Vibe Coding im Mittelstand: Wenn die Fachabteilung plötzlich Software baut

1. Mai 202634 Min. Lesezeit

Co-Founder bei Superkind

Industrielles Bedienpaneel mit einem orange umrandeten Knopf - Sinnbild für Citizen Developer, die Software ausliefern

Letztes Quartal hat Ihr Controller ein Forecasting-Tool in Lovable gebaut. Eine Vertrieblerin hat am Wochenende einen Angebotsrechner in Cursor zusammengeklickt. Jemand im QM hat mit Microsoft Copilot eine Power App generiert, die jetzt Audits plant. Keiner dieser Menschen kann den Code lesen, der dort tatsächlich läuft. Keiner hat ein Ticket bei der IT eröffnet. Alle sind glücklicher als seit Jahren.

Willkommen beim Vibe Coding. Der Begriff trat im Februar 2025 ins Vokabular ein, als der KI-Forscher Andrej Karpathy eine neue Arbeitsweise beschrieb: Beschreiben, was man möchte, das Modell-Output akzeptieren, ausliefern, bevor man es verstanden hat¹. Zwölf Monate später nutzten 92 Prozent der US-Entwickler eine Form von Vibe Coding in ihrer täglichen Arbeit²⁴. Gartner prognostiziert, dass 2026 80 Prozent der Nutzer von Low-Code- und KI-gestützten Tools außerhalb der formalen IT sitzen werden⁹.

Für den deutschen Mittelstand ist das die disruptivste Verschiebung in der internen Software-Landschaft seit SAP. Es ist keine Frage, ob Ihre Fachabteilungen anfangen, eigene Software zu bauen - sie tun es längst. Die Frage ist, ob Ihre IT die Welle anführt oder von ihr begraben wird. Dieser Leitfaden ist das Operating Model, das aus der zweiten Variante die erste macht.

TL;DR

Vibe Coding ist real und längst in Ihrem Unternehmen - 80 Prozent der Low-Code-Nutzer sitzen 2026 außerhalb der IT, und Tools wie Cursor, Lovable, Replit Agent und Power Apps mit Copilot sind heute schon in deutschen Mittelstandsbüros.

Das Risiko ist nicht die Technologie, sondern die Governance - Gartner prognostiziert ohne Steuerung einen Anstieg der Software-Defekte um 2.500 Prozent bis 2028, und 40 bis 62 Prozent der KI-generierten Code-Snippets enthalten heute schon Sicherheitslücken.

Die richtige Antwort ist das Drei-Spuren-Modell - Sandbox für Experimente, Produktionsspur mit Quality Gate, kritische Spur für professionelles Engineering.

90 Tage reichen, um Richtlinie, Sandbox-Tenant, Quality Gate und die erste Kohorte geschulter Citizen Developer aufzustellen.

Die Mittelstands-Chance ist asymmetrisch - Ihre IT ist zu klein, um alles zu bauen, Ihre Fachbereiche kennen die Prozesse am besten, und der Fachkräftemangel verschwindet nicht. Vibe Coding ist die Lücke, die zwischen beidem schließt.

Die Vibe-Coding-Welle ist im Mittelstand angekommen

Die meisten deutschen IT-Verantwortlichen reden über Citizen Development noch wie über etwas, das kommt. Die Daten sagen etwas anderes. Die Verschiebung ist längst passiert - meist ohne dass die IT es gemerkt hat.

80 Prozent der Low-Code-Nutzer sitzen außerhalb der IT - Gartner prognostiziert, dass 2026 mindestens 80 Prozent der Nutzerbasis von Low-Code-Tools außerhalb der formalen IT sitzen, im Vergleich zu 60 Prozent im Jahr 2021⁹.
Citizen Developer überholen Profis zahlenmäßig - In Großunternehmen wird das Verhältnis Citizen zu professionellen Entwicklern 2026 laut Gartner bei 4 zu 1 liegen⁹.
70 Prozent der neuen Enterprise-Apps werden außerhalb der IT gebaut - Dieselbe Gartner-Studie projiziert, dass 70 Prozent der neuen Geschäftsanwendungen 2026 von Citizen Developern statt klassischen IT-Teams gebaut werden⁹.
Der Markt explodiert - Gartner erwartet, dass der Markt für Low-Code-Entwicklungstechnologien 2026 44,5 Milliarden US-Dollar erreicht⁸, wobei vibe-coding-native Tools (Cursor, Lovable, Replit) am schnellsten wachsen.
92 Prozent der Entwickler vibe-coden - Anfang 2026 zeigten Umfragen, dass 92 Prozent der US-Profientwickler eine Form von Vibe Coding in ihren Arbeitsabläufen nutzen²⁴. Das ist längst keine Nische mehr.
25 Prozent der YC-Winter-25-Gründer liefern 95 Prozent KI-Code - In der Y-Combinator-Kohorte Winter 2025 hatten ein Viertel der Startups Codebasen, die zu 95 Prozent KI-generiert waren³. Das wirtschaftliche Muster neuer Software ist bereits vibe-gecodet.
Karpathy selbst ist weitergezogen - Anfang 2026 erklärte der Erfinder des Begriffs Vibe Coding für veraltet zugunsten von Agentic Engineering, bei dem Senior Engineers mehrere Coding-Agenten unter Aufsicht orchestrieren³. Der Mittelstand holt meist gerade beim Vibe Coding auf, während die Spitze schon wieder weiter ist.

Wichtigster Datenpunkt

Gartner prognostiziert, dass Prompt-zu-App-Ansätze, die von Citizen Developern angenommen werden, die Software-Defekte bis 2028 um 2.500 Prozent erhöhen und damit eine Software-Qualitäts- und Zuverlässigkeitskrise auslösen⁵. Die Vibe-Coding-Welle ist real. Die Defekt-Welle kommt, wenn niemand den Damm baut.

Der Mittelstandskontext lässt die Welle härter aufschlagen als bei Großunternehmen. Deutsche KMU melden ohnehin extreme IT-Kapazitätsgrenzen, der Fachkräftemangel ist strukturell statt konjunkturell, und die Fachbereiche haben eine lange Tradition, ihre Probleme mit Excel und Access selbst zu lösen. Vibe Coding ist der nächste Schritt in dieser Tradition - mit oder ohne IT.

Kennzahl	Realität 2026	Quelle
Low-Code-Nutzer außerhalb der IT	80% (von 60% in 2021)	Gartner⁹
Verhältnis Citizen zu Pro-Entwicklern	4:1 in Großunternehmen	Gartner⁹
Größe des Low-Code-Marktes	44,5 Mrd. USD	Gartner / InfoWorld⁸
Entwickler, die Vibe Coding nutzen	92% (USA, Anfang 2026)	Branchenumfrage²⁴
YC-W25-Startups mit 95% KI-Code	25% der Kohorte	The New Stack³
Prognostizierter Defekt-Anstieg	2.500% bis 2028	Gartner⁵
Firmen mit Schatten-KI-Vorfällen	40% bis 2030	Gartner⁷

“There’s a new kind of coding I call vibe coding, where you fully give in to the vibes, embrace exponentials, and forget that the code even exists.”

- Andrej Karpathy, KI-Forscher und ehemaliger Director of AI bei Tesla, auf X, 2. Februar 2025¹

Was Vibe Coding wirklich ist (und was nicht)

Vibe Coding ist nicht Low-Code, nicht No-Code und nicht das KI-Pair-Programming, das die meisten Engineers ohnehin nutzen. Es liegt in einem eigenen Quadranten. Die Abgrenzung zählt, weil die richtige Governance für Vibe Coding sich von der Low-Code-Governance unterscheidet.

