„Vibe Coding" – der Begriff stammt von Andrej Karpathy (Februar 2025) – beschreibt einen Ansatz, bei dem Entwickler KI-Modelle Code generieren lassen und das Ergebnis weitgehend ungeprüft übernehmen. Das Resultat: In Stunden statt Wochen entsteht ein funktionierender Prototyp. Professionelles Engineering nutzt dieselben KI-Tools, kombiniert sie aber mit Architekturplanung, Code-Review, automatisierten Tests und Security-Härtung. Der Unterschied ist in der Demo unsichtbar – aber in Produktion, unter Last und nach 12 Monaten Weiterentwicklung wird er existenziell. Wikipedia: Vibe Coding – Ursprung und Definition
Was die Daten zeigen
Die Forschungslage zu KI-generiertem Code verdichtet sich – und die Ergebnisse sind differenziert:
Qualitätsvergleich im Detail
| Kriterium | Vibe-Coded | Engineered |
|---|---|---|
| Initiale Geschwindigkeit | Sehr hoch – MVP in Stunden/Tagen | Langsamer – MVP in 2–6 Wochen |
| Sicherheit | Keine systematische Prüfung, bekannte CWE-Muster | OWASP Top 10 abgesichert, Dependency-Audit |
| Testabdeckung | Meist 0% – kein Testing-Konzept | 60–80%+ Unit/Integration-Tests |
| Skalierbarkeit | Bricht bei Last zusammen (N+1, kein Caching) | Architektur für Wachstum ausgelegt |
| Wartungskosten (Jahr 1) | Niedrig – solange nichts schiefgeht | Planbar – durch Monitoring und Tests |
| Wartungskosten (Jahr 2) | Explodierend – technische Schuld akkumuliert | Stabil – durch saubere Architektur |
| Compliance (DSGVO/NIS2) | Nicht adressiert – muss nachgerüstet werden | Von Beginn an integriert |
| Team-Onboarding | Schwierig – kein einheitlicher Stil, keine Doku | Strukturiert – Konventionen und Dokumentation |
| Abhängigkeiten | Unkontrolliert – KI installiert was verfügbar ist | Kuratiert – Lizenz- und Security-Audit |
| Deployment | Manuell oder gar nicht konfiguriert | CI/CD-Pipeline, Infrastructure as Code |
Der echte Kostenvergleich: SaaS-MVP über 24 Monate (illustratives AnvilStack-Eigenmodell)
Die initiale Ersparnis durch Vibe Coding ist real. Aber sie verkehrt sich in den meisten Fällen ins Gegenteil, sobald das Produkt in Produktion geht und wachsen soll.
Szenario: B2B-SaaS-Plattform mit Auth, Dashboard, API, PostgreSQL
| Phase | Vibe-Coded | Professionell Engineered |
|---|---|---|
| Initiale Entwicklung | €0–2.000 (KI + eigene Zeit) | €36.000 (€6.000/Monat × 6) |
| Security-Assessment (Monat 3) | €5.000–10.000 (kritische Findings) | €2.000–3.000 (geringfügige Findings) |
| Refactoring für Skalierung (Monat 6) | €15.000–30.000 (Architektur-Neuaufbau) | €0 (bereits skalierbar konzipiert) |
| DSGVO/NIS2-Nachrüstung | €8.000–15.000 | €0 (von Beginn an integriert) |
| Wartung 24 Monate | €20.000–40.000 (Firefighting, Bugfixes) | €10.000–15.000 (planbare Updates) |
| Team-Onboarding (2 Entwickler) | €5.000–8.000 (Code verstehen + umbauen) | €2.000–3.000 (saubere Struktur) |
| Gesamtkosten über 24 Monate | €53.000–105.000 | €34.000–61.000 |
Eigene Modellrechnung von AnvilStack auf Basis typischer Projektkosten. Die Größenordnung – Faktor ~1,5–2× über 24 Monate – ist plausibel, aber die konkreten Eurobeträge sind eine illustrative Schätzung, keine erhobenen Daten. Hintergrund zu den Kosten technischer Schuld: technische Schuld macht laut McKinsey rund 20–40 % des Werts des Technologie-Bestands aus (plus 10–20 % Mehrkosten pro Projekt). McKinsey: Tech debt – Reclaiming tech equity
Warum Vibe-Coded-Projekte scheitern
Die häufigsten Probleme treten nicht sofort auf, sondern in Produktion:
1. Sicherheitslücken. KI-Modelle reproduzieren unsichere Muster aus ihren Trainingsdaten – SQL Injection, fehlende Input-Validierung, hartcodierte Secrets, unsichere Deserialisierung. 45% des KI-generierten Codes enthält Sicherheitslücken (Veracode). Eine separate Analyse von 470 Pull Requests ergab zudem bis zu 2,74× mehr Sicherheitsprobleme in KI-Code als in rein menschlich geschriebenem Code (CodeRabbit). Eine ausführliche Analyse mit Fallstudien finden Sie in unserem Artikel Vibe Coding richtig gemacht. Veracode: GenAI Code Security Report 2025 CodeRabbit: State of AI vs. Human Code Generation Report
2. Architektur-Kollaps unter Last. Ohne Architekturplanung entstehen monolithische Strukturen mit N+1-Queries, synchronen Blockierungen und fehlendem Caching. Das funktioniert bei 10 Nutzern – und bricht bei 1.000 zusammen.
