ISMS Copilot
Ingenieurwesen

Software Engineering statt Vibe Coding

ISMS Copilot wird unter Anwendung professioneller Software-Engineering-Praktiken entwickelt und nicht mit „Vibe Coding“-Tools wie Lovable oder ähnlichen KI-gesteuerten No-Code-Plattformen. Auch wenn KI-gestützte Entwicklung eine Rolle in unserem Workflow spielt, verlassen wir uns auf strukturierte Prozesse, strenge Tests und eine produktionsreife Infrastruktur, um Sicherheit, Zuverlässigkeit und Skalierbarkeit für compliance-kritische Workloads zu gewährleisten.

Dieser Artikel beantwortet Fragen zu unserer Entwicklungsmethode und erklärt, warum Vibe Coding für Compliance-Software im Produktiveinsatz nicht geeignet ist.

Was ist Vibe Coding?

Vibe Coding bezieht sich auf KI-gestützte No-Code/Low-Code-Plattformen wie Lovable, die es Benutzern ermöglichen, Apps durch Eingaben in natürlicher Sprache und visuelle Editoren zu erstellen. Diese Tools priorisieren Geschwindigkeit und Benutzerfreundlichkeit und ermöglichen es Nicht-Ingenieuren, schnell Prototypen zu erstellen, indem sie beschreiben, was sie wollen, anstatt Code zu schreiben.

Obwohl sie für schnelles Prototyping und einfache Apps wertvoll sind, haben Vibe-Coding-Tools entscheidende Einschränkungen:

  • Frontend-fokussiert: Die meisten generieren React/TypeScript-UI-Code, lassen aber eine anspruchsvolle Backend-Architektur vermissen

  • Eingeschränkte Kontrolle: Entwickler können keine umfassenden Sicherheitsscans, benutzerdefinierten CI/CD-Pipelines oder Umgebungstrennungen erzwingen

  • Testlücken: Unit-Tests, Regressionstests und Sicherheitsscans sind oft minimal oder gar nicht vorhanden

  • Produktionsreife: Sofortige Bereitstellung (Instant Deployment) umgeht kritische Vorproduktionsvalidierungen, die für Compliance-Software erforderlich sind

Vibe Coding ist eine Falle für Produktionsanwendungen. Der Geschwindigkeitsvorteil verschwindet, sobald Sie komplexe Systeme, die sensible Daten verarbeiten, refactoren, sichern, testen und warten müssen.

Wie ISMS Copilot entwickelt wird

Wir nutzen einen disziplinierten Software Development Lifecycle (SDLC) mit Umgebungstrennung, automatisierten Tests und Sicherheitsscans in jeder Phase. So unterscheidet sich unser Prozess:

Branch-basierte Entwicklung

Jede Änderung beginnt in einem Feature-Branch. Entwickler committen niemals direkt in Staging oder Production. Dies stellt sicher:

  • Code-Review vor dem Merge

  • Isoliertes Testen von Änderungen

  • Rollback-Fähigkeit bei Problemen

  • Rückverfolgbare Änderungshistorie via Pull Requests

Umgebungstrennung

Wir unterhalten verschiedene Umgebungen mit identischen Konfigurationen:

  • Development-Branches: Lokale und isolierte Feature-Tests

  • Staging: Vorproduktionsumgebung, die die Produktionsinfrastruktur widerspiegelt (gleiches Datenbank-Schema, Dienste und Sicherheitsrichtlinien)

  • Production: Live-Umgebung für Benutzer, die erst nach der Staging-Validierung bereitgestellt wird

Staging ist so nah wie möglich an der Produktion. Wir testen hier Datenbank-Migrationen, API-Änderungen und Integrationen von Drittanbietern vor jedem produktiven Deployment.

CI/CD-Pipeline

Unsere Pipeline für kontinuierliche Integration und Bereitstellung führt bei jedem Pull Request und jedem Deployment automatisierte Prüfungen durch:

  • Unit-Tests: Auf Vitest basierende Tests validieren UI-Komponenten und Geschäftslogik

  • Sicherheitsscans: Statische Analyse (SAST) mit Semgrep erkennt Schwachstellen vor dem Merge

  • Regressionstests: Automatisierte Tests stellen sicher, dass neue Änderungen bestehende Funktionen nicht beeinträchtigen

  • 100% Erfolgsquote erforderlich: Bereitstellungen schlagen fehl und werden zurückgerollt, wenn ein Test fehlschlägt

GitHub Actions orchestriert diese Workflows und erzwingt Quality Gates, die Vibe-Coding-Plattformen nicht bieten können.

