„Vibe Coding" — der Begriff stammt von Andrej Karpathy (Februar 2025) — beschreibt einen Ansatz, bei dem Entwickler KI-Modelle Code generieren lassen und das Ergebnis weitgehend ungeprüft übernehmen. Das Resultat: In Stunden statt Wochen entsteht ein funktionierender Prototyp. Professionelles Engineering nutzt dieselben KI-Tools, kombiniert sie aber mit Architekturplanung, Code-Review, automatisierten Tests und Security-Härtung. Der Unterschied ist in der Demo unsichtbar — aber in Produktion, unter Last und nach 12 Monaten Weiterentwicklung wird er existenziell. Wikipedia: Vibe Coding — Ursprung und Definition
Was die Daten zeigen
Die Forschungslage zu KI-generiertem Code verdichtet sich — und die Ergebnisse sind differenziert:
Qualitätsvergleich im Detail
| Kriterium | Vibe-Coded | Engineered |
|---|---|---|
| Initiale Geschwindigkeit | Sehr hoch — MVP in Stunden/Tagen | Langsamer — MVP in 2–6 Wochen |
| Sicherheit | Keine systematische Prüfung, bekannte CWE-Muster | OWASP Top 10 abgesichert, Dependency-Audit |
| Testabdeckung | Meist 0% — kein Testing-Konzept | 60–80%+ Unit/Integration-Tests |
| Skalierbarkeit | Bricht bei Last zusammen (N+1, kein Caching) | Architektur für Wachstum ausgelegt |
| Wartungskosten (Jahr 1) | Niedrig — solange nichts schiefgeht | Planbar — durch Monitoring und Tests |
| Wartungskosten (Jahr 2) | Explodierend — technische Schuld akkumuliert | Stabil — durch saubere Architektur |
| Compliance (DSGVO/NIS2) | Nicht adressiert — muss nachgerüstet werden | Von Beginn an integriert |
| Team-Onboarding | Schwierig — kein einheitlicher Stil, keine Doku | Strukturiert — Konventionen und Dokumentation |
| Abhängigkeiten | Unkontrolliert — KI installiert was verfügbar ist | Kuratiert — Lizenz- und Security-Audit |
| Deployment | Manuell oder gar nicht konfiguriert | CI/CD-Pipeline, Infrastructure as Code |
Der echte Kostenvergleich: SaaS-MVP über 24 Monate
Die initiale Ersparnis durch Vibe Coding ist real. Aber sie verkehrt sich in den meisten Fällen ins Gegenteil, sobald das Produkt in Produktion geht und wachsen soll.
Szenario: B2B-SaaS-Plattform mit Auth, Dashboard, API, PostgreSQL
| Phase | Vibe-Coded | Professionell Engineered |
|---|---|---|
| Initiale Entwicklung | €0–2.000 (KI + eigene Zeit) | €20.000–40.000 |
| Security-Assessment (Monat 3) | €5.000–10.000 (kritische Findings) | €2.000–3.000 (geringfügige Findings) |
| Refactoring für Skalierung (Monat 6) | €15.000–30.000 (Architektur-Neuaufbau) | €0 (bereits skalierbar konzipiert) |
| DSGVO/NIS2-Nachrüstung | €8.000–15.000 | €0 (von Beginn an integriert) |
| Wartung 24 Monate | €20.000–40.000 (Firefighting, Bugfixes) | €10.000–15.000 (planbare Updates) |
| Team-Onboarding (2 Entwickler) | €5.000–8.000 (Code verstehen + umbauen) | €2.000–3.000 (saubere Struktur) |
| Gesamtkosten über 24 Monate | €53.000–105.000 | €34.000–61.000 |
Warum Vibe-Coded-Projekte scheitern
Die häufigsten Probleme treten nicht sofort auf, sondern in Produktion:
1. Sicherheitslücken. KI-Modelle reproduzieren unsichere Muster aus ihren Trainingsdaten — SQL Injection, fehlende Input-Validierung, hartcodierte Secrets, unsichere Deserialisierung. 45% des KI-generierten Codes enthält Sicherheitslücken, die in manuell geschriebenem Code in 36% der Fälle auftreten. Eine ausführliche Analyse mit Fallstudien finden Sie in unserem Artikel Vibe Coding richtig gemacht. Veracode: State of Software Security 2024
2. Architektur-Kollaps unter Last. Ohne Architekturplanung entstehen monolithische Strukturen mit N+1-Queries, synchronen Blockierungen und fehlendem Caching. Das funktioniert bei 10 Nutzern — und bricht bei 1.000 zusammen.
