EDITION
iToverDose/Startups· 9 MAI 2026 · 00:01

Vibe-Coding in Unternehmen: Warum unsichtbare Apps neue Sicherheitsrisiken schaffen

Tausende mit KI erstellte Anwendungen stehen ungeschützt im Netz – und gefährden sensible Unternehmensdaten. Wie Shadow AI die Cybersicherheit vor neue Herausforderungen stellt und was IT-Verantwortliche jetzt tun müssen.

VentureBeat4 min0 Kommentare

Die Ära der "Vibe-Coding"-Entwickler hat begonnen: Produktmanager, Marketingexperten oder sogar Laien erstellen innerhalb von Stunden voll funktionsfähige Anwendungen – ohne klassische Programmierkenntnisse. Doch während diese Tools Produktivität steigern, entstehen dabei unsichtbare Sicherheitslücken, die Unternehmen Millionen kosten können. Eine aktuelle Studie zeigt: Über 5.000 solcher KI-generierten Apps sind öffentlich zugänglich und enthalten vertrauliche Daten.

Das israelische Cybersicherheitsunternehmen RedAccess hat in einer Untersuchung rund 380.000 öffentlich erreichbare Assets identifiziert, darunter Anwendungen, Datenbanken und Infrastrukturkomponenten, die mit Tools wie Lovable, Base44, Replit und Netlify erstellt wurden. Etwa 1,3% dieser Ressourcen (ca. 5.000) enthielten sensible Unternehmensdaten – darunter interne Finanzberichte, Patientendaten, Schiffsrouten oder sogar unredigierte Kundengespräche.

Die Funde sind alarmierend: Ein britisches Gesundheitsunternehmen stellte klinische Studien auf einer öffentlich zugänglichen App ein, ein brasilianischer Bankkunde fand interne Finanzdokumente im Netz, und ein Logistikunternehmen veröffentlichte Details zu ankommenden Schiffen. Dor Zvi, CEO von RedAccess, warnt: "Es ist unrealistisch, von jedem Nutzer – selbst von meiner Mutter, die Lovable nutzt – zu erwarten, dass er an Zugriffskontrollen denkt." Die Studie wurde von Axios und Wired unabhängig bestätigt.

Warum die Standardeinstellungen zum Risiko werden

Die meisten Vibe-Coding-Plattformen stellen erstellte Anwendungen standardmäßig öffentlich ein – Nutzer müssen die Sichtbarkeit manuell auf "privat" umstellen. Da viele dieser Apps durch Google indexiert werden, sind sie für jeden im Internet auffindbar. Selbst Phishing-Seiten, die mit Lovable erstellt wurden, imitierten bereits Marken wie Bank of America, FedEx oder McDonald’s, bevor der Anbieter Gegenmaßnahmen einleitete.

Doch das Problem geht tiefer: Die Anwendungen sind oft nicht Teil traditioneller Sicherheitsüberwachung. Unternehmensfirewalls, Endpoint-Protection-Systeme oder Cloud-Sicherheitsrichtlinien sind nicht auf solche Ad-hoc-Lösungen ausgelegt.

Schatten-KI als neuer Angriffsvektor

Die Risiken durch unkontrollierte KI-gestützte Entwicklungsprozesse – auch Shadow AI genannt – nehmen rapide zu. Laut IBM’s Cost of a Data Breach Report 2025 waren 20% der Unternehmen, die eine Datenschutzverletzung meldeten, von Shadow-AI-Vorfällen betroffen. Diese erhöhten die durchschnittlichen Kosten pro Vorfall um 670.000 US-Dollar und trieben den Gesamtwert auf 4,63 Millionen US-Dollar hoch.

Besonders kritisch: 97% der betroffenen Unternehmen hatten keine angemessenen Zugriffskontrollen für KI-Anwendungen implementiert, und 63% verfügten über keine KI-Governance-Richtlinien. Die Folgen sind schwerwiegend:

  • 65% der Shadow-AI-Breaches betrafen personenbezogene Kundendaten (im Vergleich zu 53% bei anderen Vorfällen).
  • 62% der Daten waren über mehrere Umgebungen verteilt, was die Nachverfolgung erschwert.
  • Nur 34% der Unternehmen mit KI-Policies führten regelmäßige Audits durch.

Die Prognosen sind düster: VentureBeat schätzt, dass sich die Anzahl aktiver Shadow-Apps bis Mitte 2026 mehr als verdoppeln könnte. Daten von Cyberhaven zeigen zudem, dass 73,8% der ChatGPT-Arbeitskonten in Unternehmen nicht autorisiert waren.