Änderungsplanung und Auswirkungsanalyse

Bevor wir Funktionen implementieren, analysieren wir:

  • Backend-Auswirkungen: Wie verändern sich das Datenbankschema, API-Verträge oder Integrationen von Drittanbietern?

  • Sicherheitsimplikationen: Werden dadurch neue Angriffsflächen oder Risiken der Datenexposition geschaffen?

  • Performance: Beeinflusst dies Abfragezeiten, Latenzzeiten der LLM-Antworten oder die Benutzererfahrung?

  • Compliance-Ausrichtung: Bleibt die Konformität mit GDPR, SOC 2 und ISO 27001 gewahrt?

Diese strukturierte Planung verhindert die „Move fast and break things“-Mentalität, die Vibe Coding fördert.

Für Compliance-Software, die audit-kritische Daten verarbeitet, ist strukturierte Planung kein Overhead – sie ist Risikomanagement.

Sicherheits- und Testpraktiken

Unser Engagement für Sicherheit geht über das hinaus, was KI-generierter Code bietet:

  • Jährliche Penetrationstests: Externe Experten prüfen auf Schwachstellen

  • Dynamic Application Security Testing (DAST): Scan von Schwachstellen zur Laufzeit

  • Prompt-Injection-Tests: KI-spezifische Sicherheitstests für feindselige Eingaben

  • Regressions-Test-Suiten: Validierung der KI-Ausgaben, Framework-Erkennung und Genauigkeit der Richtlinienerstellung

  • Monitoring: Überwachung von Halluzinationsraten, Antwortgenauigkeit und Systemleistung

Diese Praktiken sind in unserem AI System Technical Overview dokumentiert und stehen im Einklang mit unserem Weg zur ISO 27001-Zertifizierung (siehe Why we're not ISO 27001 certified yet).

KI-unterstützt, nicht KI-generiert

Wir setzen KI in der Entwicklung ein – aber als Werkzeug, nicht als Ersatz für technologische Disziplin:

  • Code-Assistenz: KI hilft beim Schreiben von Boilerplate, schlägt Refactorings vor und generiert Testfälle

  • Menschliche Verifizierung: Jeder KI-Vorschlag wird von Ingenieuren geprüft, getestet und validiert

  • Strukturierte Prompts: Wir nutzen KI innerhalb kontrollierter Workflows, nicht durch formlose „Vibe“-Prompts

Der Unterschied: KI beschleunigt die Entwicklung, aber Menschen setzen Architektur-, Sicherheits- und Qualitätsstandards durch.

KI-gestütztes Engineering kombiniert Geschwindigkeit mit Gründlichkeit. Vibe Coding opfert Gründlichkeit für Geschwindigkeit.

Warum dies für Compliance-Software wichtig ist

ISMS Copilot verarbeitet sensible Daten für ISO 27001, SOC 2, DSGVO und andere hochrelevante Frameworks. Benutzer vertrauen uns Folgendes an:

  • Proprietäre Richtlinien und Sicherheitsdokumentationen

  • Risikobewertungen und Audit-Nachweise

  • Kundenspezifische Compliance-Daten in Workspaces

Das Modell der schnellen Iteration von Vibe Coding steht im Widerspruch zu der Stabilität, Prüfbarkeit und Sicherheit, die Compliance-Experten benötigen. Unser Engineering-Ansatz gewährleistet:

  • Vorhersehbare Releases: Gestufte Rollouts mit getesteten Änderungen

  • Audit-Trails: Versionsgesteuerter Code, dokumentierte Deployments, rückverfolgbare Änderungen

  • Sicherheitsgarantien: MFA, Row-Level-Security, End-to-End-Verschlüsselung, kein Training mit Benutzerdaten

  • Zuverlässigkeit: Umfassende Tests verhindern Regressionen, die audit-reife Ergebnisse verfälschen könnten

Zugehörige Ressourcen

War das hilfreich?