3. Unkontrollierte Abhängigkeiten. KI installiert npm-Pakete nach Popularität, nicht nach Wartungsstatus oder Lizenz. Das Ergebnis: Projekte mit 200+ Dependencies, darunter Pakete mit bekannten CVEs oder inkompatiblen Lizenzen. Socket.dev: Supply Chain Risks in AI-Generated Dependencies
4. Code-Churn als Warnsignal. GitClear-Daten zeigen, dass KI-generierter Code eine um 41% höhere Churn-Rate hat — er wird schneller wieder gelöscht oder umgeschrieben als manuell geschriebener Code. Das deutet auf niedrigere Erstqualität hin. GitClear: Coding on Copilot — Code Quality Impact
Wann Vibe Coding die richtige Wahl ist
Ein fairer Vergleich muss anerkennen: Nicht jedes Projekt braucht professionelles Engineering.
Vibe Coding ist völlig ausreichend für:
- Persönliche Tools und Automationen
- Interne Prototypen zur Ideenvalidierung
- Hackathon-Projekte und Proof-of-Concepts
- Einmal-Skripte für Datenbereinigung oder Migration
- Lernprojekte und Experimente
Professionelles Engineering ist notwendig für:
- Produkte mit Kundendaten (DSGVO-relevant)
- SaaS-Plattformen mit zahlenden Nutzern
- Regulierte Branchen (Finanz, Gesundheit, Energie)
- Software, die skalieren muss (>100 Nutzer)
- Investoren-Due-Diligence und Exit-Szenarien
- Plattformen unter NIS2- oder EU AI Act-Anforderungen — dann ist ein professionelles MVP-Engineering der richtige Ansatz EU AI Act: Regulatory Framework
Der Mittelweg: KI-Geschwindigkeit mit Engineering-Qualität
Die Dichotomie „Vibe Coding vs. Engineering" ist ein falsches Dilemma. Der produktivste Ansatz kombiniert beides:
- KI für Geschwindigkeit: Initiale Code-Generierung, Boilerplate, Tests, Dokumentation
- Engineering für Qualität: Architektur-Review, Security-Audit, Performance-Testing, CI/CD
- Systematische Validierung: Jede KI-generierte Komponente durchläuft denselben Review-Prozess wie manuell geschriebener Code
Dieser hybride Ansatz erreicht 60–70% der Geschwindigkeit von reinem Vibe Coding — bei 95%+ der Qualität von traditionellem Engineering. McKinsey: Unleashing Developer Productivity with Generative AI
Die Entscheidungsmatrix
Drei Fragen bestimmen, ob Vibe Coding ausreicht:
- Verarbeiten Sie personenbezogene Daten? Wenn ja → Engineering erforderlich (DSGVO Art. 25: Privacy by Design)
- Haben Sie zahlende Kunden? Wenn ja → Engineering erforderlich (Verfügbarkeit, Security, Wartbarkeit)
- Soll die Software länger als 6 Monate leben? Wenn ja → Engineering erforderlich (technische Schuld akkumuliert exponentiell) Stripe: Developer Coefficient — Kosten schlechter Codequalität
Wenn alle drei Antworten „Nein" lauten, ist Vibe Coding eine effiziente Wahl. Andernfalls ist professionelles Engineering keine Kosten-, sondern eine Investitionsentscheidung.
In einem kostenlosen Plattform-Assessment bewerten wir Ihren vibe-gecodeten Prototyp auf Sicherheitslücken, Architektur-Schwächen und Skalierungsprobleme. Ab €5.000+ migrieren und härten wir Ihre Plattform — mit einer funktionierenden App auf Hetzner als Ergebnis.
Quellen
- Wikipedia: Vibe Coding — Definition und Ursprung (Andrej Karpathy, 2025)
- Veracode: State of Software Security Report 2024 — 45% Sicherheitslücken in KI-Code
- GitClear: Coding on Copilot — 41% höhere Code-Churn-Rate (2024)
- Stack Overflow Developer Survey 2024: AI Trust Declining
- McKinsey: The Hidden Cost of Technical Debt — 40% mehr Wartungsaufwand
- Stripe: The Developer Coefficient — $85 Mrd. jährliche Kosten durch Bad Code
- McKinsey: Unleashing Developer Productivity with Generative AI (2023)
- Socket.dev: Supply Chain Risks in AI-Generated Dependencies
- EU AI Act: Regulatory Framework for Artificial Intelligence
- NIST: Software Supply Chain Security Guidance
- OWASP Top 10: Web Application Security Risks