3. Unkontrollierte Abhängigkeiten. KI-Coding-Tools wählen Pakete zunehmend automatisiert aus – nicht mehr von Maintainern handverlesen nach Wartungsstatus oder Lizenz. So wächst der Dependency-Baum unkontrolliert: Der Median eines JavaScript-Projekts liegt heute bei über 680 transitiven Abhängigkeiten, darunter Pakete mit bekannten CVEs oder inkompatiblen Lizenzen. Socket.dev: AI Has Taken Over Open Source
4. Code-Churn als Warnsignal. Die Code-Churn-Rate – der Anteil Code, der innerhalb von zwei Wochen wieder überarbeitet oder zurückgenommen wird – hat sich seit Einführung von KI-Assistenten nahezu verdoppelt: von rund 5,5% (2020) auf 7,9% (2024). KI-generierter Code wird also messbar häufiger und schneller wieder umgeschrieben als manuell geschriebener Code. Das deutet auf niedrigere Erstqualität hin. GitClear: Coding on Copilot – Code Quality Impact
Wann Vibe Coding die richtige Wahl ist
Ein fairer Vergleich muss anerkennen: Nicht jedes Projekt braucht professionelles Engineering.
Vibe Coding ist völlig ausreichend für:
- Persönliche Tools und Automationen
- Interne Prototypen zur Ideenvalidierung
- Hackathon-Projekte und Proof-of-Concepts
- Einmal-Skripte für Datenbereinigung oder Migration
- Lernprojekte und Experimente
Professionelles Engineering ist notwendig für:
- Produkte mit Kundendaten (DSGVO-relevant)
- SaaS-Plattformen mit zahlenden Nutzern
- Regulierte Branchen (Finanz, Gesundheit, Energie)
- Software, die skalieren muss (>100 Nutzer)
- Investoren-Due-Diligence und Exit-Szenarien
- Plattformen unter NIS2- oder EU AI Act-Anforderungen – dann ist ein professionelles MVP-Engineering der richtige Ansatz EU AI Act: Regulatory Framework
Der Mittelweg: KI-Geschwindigkeit mit Engineering-Qualität
Die Dichotomie „Vibe Coding vs. Engineering" ist ein falsches Dilemma. Der produktivste Ansatz kombiniert beides:
- KI für Geschwindigkeit: Initiale Code-Generierung, Boilerplate, Tests, Dokumentation
- Engineering für Qualität: Architektur-Review, Security-Audit, Performance-Testing, CI/CD
- Systematische Validierung: Jede KI-generierte Komponente durchläuft denselben Review-Prozess wie manuell geschriebener Code
Dieser hybride Ansatz kombiniert KI-Geschwindigkeit bei der Code-Generierung mit Engineering-Qualität bei Review, Testing und Security – Prototyp-Geschwindigkeit mit Produktions-Qualität, ohne die technische Schuld des ungeprüften Vibe Codings. McKinsey-Studien belegen, dass KI-Tools Routineaufgaben wie Dokumentation und Code-Generierung um 35–50% beschleunigen, ohne die Qualität zu opfern, wenn Entwickler und Tool zusammenarbeiten. McKinsey: Unleashing Developer Productivity with Generative AI
Die Entscheidungsmatrix
Drei Fragen bestimmen, ob Vibe Coding ausreicht:
- Verarbeiten Sie personenbezogene Daten? Wenn ja → Engineering erforderlich (DSGVO Art. 25: Privacy by Design)
- Haben Sie zahlende Kunden? Wenn ja → Engineering erforderlich (Verfügbarkeit, Security, Wartbarkeit)
- Soll die Software länger als 6 Monate leben? Wenn ja → Engineering erforderlich (technische Schuld akkumuliert exponentiell) Stripe: Developer Coefficient – Kosten schlechter Codequalität
Wenn alle drei Antworten „Nein" lauten, ist Vibe Coding eine effiziente Wahl. Andernfalls ist professionelles Engineering keine Kosten-, sondern eine Investitionsentscheidung.
In der Analyse bewerten wir Ihren vibe-gecodeten Prototyp auf Sicherheitslücken, Architektur-Schwächen und Skalierungsprobleme; das Erstgespräch dazu ist kostenlos. Für €6.000 pro Monat über 6 Monate (€36.000 gesamt) migrieren und härten wir Ihre Plattform – mit einer funktionierenden App auf Hetzner als Ergebnis.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Vibe Coding und professionellem Engineering?
Was kostet Vibe Coding langfristig?
Wann ist Vibe Coding ausreichend?
Welche Sicherheitslücken hat KI-generierter Code?
Kann ich meinen Vibe-Coded-Prototyp retten?
Wie kombiniert AnvilStack KI mit Engineering?
Quellen
- Wikipedia: Vibe Coding – Definition und Ursprung (Andrej Karpathy, 2025)
- Veracode: GenAI Code Security Report 2025 – 45% Sicherheitslücken in KI-Code
- CodeRabbit: State of AI vs. Human Code Generation Report – 2,74× mehr Sicherheitsprobleme in KI-Code
- GitClear: Coding on Copilot – Code-Churn-Rate von 5,5% (2020) auf 7,9% (2024)
- Stack Overflow Developer Survey 2024: AI Section
- McKinsey: Tech debt – Reclaiming tech equity (technische Schuld = 20–40% des Technologie-Bestands)
- Stripe: The Developer Coefficient – $85 Mrd. jährliche Kosten durch Bad Code
- McKinsey: Unleashing Developer Productivity with Generative AI
- Socket.dev: AI Has Taken Over Open Source
- EU AI Act: Regulatory Framework for Artificial Intelligence
- NIST: Software Supply Chain Security Guidance (EO 14028, Section 4e)
- OWASP Top 10: Web Application Security Risks