Die vier Quadranten des Bauens

Pro-Code - Engineers schreiben Code in einer IDE und nutzen KI als Autocomplete oder Pair Programmer (GitHub Copilot, Cursor im Tab-Complete-Modus). Der Engineer liest, reviewt und shippt jede Zeile.
Agentic Engineering - Engineers orchestrieren mehrere KI-Coding-Agenten (Claude Code, Codex, Cursor im Agent-Modus), reviewen und integrieren deren Output. Karpathys 2026er-Weiterentwicklung des Vibe Codings für Produktivarbeit³.
Low-Code / No-Code - Fachbereiche (oder Entwickler) bauen Apps über visuelle Canvases auf vordefinierten Komponenten (Power Apps, Mendix, OutSystems, Bubble, Airtable). Plattform-gebunden, dafür übernimmt die Plattform den Großteil des Engineerings.
Vibe Coding - Nutzer beschreiben in natürlicher Sprache, was sie wollen, und ein KI-Tool generiert echten Code, ohne dass der Nutzer das Ergebnis liest (Lovable, Bolt.new, Replit Agent, v0, Power Apps mit Copilot im Chat-Modus). Nicht durch Komponenten begrenzt, durch das Modell beschleunigt, in der ursprünglichen Definition niemandem rechenschaftspflichtig.

Ansatz	Wer baut	Begrenzung	Risikoprofil
Pro-Code mit KI-Assist	Engineers	Keine - echter Code	Standard-SDLC
Agentic Engineering	Senior Engineers	Spec-Qualität + Review-Kapazität	Standard-SDLC, schneller
Low-Code / No-Code	Fachbereich + IT	Plattform-Komponenten	Plattform-begrenzt
Vibe Coding	Jeder	Keine - echter Code	Ohne Governance unbegrenzt

Wie sich Vibe Coding in der Praxis anfühlt

Konkretes Beispiel. Ein Controller in einem Mittelstands-Maschinenbauer möchte ein Tool, das täglich Kundenaufträge aus SAP zieht, den Umsatz gegen das Budget projiziert und dem Leitungsteam jeden Morgen einen One-Pager mailt. Vor sechs Monaten war das ein Quartalsprojekt der IT. Heute öffnet der Controller Lovable, tippt eine vier Absätze lange Beschreibung, sieht zu, wie das Tool eine vollständige Web-App mit Datenbank und Mailversand generiert, hängt sie an einen Sandbox-SAP-Export und liefert Montag früh aus. Gesamtaufwand: zwei Abende.

Der Controller weiß nicht, in welcher Programmiersprache das Ganze läuft. Der Controller kann nicht erkennen, ob die SQL-Abfragen parametrisiert oder injection-anfällig sind. Sein Vorgesetzter ist begeistert vom neuen Dashboard. Die IT erfährt drei Wochen später davon, als jemand in der Security eine unbekannte App im SAP-REST-Gateway sieht.

Das definierende Merkmal

Vibe Coding wird durch das definiert, was der Nutzer nicht tut: den Code lesen. Der Nutzer akzeptiert den KI-Output, lässt ihn laufen und shippt, wenn er funktioniert. Karpathy schrieb im Original-Tweet: “I ‘Accept All’ always, I don’t read the diffs anymore. When I get error messages I just copy paste them in with no comment, usually that fixes it.”¹

Warum der Mittelstand das nicht ignorieren kann

Speziell für den Mittelstand machen drei strukturelle Drücke Vibe Coding weniger optional als für Großunternehmen.

Der IT-Engpass ist strukturell, nicht zyklisch - Die meisten Mittelstands-IT-Teams arbeiten mit 1 bis 2 Prozent der Personalstärke, gegenüber 4 bis 6 Prozent bei Großunternehmen. Anfragen für interne Apps stapeln sich, während die kleine IT zwischen Lights-on-Aufgaben triagiert. Vibe Coding leitet den langen Schwanz kleiner Anfragen an die Menschen, die sie tatsächlich brauchen.
Der Fachkräftemangel ist dauerhaft - Die DIHK berichtet, Deutschland brauche 300.000 ausländische Fachkräfte pro Jahr, nur um den Status quo zu halten¹⁹, und die OECD prognostiziert, dass die erwerbsfähige Bevölkerung bis 2030 um 3,9 Millionen schrumpft²⁰. Das ifo-Institut meldet, 28,3 Prozent der deutschen Unternehmen finden nicht genug qualifiziertes Personal¹⁸. Es gibt keine Version der nächsten Dekade, in der IT-Teams schnell genug wachsen, um alles zu bauen, was die Fachbereiche anfragen.
Prozesswissen sitzt im Fachbereich - Die Stärke des Mittelstands ist tiefe operative Expertise. Der Controller kennt das Controlling, der Produktionsplaner kennt die Produktion, der Vertriebsingenieur kennt den Deal-Flow. Sie zu zwingen, dieses Wissen über ein Ticketsystem in die IT zu übersetzen, ist genau der Punkt, an dem die meisten internen Software-Projekte sterben. Vibe Coding lässt den Fachexperten direkt bauen.
Bestehende Low-Code-Investitionen liegen schon da - 88 Prozent der deutschen Mittelständler haben Microsoft-365-Lizenzen¹⁰. Power Apps mit Copilot, Power Automate mit Copilot und Copilot Studio sind ab dem Moment verfügbar, in dem ein Unternehmen sie freischaltet. Die meisten wissen es nicht.
Wettbewerbsdruck durch agile Firmen - Die Hidden Champions, die durch operative Exzellenz gewinnen, verlieren gegen Firmen, die 5 interne Tools pro Quartal ausliefern, wenn sie selbst 5 pro Jahr schaffen. Diese Lücke schließt sich schneller als jeder andere Hebel der digitalen Transformation.

Die Mittelstands-Asymmetrie

Großunternehmen werden Vibe Coding vorsichtig adoptieren, weil sie die IT-Kapazität haben, den langen Schwanz ohnehin selbst zu bauen. Der Mittelstand hat diese Kapazität nicht. Die Asymmetrie: Vibe Coding gut gemacht ist für einen 200-Personen-Betrieb wertvoller als für einen 20.000-Personen-Konzern - und die Kosten der Nicht-Adoption sind höher.

Was sich für die Geschäftsführung ändert

Die tiefste Veränderung ist nicht technisch, sondern organisatorisch. Der Mittelstand hat historisch die-die-Software-erdenken (Fachbereich) von den-die-sie-bauen (IT) getrennt. Vibe Coding kollabiert die Distanz auf wenige Stunden. Das hat drei Folgen.

Die IT-Roadmap ist nicht mehr der Engpass - Fachbereichs-Tools, die zwei Jahre verschoben wurden, gehen jetzt in zwei Tagen live. Die IT bewegt sich entlang der Wertschöpfungskette nach oben - in Integration, Sicherheit und die Agenten, die zuverlässig sein müssen.
Spec-Design wird zur strategischen Fähigkeit - Der neue Engpass ist die Qualität der Beschreibung. Senior-Mitarbeitende, die eine klare dreiseitige Spec schreiben können, werden 10-mal produktiver. Wer nicht artikulieren kann, was er will, kommt auch mit Vibe-Coding-Tools nicht weiter.
Die Qualitätslatte wird zur Führungsfrage - Die Geschäftsführung kann die Frage, welche Apps das Unternehmen tragen und wie sie geprüft werden, nicht delegieren. Die falsche Antwort ist Vibe Coding zu verbieten. Die richtige ist, die Schwelle zu definieren, ab der ein Tool von der Sandbox in die Produktion wandert.

Sie wollen ein Quality Gate für Ihre citizen-gebauten Apps?

Wir helfen Mittelstands-IT-Teams, das Drei-Spuren-Modell und die Agentic-Engineering-Schicht zu entwerfen, die fängt, was Vibe Coding allein nicht hinkriegt.

Demo buchen →

5 Anwendungsfälle, die wirklich funktionieren

Nicht jedes interne Tool profitiert von Vibe Coding. Das funktionierende Muster ist klein, fachbereichsbezogen, geringes Risiko, schnell. Das scheiternde Muster ist alles Kunden-Facing, alles Finance-Kritische und alles Datensensible ohne Härtungsschritt. Hier sind fünf Anwendungsfälle, die im Mittelstand konstant landen.

