KPMG warnt vor Risiken durch Vibe Coding

Beschäftigte ohne Programmierkenntnisse erzeugen mit Chatbots eigene Anwendungen. Das geht schnell, birgt aber Gefahren. Die Berater plädieren für Leitplanken statt Verbote.

Alte Muster, neues Tempo

Fachabteilungen haben sich schon immer beholfen, wenn die IT nicht schnell genug lieferte. Tabellenkalkulationen, Makros, selbstgebaute Datenbanken: Viele dieser Notlösungen wuchsen über Jahre zu unverzichtbaren Werkzeugen heran, obwohl sich niemand um Wartung oder Sicherheit kümmerte. Mit generativer KI beschleunigt sich dieses Phänomen dramatisch. Wer eine Aufgabe in Alltagssprache beschreibt, bekommt binnen Minuten funktionierenden Code zurück. KPMG sieht in diesem Trend namens Vibe Coding den Nährboden für eine neue Generation von Schatten-IT.

Verborgene Stolperfallen

Die Beratungsgesellschaft identifiziert mehrere Schwachstellen. In den Eingaben an die Sprachmodelle stecken oft sensible Informationen, die unbemerkt nach außen gelangen können. Der erzeugte Code wird selten überprüft, Fehler und Lücken bleiben unbemerkt. Hinzu kommt ein organisatorisches Problem: Was als Experiment beginnt, wird rasch produktiv genutzt. Zuständigkeiten bleiben ungeklärt, Dokumentation fehlt, Überwachung findet nicht statt. Erst wenn etwas schief geht, fällt auf, wie wackelig das Fundament ist.

Kontrollrahmen statt Blockade

Entwicklung in den Fachbereichen zu unterbinden hält KPMG für den falschen Weg. Stattdessen brauche es Transparenz: Welche Tools entstehen, wer pflegt sie, welche Daten fließen hinein? Unternehmen sollten verbindliche Standards setzen: für zulässige Werkzeuge, für den Umgang mit vertraulichen Informationen, für Prüfprozesse vor dem Produktivstart. Verantwortlichkeiten zwischen Fachbereich und IT müssten klar verteilt sein. Wer einen attraktiven offiziellen Kanal anbiete, verringere den Anreiz für wilde Eigenentwicklungen. Der Effizienzgewinn bleibe erhalten, ohne dass neue Angriffsflächen entstehen.