Frühere Studien bestätigen die Bedrohung

Nicht nur RedAccess warnt vor den Risiken. Im Oktober 2025 analysierte Escape.tech über 5.600 öffentlich zugängliche Vibe-Coding-Apps und entdeckte:

  • Über 2.000 hochriskante Schwachstellen
  • 400+ exponierte Geheimnisse (API-Schlüssel, Zugangstoken)
  • 175 Fälle von Datenlecks, darunter medizinische Aufzeichnungen und Bankkontonummern

Jede dieser Schwachstellen befand sich in produktiven Systemen und war innerhalb weniger Stunden auffindbar. Escape.tech, das im März 2026 eine 18-Millionen-Dollar-Finanzierungsrunde (angeführt von Balderton) abschloss, sieht in der Sicherheitslücke von KI-generiertem Code den zentralen Treiber für neue Cyberangriffe.

Auch Gartner warnt in seinem „Predicts 2026“-Report: Bis 2028 könnten „Prompt-to-App“-Ansätze – also die direkte Umwandlung von Textbefehlen in Anwendungen – die Anzahl von Softwarefehlern um 2.500% erhöhen. Diese Defekte entstehen, weil KI zwar syntaktisch korrekten Code generiert, aber kein Verständnis für komplexe Systemarchitekturen oder spezifische Geschäftsregeln hat. Die Behebung solcher Fehler wird Budgets binden, die eigentlich für Innovation vorgesehen waren.

Erste Schritte für IT-Verantwortliche

Um das Risiko durch Vibe-Coding-Apps zu minimieren, empfiehlt RedAccess einen Fünf-Punkte-Aktionsplan für CISOs:

1\. Sichtbarkeit schaffen

  • Aktueller Zustand: Keine Transparenz über Vibe-Coding-Apps
  • Ziel: Automatisierte Erkennung aller Assets, die auf Lovable, Replit, Base44 oder Netlify gehostet werden
  • Erste Maßnahme: Durchführung von DNS-Scans und Auswertung von Zertifikatstransparenz-Logs, um verbundene Unternehmenssubdomains zu identifizieren

2\. Zugriffskontrollen erzwingen

  • Aktueller Zustand: Öffentliche Standardeinstellungen
  • Ziel: Integration von SSO/SAML vor der Bereitstellung
  • Erste Maßnahme: Sperrung aller unauthentifizierten Apps, die auf interne Datenquellen zugreifen

3\. Code-Analyse erweitern

  • Aktueller Zustand: Keine Prüfung von Bürgerentwickler-Code
  • Ziel: Statische (SAST) und dynamische (DAST) Analysen vor der Produktion
  • Erste Maßnahme: Integration der Vibe-Coding-Projekte in bestehende Application-Security-Pipelines

4\. Datenverlust verhindern

  • Aktueller Zustand: Fehlende Überwachung von Datenflüssen
  • Ziel: Implementierung von Data-Loss-Prevention (DLP) für alle KI-generierten Anwendungen
  • Erste Maßnahme: Prüfung von Logs auf ungewöhnliche Datenabflüsse in Verbindung mit Vibe-Coding-Domains

5\. Governance einführen

  • Aktueller Zustand: Fehlende Richtlinien für KI-Entwicklung
  • Ziel: Erstellung eines KI-Rahmenwerks, das Nutzer, Anwendungen und Daten klassifiziert
  • Erste Maßnahme: Schulung von Mitarbeitern zu Risiken und Compliance-Anforderungen

Die Herausforderung liegt nicht nur in der technischen Umsetzung, sondern auch im Bewusstseinswandel. Während KI-gestützte Entwicklung zweifellos die Produktivität steigert, muss die Sicherheit von Anfang an mitgedacht werden. Unternehmen, die jetzt handeln, können verhindern, dass ihre Daten zur nächsten Schlagzeile werden.

Die nächsten Monate werden zeigen, ob die Branche lernt – oder ob die nächste Sicherheitskrise durch eine vermeidbare Fehlkonfiguration ausgelöst wird.

KI-Zusammenfassung

Yapay zeka destekli vibe kodlama uygulamaları şirketleri ciddi güvenlik risklerine maruz bırakıyor. 5.000'den fazla uygulama hassas verileriyle birlikte herkese açık durumda.

Tags

#siber güvenlik#veri ihlali#hassas veriler#gölge ai#vibe kodlama#ai güvenlik açığı#loovable replit#şirket verileri

Kommentare

00
KOMMENTAR SCHREIBEN
ID #L24MPB

0 / 1200 ZEICHEN

Menschen-Check

8 + 5 = ?

Erscheint nach redaktioneller Prüfung

Moderation · Spam-Schutz aktiv

Noch keine Kommentare. Sei der erste.

Ähnliche