Anwendungsfall 1: Fachbereichs-Dashboards und Reports

Tägliche Operations-Dashboards, wöchentliche KPI-Reports, Ad-hoc-Auswertungen, für die das BI-Team sechs Monate brauchen würde. Die Daten liegen in SAP, DATEV, HubSpot oder einem SharePoint-Export. Der Nutzer will einen fokussierten Blick, kein generisches BI-Tool.

Typische Builder - Controller, Vertriebsoperations, Werkleiter, HR Business Partner.
Typische Tools - Lovable, v0, Cursor, Power Apps mit Copilot, Hex.
Typische Dauer - 2 bis 8 Stunden vom Einfall zum funktionierenden Prototyp.
Wo Governance zählt - Nur lesender Zugriff auf Produktivdaten, kein Writeback, keine PII ohne Review.
Realistischer ROI - 4 bis 8 Stunden pro Woche pro Dashboard gespart, oft als Ablösung manueller Excel-Arbeit.

Anwendungsfall 2: Interne Antrags- und Genehmigungsflüsse

Urlaubsanträge, Capex-Freigaben, Lieferanten-Onboarding, IT-Zugriffsanfragen, Schulungsanträge. Heute laufen die meisten über E-Mail-Ketten oder generische Ticketsysteme. Eine vibe-gecodete Formular-plus-Workflow-App ist in Tagen live und integriert sich für Freigaben mit Teams oder Slack.

Typische Builder - HR-Koordination, Office Management, IT-Helpdesk, interne Kommunikation.
Typische Tools - Power Apps mit Copilot, Bubble, Glide, Custom-Apps in Lovable.
Typische Dauer - 1 bis 3 Tage für die erste lauffähige Version.
Wo Governance zählt - Genehmigungsketten mit Finanzgrenzen oder HR-Daten müssen von IT oder Compliance gereviewt werden.
Realistischer ROI - 30 bis 60 Prozent kürzere Durchlaufzeit, dazu eine saubere Audit-Spur.

Anwendungsfall 3: Qualitäts- und Operations-Checklisten

Schichtübergabe-Formulare, Qualitätsprüflisten, Werkzeugkalibrier-Logs, Maschinenrüst-Checklisten. Die meisten laufen noch auf Papier oder in PDF-Vorlagen. Vibe-gecodete Mobile-Apps ersetzen sie durch zeitgestempelte digitale Datensätze, die ans QMS andocken.

Typische Builder - QM-Verantwortliche, Schichtleiter, Werksingenieure.
Typische Tools - Power Apps mit Copilot, AppSheet, Glide, Custom-Apps in Lovable.
Typische Dauer - Etwa 1 Woche inklusive Pilot auf der Werkstatt.
Wo Governance zählt - Datensätze, die in ISO-9001- oder IATF-16949-Audits einfließen, müssen manipulationssicher und exportierbar sein.
Realistischer ROI - 60 bis 80 Prozent Zeitersparnis bei der Datenerfassung, dazu deutlich bessere Audit-Bereitschaft.

Anwendungsfall 4: Kundendaten-Lookup und Vorbereitungs-Tools

Vertriebler vor einem Termin brauchen ein einseitiges Kundenprofil. Account Manager wollen vor einem QBR ein Scorecard. Servicetechniker auf dem Weg zum Einsatz wollen die Installationshistorie. Vibe-gecodete Read-only-Apps über einem Sandbox-CRM-Export liefern das in Tagen.

Typische Builder - Sales Operations, Service Operations, Key Account Management.
Typische Tools - Cursor, Lovable, v0 über CSV oder REST-Endpunkt.
Typische Dauer - 3 bis 7 Tage für die erste lauffähige Version.
Wo Governance zählt - Standardmäßig nur lesend, nächtliche Aktualisierung, Daten aus einer freigegebenen Quelle. Writebacks erfordern IT-Beteiligung.
Realistischer ROI - 1 bis 2 Stunden pro Vertriebler pro Woche, bessere Kundengespräche, weniger Copy-Paste-Fehler.

Anwendungsfall 5: Wegwerf-Analysen und Prototypen

Der am meisten unterschätzte Anwendungsfall. Jemand will testen, ob ein neues Preismodell funktioniert. Jemand will sehen, ob eine deutsche Kennzeichnungsregelung die bestehende Produkttaxonomie sprengt. Jemand will eine Partner-Integration vor einem Kickoff visualisieren. Vibe Coding für Eine-Woche-Wegwerf-Tools ist fast pures Upside.

Typische Builder - Product Manager, Strategieteam, Inhouse-Beratung, das CEO-Office.
Typische Tools - Lovable, Replit Agent, v0, Cursor.
Typische Dauer - 4 Stunden bis 3 Tage, danach meist weggeworfen.
Wo Governance zählt - Nur synthetische Daten, Sandbox-Tenant, automatische 30-Tage-Sperre. Fast keine Governance-Reibung nötig.
Realistischer ROI - Das Team lernt 3 bis 5 Dinge, die es ohne den Prototyp nicht gelernt hätte, und spart oft eine deutlich größere Engineering-Investition später.

Anwendungsfall	Builder	Time-to-Ship	Spur
Fachbereichs-Dashboards	Controlling, Ops	2-8 Stunden	Sandbox → Produktion
Genehmigungsflüsse	HR, IT, Office	1-3 Tage	Produktion mit Gate
QM-Checklisten	QM, Werksleitung	~1 Woche	Produktion mit Gate
Kunden-Lookup-Tools	Vertrieb, Service Ops	3-7 Tage	Produktion mit Gate
Wegwerf-Analysen	Strategie, PM, CEO	4 Stunden - 3 Tage	Sandbox

Drei diagonal aufsteigende dunkle Metall-Würfel mit einem orange umschnürten mittleren Würfel - Sinnbild für das Drei-Spuren-Governance-Modell

5 Fehlermuster, die Sie vermeiden müssen

Die obigen Anwendungsfälle landen, wenn Governance steht. Ohne Governance erzeugen dieselben Tools fünf vorhersagbare Fehlermuster. Antizipieren Sie sie, bevor der erste Prototyp ausgeliefert wird.

Fehlermuster 1: Die verwundbare App in Produktion

Der folgenreichste Fehler. Eine vibe-gecodete interne App verarbeitet Mitarbeiterleistungsdaten, Kundeninformationen oder Lieferantenfinanzen. Unabhängige Code-Sicherheitsstudien zeigen konstant, dass 40 bis 62 Prozent der KI-generierten Code-Snippets Sicherheitslücken enthalten und KI-geschriebener Code Fehler mit dem 2,74-Fachen der menschlichen Fehlerrate produziert¹⁵. Ohne Quality Gate ist die Wahrscheinlichkeit, dass eine verwundbare App in Produktion landet, unbequem hoch.

Symptome - SQL Injection, exponierte API-Keys im Client-Code, fehlende Authentifizierung, kaputte Zugriffskontrolle, hartkodierte Credentials.
Maßnahme - Produktions-Gate mit automatisiertem SAST-Scan, Secret-Erkennung und einem echten menschlichen Review für alles, was sensible Daten anfasst.
Kritische Regel - Keine vibe-gecodete App fasst PII, Finanzdaten oder produktive Schreibwege an, bevor sie das Gate passiert hat.

Fehlermuster 2: Der Ghost-App-Friedhof

Das Team baut in sechs Monaten 40 Prototypen. 32 sind nach Wochen verlassen. 5 werden von genau einer Person genutzt. 3 werden zu echten Abhängigkeiten für Geschäftsbereiche. Niemand verfolgt, was was ist. Das Team, das sie gebaut hat, ist längst woanders. Wenn etwas bricht, weiß niemand, ob es zählt.

Symptome - Apps mit unklarer Eigentümerschaft, ungewartete Abhängigkeiten, unbekannte Nutzerzahlen, tote URLs, unbeantwortete Support-Anfragen.
Maßnahme - 90-Tage-Ablauf für jede Sandbox-App, Pflicht-Eigentümer für jede Produktions-App, vierteljährliches Inventar mit Nutzungs-Telemetrie, automatische Archivierung unter Nutzungsschwelle.
Kritische Regel - Bauen Sie den Totengräber von Tag eins an. Der härteste kulturelle Schritt ist, das Löschen von Dingen, die Menschen gebaut haben, normal zu machen.

