „KI einzuführen" — indem es Produktionsdaten von Kunden über API an externe Modelle sendet, ohne Sandboxing, ohne Datenklassifikation, ohne jegliche Governance. Code, den sie mit Hilfe von KI generierten, ging in die Produktion ohne Code Review. Ohne Tests. Ohne Staging.
„Wir können das selbst" verwandelte sich in ein Datenleck und Code, den niemand versteht.
Das Problem liegt nicht in der Ambition — sondern im Prozess
Ich habe nichts gegen Ambition. Im Gegenteil, ich respektiere sie. Das Problem liegt darin, dass viele IT-Unternehmen — besonders solche, die sich mit Infrastruktur und nicht mit Software beschäftigen — nicht über die fundamentalen Entwicklungsprozesse verfügen, die eine Grundvoraussetzung für die sichere Arbeit mit KI sind.
Ich spreche vom SDLC — Software Development Life Cycle. Von Code Review. Von automatisierten Tests. Von Testumgebungen, die von der Produktion getrennt sind. Von Datenklassifikation und Governance. Davon, dass alles, bevor es in die Produktion gelangt, durch mehrere Augenpaare und automatisierte Kontrollen geht.
Diese Prozesse sind keine Formalität. Sie sind die Sicherheitsinfrastruktur. Und ein KI-Modell ist genau so gut wie der Prozess, in dem es arbeitet.
Was Unternehmen nicht wissen, die „es selbst können"
Aus meinen Beobachtungen ergibt sich, dass Infrastrukturunternehmen, die die Bereitschaft zur eigenständigen KI-Einführung deklarieren, meist einige Dinge nicht wissen:
Wie KI-Modelle trainiert werden und auf welchen SDLC-Schritten ihre Funktion basiert. Werkzeuge wie Copilot, Claude Code oder Cursor generieren Code nicht im Vakuum. Ihre Wirksamkeit hängt vom Kontext ab — von der Repository-Struktur, der Codequalität, davon, ob technische Dokumentation und Tests existieren. Ohne dies generieren sie Müll, und das Unternehmen hat keine Werkzeuge, um das zu verifizieren.
Wo die Unternehmensdaten enden, wenn sie an ein Modell gesendet werden. Fehlende Data Governance bedeutet, dass niemand weiß, welche Daten vertraulich sind, welche die Organisation verlassen dürfen und welche nicht einmal in ein internes Modell gelangen sollten. Ich habe Situationen erlebt, in denen Kundendaten — sensibel, unter NDA-Vereinbarungen — ohne jegliche Kontrolle an öffentliche APIs gesendet wurden.
Dass „es funktioniert" nicht dasselbe ist wie „es ist sicher". Von KI generierter Code kann funktionieren. Er kann grundlegende manuelle Tests bestehen. Aber ohne Code Review, ohne statische Analyse, ohne Regressionstests — ist er eine Zeitbombe. Heute funktioniert er. In einem Monat explodiert er in der Produktion.
„Wir machen es selbst" — der teuerste Satz in der IT
Ich behaupte nicht, dass ein externer Berater immer nötig ist. Ich behaupte, dass die Einführung von KI ohne Aufsicht ein geschäftliches Risiko ist, keine Innovation — wenn das Unternehmen keinen ausgereiften Entwicklungsprozess hat.
Unternehmen, die nie Disziplin in SDLC-Prozessen hatten, bekommen plötzlich Werkzeuge in die Hand, die Code mit einer Geschwindigkeit generieren, die kein Programmierer erreicht. Das klingt nach Beschleunigung. In der Praxis ist es eine Beschleunigung Richtung Wand — denn niemand kontrolliert die Qualität dessen, was entsteht.
Der Markt sagt „Demokratisierung der KI — jeder kann!" Und das stimmt — jeder kann anfangen. Aber nicht jeder kann es sicher und sinnvoll tun. Besonders Unternehmen, die Staging nicht von Produktion unterscheiden können.
Was zuerst kommen sollte
Bevor ein Unternehmen beginnt, KI in seine Produkte und Dienstleistungen einzuführen, sollte es einige Fragen beantworten:
- Haben wir einen definierten Entwicklungsprozess (SDLC) und wenden wir ihn an?
- Haben wir eine Datenklassifikation und wissen wir, was die Organisation verlassen darf?
- Durchläuft jeder Code — unabhängig davon, ob ihn ein Mensch geschrieben oder eine Maschine generiert hat — Code Review und Tests?
- Haben wir getrennte Entwicklungs-, Test- und Produktionsumgebungen?
- Versteht jemand im Unternehmen, wie KI-Modelle funktionieren und welche Grenzen sie haben?
Wenn die Antwort auf eine dieser Fragen „Nein" oder „Ich weiß nicht" lautet — dann ist es nicht der richtige Zeitpunkt für „wir machen es selbst." Dann ist es der richtige Zeitpunkt für einen Bereitschaftsaudit und eine ehrliche Auseinandersetzung mit dem, was fehlt.
Zusammenarbeit, nicht Ego
Die besten KI-Einführungen, die ich gesehen habe, verbanden die Ambition des Unternehmens mit externer Prozessaufsicht. Nicht weil das Unternehmen dumm war. Sondern weil jemand von außen blinde Flecken sieht, die das interne Team nicht bemerkt — weil es zu nah dran ist.
KI ist kein Bereich, in dem es sich lohnt zu beweisen, dass „wir es selbst können." Es ist ein Bereich, in dem es sich lohnt zu beweisen, dass wir zusammenarbeiten können — sicher, mit Prozess, mit Verantwortung für Daten und Qualität.
Liebe Leserin/Lieber Leser. Wenn Sie diese Muster in Ihrem Unternehmen oder bei Ihren Anbietern erkennen — lassen Sie uns reden. Ich lade Sie zur Kontaktaufnahme ein — Leszek Giza.