Thought Leadership
Halluzinierte Abhängigkeiten in Code-Snippets machen es sichtbar: Künstliche Intelligenz verändert nicht nur den Code, sondern auch die Anforderungen an IT-Governance, Security, Prozesse, Plattformen und Rollen. CIOs müssen darauf strategisch reagieren. Fünf Aufgabenfelder zeigen, worauf CIOs jetzt strategisch reagieren müssen.
Vibe Coding und andere Herausforderungen in der IT-Entwicklung
KI-Coding-Assistenten wie GitHub Copilot oder Amazon CodeWhisperer generieren längst produktiven Code. Doch dieser Fortschritt birgt neue Risiken. Forschende der KU Leuven und der University of Maryland belegten 2024, dass viele dieser Tools Paketnamen halluzinieren, die (noch) gar nicht existieren. Angreifer nutzen diese Lücke – ein Phänomen, das als Slopsquatting bekannt wurde.
Ein Fall aus dem Frühjahr 2025 macht die Gefahr greifbar: Copilot schlug ein nicht existentes Softwarepaket vor – wenige Stunden später tauchte dieses inklusive Hintertür im öffentlichen Repository auf.
Was hier wie ein Einzelfall klingt, ist das Symptom eines systemischen Problems: Vibe Coding – also ungeprüftes Akzeptieren von KI-generierten Codevorschlägen – trifft auf unklare Plattform-Standards, fehlende Security-Governance und technische Wildwuchsstrukturen.
Was CIOs daraus ableiten müssen, reicht weit über das Thema „Copilot-Sicherheit“ hinaus.
1. Schaffen Sie echte Digitalisierung und keine MVPs!
Reality-Check 2024: Nur 27 % der Unternehmen schaffen einer Umfrage zufolge mehr als fünf KI-Anwendungen bis in den Regelbetrieb – und nur 16 % sehen einen messbaren finanziellen Mehrwert.
Das strategische Problem: Zwischen „Nein-Sager-IT“ und „Laissez-Faire-IT“ entsteht eine Lücke, die das Business zunehmend selbst schließt – mit eigenen Modellen, Shadow-KI und fehlender Steuerung. Bimodale Strukturen, in denen klassische Governance und schnelle Innovation zusammenkommen, funktionieren nur mit einem klaren Leitbild.
Die IT und das Business müssen in der Lage sein, den ROI echter KI-Projekte zu ermitteln – und Buzzword-getriebene Ideen, die besser mit Robotic Process Automation oder Datenanalyse lösbar wären, auch mit solchen Standardmitteln zu lösen.
Gleichzeitig wird von der CIO-Organisation erwartet, dass sie sich selbst zur Plattform-Instanz entwickelt: mit abgesicherten Pipelines, klaren Auswahlprozessen für KI-Enabler und automatisierten Kontrollpunkten, oft als Grundlage für Fachbereichs-getriebene Entwicklung (Citizen Development). Um dies zu ermöglichen, braucht es Prozesse, in denen Fachbereiche selbst beurteilen können, ob ein KI-Use-Case regulatorisch, ethisch und technisch tragfähig ist.
2. Schaffen Sie eine vernünftige Datengrundlage!
Datenqualität ist auch 2025 ein vernachlässigtes Thema – aber eine der größten Schwächen von KI-Anwendungen. Die kritische Grenze ist dabei RAG (Retrieval-Augmented Generation). Hier sucht die KI vor dem Beantworten von Fragen gezielt nach passenden Informationen über vorher zur Verfügung gestellte Quellen. Wenn dafür aber Modelle (Feintuning, Domain Adaption, …) angepasst werden müssen, ist die Datenqualität Erfolgsfaktor – eine Aufgabe, die in Business-Hand liegt. Hier decken KI-Programme Hausaufgaben auf, die angegangen werden müssen: Datenstrategie, Data Ownership und ggf. auch Enterprise Architecture Prinzipien.
Aber auch die IT-Abteilung hat Hausaufgaben zu erledigen: Um Gefahren wie Slopsquatting konsequent zu umgehen, gehören konsolidierte Registries je Technologie, nachvollziehbare Versionierung über Manifeste und automatisierte Scanprozesse in der CI/CD-Pipeline zur zukünftigen Basis für KI Delivery Teams. Das ist keine Innovationsbremse, sondern notwendig – auch mit Blick auf den EU AI Act.