Fehlermuster 3: Schatten-KI überall

Der für die Compliance besorgniserregendste Fall. Fachbereiche melden sich bei Lovable, Replit, Cursor und ChatGPT auf privaten Konten an, weil die IT zu langsam war. Kundendaten fließen an Anbieter-APIs, für die kein AVV existiert. Gartner prognostiziert, dass 40 Prozent der Organisationen bis 2030 Sicherheits- oder Compliance-Vorfälle durch Schatten-KI erleiden⁷.

Symptome - Mitarbeitende erwähnen Tools, die nicht beschafft wurden, Zahlungsbelege auf Privatkarten, Kundendaten in Drittanbieter-Logs, ungemappte DSGVO-Risiken.
Maßnahme - Stellen Sie sanktionierte Tools schnell bereit. Der schnellste Weg ist eine kleine, aber gut ausgestattete Sandbox mit Copilot für Microsoft 365, Cursor für IT-Champions und einem Pilot-Tenant von Lovable oder Power Apps für Citizen Developer, alles auf Firmen-SSO.
Kritische Regel - Sie stoppen Schatten-KI nicht, indem Sie KI verbieten. Sie stoppen sie, indem Sie schneller sind als die Privatkonto-Alternative.

Fehlermuster 4: Die Integrations-Schuldenlawine

Jede vibe-gecodete App integriert auf eigene Weise mit SAP, DATEV oder einem anderen Kernsystem. Manche treffen REST-Endpunkte, manche scrapen Exports, manche embedden Credentials, manche gehen über Power Automate, manche über selbstgebaute Python-Skripte. Sechs Monate später versteht niemand mehr, wie Daten zwischen Systemen fließen.

Symptome - Mehrere Apps treffen dieselben SAP-Calls mit unterschiedlicher Logik, inkonsistente Kunden- oder Produktstammdaten zwischen Tools, Integrationsbugs, die niemand zurückverfolgen kann.
Maßnahme - Die IT veröffentlicht ein kleines, gut dokumentiertes Set lesender Datenprodukte, an die jede App andocken kann. Citizen Developer konsumieren diese, statt direkt zu integrieren.
Kritische Regel - Die Integrationsschicht ist nicht verhandelbar IT-Territorium. Citizens bauen darauf, nicht daran vorbei.

Fehlermuster 5: Die Zwei-Klassen-Gesellschaft beim Können

Subtil, aber zersetzend. Das Vibe-Coding-Programm befähigt Fachbereiche, die zufällig gut beschreiben können, was sie wollen. Die Teams, die sich schwertun - ältere Mitarbeiter, technische Rollen mit schwächerer Schreibe, Nicht-Muttersprachler im Deutschen - bleiben zurück. Innerhalb eines Jahres hat das Unternehmen eine klare Zwei-Klassen-Struktur aus denen, die liefern, und denen, die nicht liefern.

Symptome - Dieselben fünf Abteilungen produzieren die meisten Apps, andere geben auf, Vorwürfe von IT-Bevorzugung, Fairness-Fragen vom Betriebsrat.
Maßnahme - Aktive Befähigung, nicht nur Zugang. Office Hours, Tandems, schriftliche Guides, mehrsprachige Schulung. Behandeln Sie Citizen Development wie ein Ausbildungsprogramm - das versteht der Mittelstand ohnehin schon.
Kritische Regel - Die Fairness-Frage ist real. Planen Sie sie im Rollout ein, nicht nach der ersten internen Beschwerde.

Mit Governance

✓ 5- bis 20-mal schnellere Lieferung von Fachbereichs-Tools
✓ Sicherheitsrisiko eingedämmt durch Quality Gate vor Produktion
✓ Schatten-KI verdrängt durch sanktionierte, schnellere Alternativen
✓ IT-Kapazität neu zugeordnet auf Integration und Agenten
✓ Audit-Spur intakt für ISO, DSGVO, EU-KI-VO

Ohne Governance

✗ 40 bis 62% der Apps mit Sicherheitslücken¹⁵
✗ 2.500% Defekt-Anstieg bis 2028 prognostiziert⁵
✗ Ghost-App-Friedhof wächst quartalsweise
✗ Compliance-Risiko auf PII, GoBD, DSGVO
✗ Zwei-Klassen-Belegschaft beim Bau-Zugang

Vibe Coding vs. Agentic Engineering: Die Frage der Qualitätslatte

Der für IT-Verantwortliche im Mittelstand nützlichste Rahmen ist die Unterscheidung zwischen Vibe Coding und Agentic Engineering. Karpathy, der Vibe Coding geprägt hat, erklärte den Begriff 2026 für veraltet und bevorzugt jetzt Agentic Engineering³. Die Unterscheidung ist die zwischen Boden-Heben und Decke-Heben.

Vibe Coding hebt den Boden - Jeder kann etwas ausliefern. Die Hürde für den ersten Prototyp sinkt von Wochen auf Stunden. Das Risiko: Die Hürde für das, was in Produktion landet, sinkt mit. Nutzen Sie Vibe Coding für Sandbox, Prototyp und Wegwerf-Arbeit.
Agentic Engineering hebt die Decke - Ein Senior Engineer orchestriert 3 bis 10 KI-Coding-Agenten unter expliziter Aufsicht, reviewt Diffs, designt Specs und ist für das Geschippte verantwortlich. Produktiv-Code landet 5- bis 10-mal schneller als bei klassischer Entwicklung, ohne dass der Boden abrutscht. Nutzen Sie Agentic Engineering für Produktion, Integration und alles, was zuverlässig sein muss.
Beides ist real, beides wird gebraucht - Der Mittelstand braucht beide Spuren. Vibe Coding bedient den langen Schwanz der Fachbereichs-Tools. Agentic Engineering trägt das Rückgrat aus Integration, Sicherheit und den Agenten, auf die das Geschäft tatsächlich angewiesen ist.

“As developers, we can’t assume that the generated code is secure by default.”

- Janet Worthington, Senior Analyst bei Forrester²

Was sich im Engineering-Workflow ändert

Agentic Engineering verändert, wie IT-Teams arbeiten. Der Senior Engineer wird zum Director mehrerer Agenten statt zum Autor einer einzelnen Codebasis. Diff-Reviews und Spec-Schreiben machen 60 bis 80 Prozent des Tages aus. Junior-Aufgaben verschwinden weitgehend. Die Rolle der Teamleitung verschiebt sich von Aufgabenverteilung zu Spec-Design und Quality Gates.

Dimension	Vibe Coding	Agentic Engineering
Builder	Jeder	Senior Engineer
Code reviewt?	Oft nicht	Immer
Tests geschrieben?	Manchmal	Immer, oft agent-generiert und gereviewt
Produktionsreif?	Selten	Ja
Time-to-First-Prototyp	Stunden	1-3 Tage
Time-to-Production	Braucht Härtungspass	1-3 Wochen
Geeignet für	Fachbereichs-Tools, Prototypen	Integration, Sicherheit, Agenten
Risikoprofil	Durch Sandbox begrenzt	Wie klassisches Engineering

Das Zwei-Spuren-IT-Team im Mittelstand

Das erfolgreiche Mittelstands-IT-Team 2026 fährt zwei Spuren. Spur 1 befähigt Vibe Coding für die Fachbereiche. Spur 2 praktiziert Agentic Engineering für das Rückgrat des Unternehmens. Dasselbe Team, unterschiedliche Spuren, unterschiedliche Latten. Die Vibe-Coding-Latte auf Produktivarbeit anzuwenden, ist genau, wie Sicherheitslücken-Quoten von 40 bis 62 Prozent entstehen.

