Digitalisierung · KI · Mai 2026 · Lesezeit ~18 Min.

Im Februar 2025 hat Andrej Karpathy auf X den Begriff Vibe Coding populär gemacht: das Modell schreiben lassen und es durch Gespräch, Intuition und schnelle Überprüfungen lenken, anstatt jede Zeile selbst einzutippen. Ein Jahr später hat sich das Konzept vom provokativen Tweet zur professionellen Kategorie entwickelt. Claude Code, Cursor, Windsurf, Codeium, Codex und n8n-Agenten ermöglichen es einem KMU (kleinen und mittleren Unternehmen), interne Tools, Automatisierungen und Prototypen in Stunden statt in Wochen zu entwickeln. Dieser Leitfaden erklärt, was Vibe Coding ist, wie KI-Agenten in den täglichen Workflow passen, reale Fälle in spanischen KMU und wo die ernsthaften Risiken liegen — technische Schulden, Qualität, Sicherheit —, über die Ihnen kein Anbieter berichten wird.

Was Vibe Coding laut Karpathy ist

Der Begriff entstammt einem Tweet von Andrej Karpathy vom 2. Februar 2025: „There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists". Karpathy beschreibt das konkrete Muster: in natürlicher Sprache mit dem Modell sprechen, sehen was es generiert, ausführen, es bitten, Fehler zu korrigieren ohne sie notwendigerweise selbst zu lesen, und kleine Tools in Minuten zu erstellen.

Die Aussage fand Anklang, weil sie einer bereits laufenden Veränderung einen Namen gab. GitHub veröffentlichte in seinem Octoverse 2024, dass 92 % der professionellen Entwickler einen KI-Assistenten in ihrem Workflow verwendeten. Anthropic, OpenAI, Google und Cursor berichteten 2025, dass der Großteil ihrer Nutzung von Fachleuten stammte, die sich nicht als Softwareingenieure identifizierten, aber täglich Code schrieben: Datenanalysten, Marketingfachleute, Anwälte, Berater. Vibe Coding bündelt dieses Phänomen.

Drei Ebenen des Vibe Coding

Es ist sinnvoll, drei operative Ebenen zu unterscheiden, um Missverständnisse in der Diskussion zu vermeiden:

EbeneBeschreibungWerRisiko
L1 · AssistiertErweitertes Autocomplete wie Copilot. Der Mensch schreibt und das Modell schlägt vor.Jeder EntwicklerNiedrig
L2 · KonversationellDer Mensch beschreibt, was er möchte, und das Modell generiert vollständige Blöcke, die der Mensch prüft.Entwickler und technischer FachmannMittel
L3 · Reines VibeDer Mensch beschreibt das Ziel, das Modell schreibt, führt aus, debuggt und liefert. Der Mensch bewertet das Ergebnis, nicht den Code.Prototypen, Skripte, interne ToolsHoch in der Produktion

Karpathy beschreibt L3. Es ist das Aufregendste und das Missverstandenste: Es ist nur sicher, wenn der Umfang klein ist, die Daten nicht sensibel sind, automatisierte Tests das Verhalten validieren und es die Möglichkeit gibt, alles zu verwerfen und neu zu schreiben, falls es schiefläuft. Für die kritische Produktion eines KMU mit Kundendaten ist L3 ohne Aufsicht gefährlich.

Der Stack 2026: Claude Code, Cursor, Windsurf, Codeium

Vier Tools konzentrieren den Großteil des professionellen Markts im Jahr 2026. Jedes mit seiner eigenen Philosophie.

Claude Code (Anthropic)

Agentische CLI, die Anthropic im Mai 2025 veröffentlichte und sich im Laufe von 2025-2026 als Referenz für Vibe Coding im Terminal etabliert hat. Philosophie: Agent, der in Ihrer Shell lebt, Projektdateien liest, Befehle ausführt, Dateien mit expliziten Berechtigungen bearbeitet und MCPs (Model Context Protocol) integriert, um externe Quellen zu verbinden (GitHub, Notion, Datenbanken, interne APIs). Vorteile: feingranulare Kontrolle, Transparenz (Sie sehen jeden Befehl), Persistenz von Anweisungen über CLAUDE.md im Repository. Ideal für Senior-Entwickler, die einen ernsthaften Co-Piloten für lange Projekte suchen.

Cursor

VS Code-basierter Editor mit integrierter KI. Von Anysphere 2023 gestartet, wurde er 2024-2025 zum bevorzugten Editor im Startup-Tech-Segment. Philosophie: vertrauter Editor mit einem Modell (Claude, GPT, Gemini, proprietäre Modelle), das Ihre Codebasis indexiert, Fragen beantwortet, Blöcke vervollständigt und agentische Aktionen mit dem „Composer"-Modus ausführt. Vorteile: durchdachte UX, leistungsstarke Tastenkombinationen, semantische Indexierung des Repos. Die einfachste Option für jemanden, der von VS Code kommt und aufsteigen möchte.