3. Cyber Security nicht wegdelegieren!
IT-Security wird vielerorts noch als reaktive Kontrollinstanz begriffen. Generative KI zwingt zu einem Perspektivwechsel: Sie bringt neue Abhängigkeiten, neue Schattenprozesse und neue potenzielle Angriffsvektoren ins Unternehmen. Deshalb muss IT-Security als aktives Produkt etabliert werden – mit klar definierten Services, etwa für Paketprüfung, Threat-Modeling oder die Validierung von Modellverhalten. Hier muss klar und verbindlich geklärt sein, wo diese Leistungen aufgebaut werden.
Gleichzeitig braucht es eine fundierte Metriksteuerung, die teilweise bereits existiert. Business-Risiko-KPIs wie etwa Time-to-Detect oder potenzielle Recovery-Kosten gehören in das Steuerungsset. Erst dadurch entsteht ein gemeinsames Sicherheitsverständnis zwischen IT und Business.
4. Aktive Kostensteuerung beginnt mit Transparenz
Der Einsatz von Generativer KI treibt die IT-Kosten spürbar nach oben. Laut Tangoe steigen die Cloud-Ausgaben im Schnitt um 30 %, IBM rechnet mit fast 90 % mehr Rechenkosten bis 2025. Diese Kosten sind in vielen Budgets nicht sichtbar – sie gehen im allgemeinen IT-Betrieb unter.
CIOs müssen diese Ausgaben systematisch transparent machen – nicht nur für KI, sondern für die Technologiekosten insgesamt. Das setzt ein Umdenken in der Sichtbarmachung und der Steuerung von Kosten voraus: weg von statischen Budgets, hin zu dynamischer Kostensteuerung entlang von Nutzung, Mehrwert und Zeit. Finanzvorstände fordern dies inzwischen ohnehin aktiv ein – auch über die Abteilungsgrenzen hinweg. Der richtige Ansatz ist FinOps (Financial Operations), der Finanz-, Technologie- und Geschäftsteams verbindet, um Infrastruktur und Kosten gemeinsam zu steuern.
Ein erster stabiler Schritt ist die saubere Kostenzuordnung auf unterstützte Prozesse und damit auf konsumierende Business Units – etwa mithilfe von TCO-Dashboards, die laufende Ausgaben sichtbar und zuordenbar machen.
5. Nachhaltigen Kompetenzaufbau für KI schaffen!
Vielen Unternehmen mangelt es nicht an der richtigen Technologie, sondern an der Fähigkeit, sie richtig zu nutzen. KI-Kompetenz entsteht dann, wenn Prozessverständnis, analytisches Denken und technisches Know-how zusammenkommen. Ersteres bringt der Fachbereich mit, das zweite muss motiviert und Letzteres trainiert werden. Hier müssen Trainingskonzepte ansetzen, um messbare Wirksamkeit von KI zu erreichen.
CIOs und HR müssen daher zusammenarbeiten, um Lernpfade nah an den betrieblichen Realitäten zu entwickeln. Dazu zählen praxisnahe Schulungen, einfach integrierbare Weiterbildungsformate und handlungsorientierte Module, die sich gezielt an Fachbereiche mit Digitalisierungsauftrag richten. Im Zentrum stehen nicht allein Prompt-Design oder Plattformwissen, sondern vor allem ein geschärftes Verständnis für Prozesse, Entscheidungslogik und die organisatorischen Implikationen von KI-Initiativen.
Fazit
Spätestens mit dem Einzug generativer KI reicht es nicht mehr, Digitalisierung isoliert zu denken. Wer Automatisierung, Datenqualität, Sicherheit und Innovation getrennt steuert, riskiert Reibungsverluste – und verschenkt Potenzial.
Ein gemeinsames, strategisch verankertes Verständnis von Digitalisierung im Entscheiderkreis wird zur Pflicht. Der CIO spielt dabei eine zentrale Rolle: als Brückenbauer zwischen IT, Business und Governance – und als Gestalter eines fundierten, tragfähigen Rahmens für den Einsatz von KI im Unternehmen.