Das Drei-Spuren-Governance-Modell

Das einfachste, robusteste Governance-Modell für Vibe Coding im Mittelstand hat drei Spuren. Es passt zu bestehenden IT-Prozessen, der Betriebsrat akzeptiert es üblicherweise, und IT-Verantwortliche können es der Geschäftsführung in einer Folie erklären.

Spur 1: Die Sandbox

Wer darf shippen - Jede geschulte Mitarbeitende mit Sandbox-Konto.
Was läuft hier - Prototypen, Dashboards auf synthetischen oder Sandbox-Daten, Wegwerf-Analysen, erste Versionen von Fachbereichs-Tools.
Datenzugriff - Nur Sandbox-Kopien produktiver Daten, nächtlich aktualisiert, keine PII ohne explizite Freigabe, kein Writeback in Produktivsysteme.
Tooling - Lovable, Cursor, Replit Agent, Power Apps mit Copilot, alles auf einem einzigen Tenant mit SSO.
Quality Gate - Keines. Geschwindigkeit ist der Sinn.
Lebensdauer - 90 Tage. Danach läuft die App ab, sofern sie nicht hochgestuft wird.
Eigentümer - Der Builder.

Spur 2: Produktion

Wer darf shippen - Geschulte Citizen Developer + IT-Champions, nach bestandenem Quality Gate.
Was läuft hier - Fachbereichs-Tools, die das Geschäft tragen: Live-Data-Dashboards, Genehmigungsflüsse, QM-Checklisten, Kunden-Lookup-Tools.
Datenzugriff - Live-Daten über sanktionierte Datenprodukte, die die IT veröffentlicht. Keine direkten Datenbankverbindungen. Writeback nur mit expliziter IT-Freigabe.
Tooling - Wie Sandbox, plus IT-gemanagter Deploy (Vercel, Azure App Service, Power Apps Managed Environments).
Quality Gate - Automatisierter SAST + Secret-Scan, Dependency-Review, manuelles Security-Review für alles, was sensible Daten anfasst, Basis-Testabdeckung Pflicht.
Lebensdauer - Unbegrenzt, aber quartalsweise reviewt. Apps unter Nutzungsschwelle (z. B. unter 5 aktive Nutzer in 60 Tagen) werden archiviert.
Eigentümer - Benannter Mensch + benanntes Team. Im Citizen-App-Inventar dokumentiert.

Spur 3: Kritische Systeme

Wer darf shippen - Professionelle Engineers mit Agentic-Engineering-Praxis. Kein Citizen Development.
Was läuft hier - Integrationsschicht, Agenten, die produktiv handeln, alles Kunden-Facing, alles, was Finanzberichterstattung berührt, alles unter EU-KI-VO als Hochrisiko klassifiziert, alles GoBD-pflichtig.
Datenzugriff - Voll, mit sauberem IAM und Audit-Trail.
Tooling - Cursor im Agent-Modus, Claude Code, Codex, interne KI-Agent-Plattformen. Code-Review durch Mensch in jeder PR, vollständige SDLC, vollständige SecOps-Integration.
Quality Gate - Klassische Enterprise-SDLC: Design-Review, Security-Review, Tests, Staging, Change-Approval.
Lebensdauer - Wird als Kern-IT gepflegt.
Eigentümer - IT.

Spur	Builder	Daten	Gate	Lebensdauer
1. Sandbox	Jeder geschulte Nutzer	Sandbox / synthetisch	Keines	90 Tage
2. Produktion	Geschulte Citizens + Champions	Live über Datenprodukte	SAST + manuelles Review	Quartalsreview
3. Kritisch	Pro-Engineer	Voll	Standard-SDLC	Gepflegt

Die kritische Regel

Apps wandern eine Spur höher durch Hochstufung, niemals seitlich. Ein Sandbox-Prototyp, den das Team mag, wird nicht durch viel Nutzung zur Produktion. Er wird zur Produktion, indem er das Quality Gate passiert. Der häufigste Mittelstands-Fehler ist, diesen Schritt zu überspringen, weil „es schon funktioniert“. Es funktioniert, bis es nicht mehr funktioniert.

Der 90-Tage-Rollout-Plan

Das vollständige oben beschriebene Programm reift in 6 bis 9 Monaten. Die 90-Tage-Variante ist die kleinste sinnvolle Arbeitseinheit, die ein Mittelstandsunternehmen von keiner Richtlinie zu einem laufenden Drei-Spuren-Modell mit ersten Produktions-Apps bringt.

Phase 1: Tag 1-30 - Bestandsaufnahme und Richtlinie

Schatten-KI inventarisieren - Eine Woche Umfrage über alle Abteilungen. Welche KI-Coding-Tools sind bereits im Einsatz, auf welchen Konten, mit welchen Daten? Meist eine lange Liste. Das Ergebnis ist das Legitimationsargument gegenüber der Geschäftsführung.
Die 5 wertvollsten Anwendungsfälle identifizieren - Nicht die 50, die 5. Top-Kandidaten sind meist Fachbereichs-Dashboards, ein Genehmigungsfluss, eine QM-Checkliste, ein Vertriebs-Lookup-Tool und ein strategischer Prototyp.
Die Richtlinie entwerfen - Eine Seite, drei Spuren, benannter Lebenszyklus pro Spur. Klares Deutsch. Geprüft durch Datenschutz, Betriebsrat und Steuerberater. Freigegeben durch die Geschäftsführung.
Tooling festlegen - Ein Sandbox-Tool (typisch Lovable oder Power Apps mit Copilot), ein IT-Tool (typisch Cursor + Claude Code oder Codex), ein Produktions-Deploy-Ziel. Widerstehen Sie dem Drang, alles zu evaluieren.
Die erste KI-Kompetenz-Schulung durchführen - Pflicht nach EU-KI-VO Artikel 4²¹. Zweistündiger Kurs, zugeschnitten auf Citizen Developer, mit Vibe-Coding-Hygiene, Sicherheitsfallen und Datenfluss-Regeln.

Phase 2: Tag 31-60 - Sandbox und erste Prototypen

Sandbox-Tenant aufsetzen - SSO, Sandbox-Kopien der relevanten Daten, Netzwerk-Policy, Ablauf-Policy. 2 Wochen IT-Arbeit für eine Person.
Erste Kohorte onboarden - 8 bis 15 Menschen aus den 5 Anwendungsfall-Abteilungen. Office Hours zweimal wöchentlich, ein #vibe-coding-Kanal in Teams oder Slack, ein Getting-Started-Guide.
Die ersten 5 Prototypen bauen - Jeder in seiner Spur. Pro Stück 5 Tage Time-Box. Sandbox-Apps laufen auf Sandbox-Daten. Die meisten funktionieren. Manche überraschend gut. Manche floppen. Alles dokumentieren.
Quality-Gate-Pipeline aufbauen - SAST-Tool, Secret-Scanner, Basis-Dependency-Check, manuelle Review-Checkliste. Tooling: GitHub Advanced Security, Snyk, Semgrep plus ein echter Reviewer.
Inventar etablieren - Eine einfache Tabelle oder App mit jedem citizen-gebauten Tool, Eigentümer, Spur, Last-Used-Datum, Lebenszyklus-Status. Mindestens monatlich aktualisieren.

Phase 3: Tag 61-90 - Erste Produktions-Apps und Feedback-Schleife

Die 1 bis 3 Prototypen mit Wert hochstufen - Durchs Gate schicken. Die meisten brauchen 1 bis 3 Tage Härtung - Input-Validierung, Auth, Datenminimierung, Basis-Tests. Manche brauchen IT für die Integrationsschicht. Keine Hochstufung ohne explizite Eigentümer-Freigabe.
Die nicht-tragfähigen Prototypen archivieren - Nicht alle 5 werden tragen. Lessons dokumentieren, Code archivieren, Sandbox-Platz freiräumen. Das ist die kulturelle Muskel, die das Programm ehrlich hält.
Erstes Quartalsreview durchführen - Citizen-App-Inventar, Nutzungs-Telemetrie, Gate-Pass-Quote, Sicherheitsfunde. Richtlinie nachjustieren, falls nötig.
Nächste Kohorte schulen - Größe verdoppeln. Inzwischen können die Early Adopter mitschulen.
Über Agentic Engineering für die IT entscheiden - Ein IT-Projekt mit Agentic-Engineering-Praktiken pilotieren. Die Frage ist, ob das nächste Quartal auf das ganze IT-Team skaliert oder pilotiert bleibt.

90-Tage-Abschlusscheckliste

Schatten-KI-Inventar abgeschlossen und mit Leitung besprochen
Richtlinie freigegeben durch Datenschutz, Betriebsrat, Steuerberater, Geschäftsführung
Sandbox-Tenant live mit SSO und Ablauf-Policy
Erste Kohorte von 8 bis 15 Citizen Developern geschult (EU-KI-VO Artikel 4)
5 Prototypen gebaut und bewertet
Quality-Gate-Pipeline live mit SAST und Secret-Scan
Citizen-App-Inventar steht mit monatlichem Review
1 bis 3 Produktions-Apps durch das Gate hochgestuft
Gescheiterte Prototypen dokumentiert und archiviert
Erstes Governance-Quartalsreview gelaufen
Agentic-Engineering-Pilot in der IT gestartet

Tool-Landschaft: Was wann passt

Der Vibe-Coding-Tool-Markt ändert sich monatlich. Die Kategorien unten sind stabil; die Marktführer wechseln. Stand Mitte 2026 sind das die realistischen Picks für ein deutsches Mittelstandsunternehmen.

Sandbox-Tools für Citizen Developer

Microsoft Power Apps mit Copilot - Standardwahl, wenn Sie ohnehin auf Microsoft 365 sind. Release Wave 1 2026 hat autonome KI-Agenten in Power Apps und Copilot Studio gebracht¹³. Starke eingebaute Governance über die Power-Platform-Administration. Stark für Formulare, Genehmigungsflüsse, interne Apps.
Lovable - Web-App-Generator mit einer der stärksten Natural-Language-Schnittstellen. Generiert echten React-Code. Self-hosted oder Cloud. Stark für Dashboards, interne Tools und Prototypen.
Bolt.new (StackBlitz) - Ähnlich wie Lovable, etwas entwicklernäher. Stark, wenn der Citizen Developer etwas HTML- oder SQL-Hintergrund mitbringt.
Replit Agent - Starker Full-Stack-Agent in der Replit-IDE. Stärker für Builder, die mit der Zeit lernen wollen.
v0 von Vercel - Stärkste UI-Generierung. Weniger vollständig als Full-Stack-Tool, aber exzellent für komponentengetriebene Prototypen.
Glide und AppSheet - Mobile-first, Tabellen-getrieben. Exzellent für QM-Checklisten und Field-Operations-Apps.

Tools für IT und Agentic Engineering

Cursor - Markt-Standard für KI-native IDEs. Tab-Complete, Agent-Modus, Multi-File-Edits. Solide Team-Preise.
Claude Code - Anthropics CLI-Agent. Stark bei längeren Engineering-Aufgaben, Refactorings und großen Codebasen.
OpenAI Codex (GA 2026) - OpenAIs CLI-Agent. Stark im JavaScript- und Python-Ökosystem.
GitHub Copilot Agent Mode - Standard, wenn Sie ohnehin auf GitHub Enterprise sind. Stark für inkrementelle Engineering-Arbeit, weniger für Greenfield-Generierung.
Self-hosted-Alternativen - Continue.dev, Aider, Cline. Sinnvoll, wenn Souveränität oder Air-Gapped-Umgebungen zählen.

Quality-Gate- und Governance-Tools

SAST - Snyk, Semgrep, GitHub Advanced Security, Checkmarx. Eines wählen, bei jeder Hochstufung laufen lassen.
Secret-Erkennung - GitGuardian, TruffleHog, GitHub-natives Scanning.
Dependency-Review - Snyk, Dependabot, FOSSA.
Power Platform CoE Starter Kit - Speziell für Power-Apps-Governance. Kostenlos, von Microsoft, Pflicht beim Skalieren der Power Platform.
Citizen-App-Inventar - Oft eine Power App oder Notion-Seite, gepflegt von der IT. Off-the-shelf-Lösungen existieren (Make, Pomerium), aber eine eigene einfache Tabelle reicht meist.

Wahl	Wenn Sie	Vermeiden, wenn
Power Apps + Copilot	Bereits auf Microsoft 365, wollen starke Governance, Fokus auf Formulare/Flüsse	Pixel-perfekte Custom-UI brauchen oder den Microsoft-Stack verlassen wollen
Lovable	Echte React-Apps schnell brauchen, mit Cloud-first leben können	On-Premise- / souveränes Hosting Pflicht ist
Glide / AppSheet	Mobile-first-Apps für Werkstatt oder Außendienst bauen	Komplexe Backend-Logik nötig ist
Cursor + Claude Code	Ein Agentic-Engineering-Team in der IT betreiben	Keine professionellen Entwickler haben
Self-hosted Continue.dev	Souveränität und IP-Vertraulichkeit nicht verhandelbar sind	Kein Plattform-Team zur Pflege haben

EU-KI-Verordnung, DSGVO und Betriebsrat: Die Compliance-Schicht

Vibe Coding bekommt keinen Compliance-Freibrief, weil es schnell ist. Wenn überhaupt, hebt es die Latte - mehr Apps, mehr Builder, mehr Stellen, an denen Daten landen. Drei Rahmenwerke zählen für den Mittelstand.

EU-KI-Verordnung

Artikel 4 (KI-Kompetenz) - In Kraft seit Februar 2025. Jedes Unternehmen, das KI nutzt, muss angemessene KI-Kompetenz unter den Personen sicherstellen, die KI-Tools einsetzen oder nutzen. Für Citizen Developer mit Vibe-Coding-Tools heißt das ein dokumentiertes Schulungsprogramm²¹.
Anbieterpflichten - Das KI-Coding-Tool selbst (Lovable, Cursor) ist im Sinne der Verordnung der Anbieter. Ihr Unternehmen ist Betreiber des Tools mit Betreiberpflichten. Die meisten davon ergeben sich natürlich aus dem Drei-Spuren-Modell.
Risikoklassifizierung folgt dem Output - Die vibe-gecodete App selbst ist selten ein reguliertes KI-System. Trifft sie aber Hochrisiko-Entscheidungen (Personal, Kredit, Sicherheit), gilt die Hochrisiko-Klassifizierung, und die übliche Hochrisiko-SDLC greift. Genau hier muss Citizen Development an die kritische Spur übergeben.
Bußgelder - Bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes für verbotene Praktiken, bis zu 15 Millionen Euro oder 3 Prozent für andere schwere Verstöße²². KMU haben niedrigere Caps und Zugang zu regulatorischen Sandboxes.

DSGVO (Datenschutz-Grundverordnung)

Datenminimierung in der Sandbox - Der Sandbox-Tenant sieht keine echten Produktivdaten, außer der Use-Case verlangt es. Synthetische Daten, anonymisierte Exporte oder gesampelte Produktivexporte sind die Standardvariante.
AVV für jedes Tool - Lovable, Cursor, Replit, OpenAI, Anthropic - jedes Tool braucht einen Auftragsverarbeitungsvertrag in der Akte. Ihr Datenschutzbeauftragter genehmigt die Liste. Tools ohne AVV kommen nicht in den Sandbox-Tenant.
Recht auf Löschung - Jede Produktions-App muss das Löschen personenbezogener Daten auf Antrag unterstützen. Das ist eine Checkbox im Quality Gate.
Drittlandtransfers - Die meisten führenden Vibe-Coding-Tools sind US-basiert. Standard-Vertragsklauseln plus Transfer-Impact-Assessment sind Pflicht. Manche Mittelständler bevorzugen für sensible Use-Cases EU-only oder self-hosted.

Betriebsrat

Mitbestimmung ist real - Der Betriebsrat hat nach § 87 BetrVG Mitbestimmungsrechte, wenn KI-Tools Mitarbeiterleistungs- oder Verhaltensdaten verarbeiten. Eine Rahmen-Betriebsvereinbarung für das Sandbox-Programm ist schneller als App-für-App-Verhandlung.
Transparenz gewinnt - Die meisten deutschen Betriebsräte zeichnen ein Vibe-Coding-Programm ab, das öffentliches Inventar, Schulung und klare Regeln für den Datenkontakt enthält.
HR-Daten-Apps brauchen Extra-Aufmerksamkeit - Alles, was Mitarbeitergespräche, Anwesenheit, Produktivitätsmetriken anfasst, braucht eine spezifische Betriebsvereinbarung, auch innerhalb des Sandbox-Programms.

GoBD (deutsche Steuerarchivierung)

Alles, was Rechnungen, Hauptbücher oder Steuerdaten berührt - Bleibt aus dem Citizen Development raus. GoBD verlangt unveränderbare Archive, vollständige Audit-Spuren und Steuerberater-Abstimmung. Citizen-Apps in der Produktionsspur dürfen GoBD-archivierte Daten lesen, das Archiv selbst bleibt in der kritischen Spur.
Reporting und Analytik auf GoBD-Daten - Erlaubt, sinnvoll und ein hervorragender Citizen-Development-Use-Case. Die Originaldatensätze bleiben unverändert; das Citizen-Tool sitzt auf einer downstream-Kopie.

Compliance als Befähiger, nicht als Bremse

Der häufigste Compliance-Fehler ist, sie als Verbotsliste zu behandeln. Der richtige Rahmen für die Mittelstands-IT: Compliance definiert die Spuren, dann beschleunigen die Spuren alles in ihrem Inneren. Eine unterschriebene Betriebsvereinbarung ist das, was die Sandbox freischaltet, nicht das, was sie einengt.

Wo Superkind passt

Superkind baut maßgeschneiderte KI-Agenten für deutsche KMU und Konzerne. Wir verkaufen kein Vibe-Coding-Tool. Wir kommen genau dort hinein, wo Vibe Coding aufhört, die richtige Antwort zu sein, und Agentic Engineering übernimmt - die kritische Spur im Drei-Spuren-Modell. Das machen wir typischerweise für ein Mittelstandsunternehmen, das Vibe Coding ernst nimmt.

Was Superkind tut

Drei-Spuren-Modell-Design - Wir helfen IT-Verantwortlichen, die Richtlinie zu entwerfen, das Tooling zu wählen und mit Datenschutz, Betriebsrat und Steuerberater abzustimmen. Standard-Engagement: 4 bis 6 Wochen.
Quality-Gate-Pipeline - Wir bauen die SAST-+-Secret-Scan-+-Manual-Review-Pipeline auf, die Sandbox-Prototypen in Produktions-Apps verwandelt. Oft integriert mit bestehendem GitHub oder Azure DevOps.
Agentic-Engineering-Befähigung - Wir helfen IT-Teams, Cursor, Claude Code und Codex mit Workflows einzuführen, die wirklich skalieren. Pair-Coaching für 4 bis 8 Wochen pro Team.
Produktionsreife Agenten auf Citizen-Apps - Wenn ein vibe-gecodeter Prototyp Wert beweist, aber SAP- oder DATEV-Integration, Souveränität oder autonome Aktion braucht, ersetzen wir den Prototypen durch einen Produktions-Agenten, der dieselbe Aufgabe in Produktionsqualität erfüllt.
Integrationsschicht als Produkt - Wir bauen die lesenden Datenprodukte, die Citizen-Apps konsumieren, sodass die IT keine SAP- oder ERP-Credentials direkt herausreicht.
EU-KI-VO-Bereitschaft - Artikel-4-Kompetenz-Programm zugeschnitten auf Citizen Developer, technische Doku für etwaige Hochrisiko-Apps, Audit-Spuren, die einer BNetzA-Prüfung standhalten.
Souveränitäts-Optionen - Für Mittelständler, die EU-only- oder Self-hosted-Modelle brauchen, deployen wir auf Aleph Alpha, Mistral oder Self-hosted-Open-Weights.
Dauerhafte Partnerschaft - Wir bleiben auf Retainer engagiert, fahren Quartalsreviews und überführen die Agenten ins Operating Model.

Wo wir bewusst nicht antreten

Vibe-Coding-Lizenzen verkaufen - Das ist die Aufgabe von Lovable, Cursor und Microsoft. Superkind hilft, sie gut einzusetzen.
Jeden Mitarbeiter im Vibe Coding schulen - Das macht in der Regel die HR oder ein spezialisierter Schulungspartner besser.
Ihre IT-Abteilung ersetzen - Wir machen die IT 5- bis 10-mal effektiver. Wir werden nicht zur IT.

Stärken

✓ Mittelstands-DNA - wir arbeiten, wie deutsche KMU arbeiten
✓ Process-First - wir kartieren den Prozess, bevor wir bauen
✓ Outcomes statt Lizenzen - wir werden für Wirkung bezahlt, nicht für Sitze
✓ SAP-, DATEV-, Legacy-ERP-Sprache - echte Integrationen, keine Demo-Tricks
✓ EU-KI-VO und DSGVO by Design - audit-fähig ab Tag 1

Ehrliche Contras

✗ Unter 50 Mitarbeitenden meist überdimensioniert - kleine Firmen brauchen das volle Programm oft nicht
✗ Keine schnelle Lizenzbuchung - wir engagieren uns für Ergebnis, das dauert
✗ Keine Vibe-Coding-Massenschulung - wir machen die IT-Seite
✗ Wir brauchen Executive Sponsorship - bottom-up klappt selten in dieser Größe

Entscheidungsrahmen: Sollten Sie jetzt starten?

Sechs Signale, die Ihnen sagen, ob Vibe Coding der richtige Schritt für Ihr Unternehmen im nächsten Quartal ist - und welcher Schritt es sein sollte.

Signal	Was es bedeutet	Aktion
Ihr IT-Backlog hat 50+ kleine Fachbereichsanfragen	Klassischer Fall für Vibe Coding - der Backlog wird größtenteils nie von der IT gebaut	90-Tage-Plan starten mit Fachbereichs-Dashboards als erster Kohorte
Sie haben im letzten Security-Review Schatten-KI-Konten gefunden	Citizens vibe-coden längst ohne Sie	Schnell handeln - sanktionieren Sie, was schon im Einsatz ist, setzen Sie die Spuren, holen Sie alles aus dem Schatten
Ihr IT-Team ist <1,5% der Belegschaft	Strukturell zu klein für die Nachfrage	Vibe Coding plus Agentic Engineering ist der einzige realistische Weg, den Backlog zu räumen
Sie zahlen ohnehin für Microsoft 365 mit Copilot	Sie haben den Großteil der Plattform schon	Mit Power Apps + Copilot starten, bevor Sie weitere Anbieter holen
Sie sind in einer stark regulierten Branche (Medtech, Finance, Automotive Tier 1)	Die kritische Spur ist groß und das Gate zählt	Mit Gate und Richtlinie starten, nicht mit Shippen. Vertrauen vor Skalierung aufbauen
Sie haben <30 Mitarbeitende und einfache Prozesse	Das volle Programm ist überdimensioniert	Programm überspringen; einseitige Richtlinie reicht

Jetzt handeln

✓ Schatten-KI fangen, bevor sie skaliert
✓ Backlog in 6 bis 12 Monaten geräumt
✓ EU-KI-VO-Bereitschaft vor August 2026
✓ Mittelstands-Wettbewerber sortieren das gerade erst

6 Monate warten

✗ Schatten-KI-Risiko wächst still
✗ Beste Mitarbeitende werden unzufrieden
✗ Aufräumen wird härter, sobald 40+ Schatten-Apps existieren
✗ Compliance-Druck steigt, bevor Kontrollen stehen

Häufig gestellte Fragen

Vibe Coding ist die Praxis, Software zu bauen, indem man in natürlicher Sprache beschreibt, was man möchte, und ein KI-Tool den Code generieren, ausführen und debuggen lässt. Andrej Karpathy hat den Begriff im Februar 2025 geprägt. Der Anwender liest den entstehenden Code oft nicht im Detail. Tools, die das ermöglichen, sind Cursor, Lovable, Bolt.new, Replit Agent, v0 und Microsoft Power Apps mit Copilot.

Low-Code- und No-Code-Plattformen (Microsoft Power Apps, Mendix, OutSystems, Airtable) bauen Apps aus vordefinierten visuellen Komponenten. Vibe Coding generiert echten Code aus einem freien Text-Prompt, ohne festgelegte Komponentenbibliothek. Die Grenze verschwimmt zunehmend - Power Apps mit Copilot mischt heute beides, und die meisten Low-Code-Anbieter bauen KI-Generierung ein. Die Governance-Frage ist für beide identisch.

Ja, aber in einer kontrollierten Spur. Die meisten Mittelstands-IT-Teams verlieren diesen Kampf bereits - die Fachabteilungen nutzen Cursor, ChatGPT und Power Apps ohnehin. Die richtige Antwort ist das Drei-Spuren-Modell: eine Sandbox, in der Citizens frei shippen können, eine Produktionsspur mit Quality Gate und eine kritische Spur, die professionellem Engineering vorbehalten bleibt. Ein generelles Vibe-Coding-Verbot drängt es nur in den Untergrund.

Real, aber beherrschbar. Unabhängige Studien zeigen konstant, dass 40 bis 62 Prozent der KI-generierten Code-Snippets Sicherheitslücken enthalten, und Gartner prognostiziert, dass Prompt-zu-App-Citizen-Development bis 2028 die Software-Defekte ohne Governance um 2.500 Prozent erhöht. Die Gegenmaßnahme ist ein Quality Gate, bevor ein vibe-gecodetes Tool produktive Daten anfasst, plus DevSecOps-Praktiken für die wenigen Apps, die wirklich skalieren müssen.

Ein kontrolliertes Vibe-Coding-Programm kostet im ersten Jahr typischerweise 30.000 bis 80.000 Euro. Darin enthalten sind ein Sandbox-Tenant, Governance-Tooling, eine Quality-Gate-Pipeline, Schulungen für Citizen Developer und IT-Champions sowie ein kleines Budget zum Härten der 5 bis 10 wertvollen Prototypen pro Jahr. Tool-Lizenzen (Cursor, Lovable, Power Platform) ergeben zusätzlich 30 bis 60 Euro pro aktivem Nutzer und Monat.

Nein. Vibe Coding verändert, was die IT macht - nicht ob es eine IT gibt. Citizen Developer bauen den langen Schwanz interner Tools, der ohnehin nie auf die IT-Roadmap gekommen wäre. Professionelle Engineers verbringen weniger Zeit mit CRUD-Apps und mehr Zeit mit Integration, Governance, Sicherheit und den Agenten, die wirklich zuverlässig sein müssen. Mittelstands-IT-Teams berichten typischerweise 30 bis 50 Prozent mehr Kapazität für strategische Arbeit nach der Umstellung.

Agentic Engineering ist das, was nach Vibe Coding für Produktivarbeit kommt. Andrej Karpathy selbst hat sich 2026 vom Begriff Vibe Coding verabschiedet und bevorzugt Agentic Engineering: Ein Senior Engineer orchestriert mehrere KI-Coding-Agenten, reviewt deren Output und ist verantwortlich für das Ergebnis. Vibe Coding hebt den Boden (jeder kann etwas ausliefern). Agentic Engineering hebt die Decke (kleine Teams liefern produktionsreife Software 10-mal schneller).

Meistens gilt sie indirekt. Die vibe-gecodete App selbst ist selten ein reguliertes KI-System, aber das KI-Coding-Tool, das sie generiert hat, fällt unter Anbieterpflichten, und Artikel 4 der EU-KI-Verordnung verpflichtet Ihr Unternehmen, angemessene KI-Kompetenz für alle Nutzer von KI-Tools sicherzustellen - inklusive Citizen Developer. Trifft die resultierende App Hochrisiko-Entscheidungen (Personal, Kredit, Sicherheit), gilt die Hochrisiko-Klassifizierung unabhängig davon, wie sie gebaut wurde.

Die DSGVO gilt für die Daten, nicht für den Code. Ein vibe-gecodetes HR-Tool, das Mitarbeiterdaten verarbeitet, braucht die gleichen Auftragsverarbeitungsverträge, Löschlogik und Betriebsratsbeteiligung wie jedes andere Tool. Die meisten deutschen Betriebsräte wollen früh informiert werden, wenn citizen-gebaute Tools Mitarbeiterleistungsdaten anfassen. Der schnellste Weg ist eine schriftliche Sandbox-Richtlinie, die der Betriebsrat einmal abzeichnet und die für jeden Prototyp gilt.

Ghost Apps sind nach Sicherheit das größte operative Risiko. Drei Regeln funktionieren: Jede Sandbox-App läuft nach 90 Tagen ohne Verlängerung ab, jede Produktions-App hat einen benannten Eigentümer und einen klaren Stilllegungsweg, und die IT führt vierteljährlich ein Inventar der citizen-gebauten Tools mit Nutzungsdaten. Apps unter einer Nutzungsschwelle werden archiviert. Ja, das heißt, Dinge zu löschen, die Menschen gebaut haben. Tun Sie es trotzdem.

Ja, aber genau die Integrationsschicht ist der Punkt, an dem die IT einsteigen muss. Die meisten Vibe-Coding-Tools erzeugen REST-API-Aufrufe oder SQL-Queries, die isoliert gut aussehen, aber bei einem echten SAP-System brechen, vor allem im Batch-Betrieb. Das Muster, das funktioniert: Der Citizen Developer prototypt gegen einen Sandbox-Datensatz, dann umhüllt die IT oder ein Agent-Partner wie Superkind den Prototypen mit sauberen SAP-/DATEV-Konnektoren, bevor er produktiv geht.

Drei Rollen, keine davon neu. Der Citizen Development Lead setzt die Richtlinie, schult und betreibt die Sandbox. Der Quality Gate Engineer reviewt Apps, bevor sie in die Produktion gehen - in der Regel ein Senior-Entwickler, der gern mentort. Der Agentic Engineering Lead kümmert sich um die Apps, die skalieren müssen, und besitzt die Agent-Schicht, auf der Produktions-Tools aufsetzen. In einem Mittelständler mit 200 Mitarbeitenden sind das typischerweise 1,5 bis 2 Vollzeitäquivalente insgesamt.

Drei Zahlen. Erstens, die Anzahl der intern ausgelieferten Tools pro Quartal (Baseline meist 2 bis 5; mit gut gemachtem Vibe Coding landet das bei 15 bis 40). Zweitens, die IT-Request-zu-Delivery-Zeit für Fachbereichs-Apps (Ziel: von 30 Tagen auf 5 Tage). Drittens, der Anteil der citizen-gebauten Tools, der nach 6 Monaten noch aktiv genutzt wird (Ziel: über 40 Prozent - wenn er niedriger liegt, ist das Gate zu lose). McKinsey berichtet, dass Unternehmen, die Citizen Developer befähigen, 33 Prozent höher auf Innovationsmetriken abschneiden.

Quellen

Henri Jung

Co-Founder von Superkind. Henri hilft Mittelständlern und Konzernen, maßgeschneiderte KI-Agenten einzuführen, die wirklich zum Arbeitsalltag der Teams passen. Er ist überzeugt, dass der Mittelstand alles hat, um KI führend zu nutzen - es braucht nur den richtigen Ansatz.

Bereit, das Drei-Spuren-Modell in Ihrem Unternehmen aufzustellen?

Buchen Sie 30 Minuten mit Henri. Wir skizzieren die Richtlinie, das Gate und den ersten Kohorten-Plan für Ihr Team - ohne Verpflichtung, ohne Verkaufsgespräch.