Windsurf (Codeium)

VS Code-Fork, erstellt von Codeium, im November 2024 gestartet und in 2025-2026 sehr beliebt für seinen „Cascade"-Agenten, der Dateibearbeitung und Befehlsausführung in einem einzigen Workflow kombiniert. Philosophie: Editor + Agent ohne Trennung. Vorteile: aggressiver Preis bei Pro-Tarifen, flüssiger Agent für mehrstündige Aufgaben, gute Integrationen mit Web-Stack (Vercel, Next.js, Astro).

Codeium · klassisches Plugin

Vor Windsurf war Codeium das kostenlose Multi-IDE-Autocomplete. Es bleibt als Plugin für JetBrains, Eclipse, Sublime, Vim, Emacs aktiv. Für Profile, die ihren Editor nicht wechseln möchten, bleibt es die Option mit der besten IDE-Abdeckung.

Weitere wichtige Akteure

Welches Tool je nach Kontext wählen

KontextEmpfehlung 2026
Marketing / Berater, der Aufgaben automatisieren möchteClaude Code mit MCPs (Notion, Google Workspace) oder Cursor
Senior-Entwicklerteam im SaaSCursor + Claude Code parallel, je nach Aufgabe
Team, das granulare Audits benötigtAider (jede Änderung ist ein signierter Commit)
UX-Designer beim PrototypingVercel v0 + Cursor
Unternehmen mit JetBrains-StackCodeium Classic oder JetBrains AI Assistant
Verbessertes No-CodeReplit Agent oder Cursor lokal ohne vorhandene Codebasis

n8n-Agenten und visuelle Orchestrierung

Während Cursor und Claude Code die Entwicklerseite des Workflows besetzen, ist auf der Operations-Seite der Hauptakteur n8n. Die Open-Source-Automatisierungsplattform veröffentlichte 2024 ihre „AI Agent"-Knoten und machte sie im Laufe von 2025-2026 zum Standardmuster für die Komposition von Agenten ohne Codewriting:

Das typische Muster in einem KMU: ein Workflow, der eine eingehende E-Mail überwacht, sie mit einem KI-Agenten analysiert, entscheidet, ob es sich um eine Rechnung, einen Lead, eine Beschwerde oder ein Support-Ticket handelt, und automatisch weiterleitet — alles ohne dass ein Entwickler Code pflegen muss. Die Lernkurve wird in Stunden, nicht in Wochen gemessen.

Alternativen zu n8n für KMU

Reale KMU-Fälle

Drei Fälle, die den ROI veranschaulichen, wenn Vibe Coding gut angewendet wird — und zwei, bei denen es besser war aufzuhören.

Fall 1 · Anwaltskanzlei (8 Personen)

Problem: 6 bis 8 Stunden pro Woche für die Rechtsfachkraft beim Überprüfen von Standardverträgen und beim Extrahieren von Klauseln für eine Tracking-Tabelle. Mit Claude Code vibe-kodierte Lösung (2 Sessions à 3 Stunden): Python-Pipeline, die PDFs aus DocuSign herunterlädt, sie einem Claude-Agenten übergibt, der ein JSON mit extrahierten Feldern zurückgibt, das dann in Notion importiert wird. Ergebnis: Die Rechtsfachkraft gewann 5 Stunden pro Woche zurück, die Transkriptionsfehlerrate sank von ~3 % auf ~0,4 %, gemessen über 200 Verträge.

Fall 2 · Nischen-E-Commerce (4 Personen)

Problem: Produktbeschreibungen manuell für 600 SKUs verfasst, hinter dem echten Lieferantenkatalog zurückgeblieben. Mit Cursor vibe-kodierte Lösung (1 Tag): Skript, das den CSV-Feed des Lieferanten liest, Claude verwendet, um eine Beschreibung nach dem Markenstilguide zu generieren, über die API in WooCommerce hochlädt und zur menschlichen Überprüfung markiert. Ergebnis: Katalog in 48 Stunden aktualisiert, 580 Einträge fertig, 20 zur manuellen Überprüfung markiert.

Fall 3 · Marketingagentur (12 Personen)

Problem: monatliche Erstellung von 30 Kundenberichten mit Daten aus GA4, Search Console, SEMrush. Vorheriger Aufwand: ~40 Stunden/Monat zwischen zwei Analysten. Mit n8n vibe-kodierte Lösung (3 Sessions): Workflow mit geplanten Auslösern, Agent, der APIs abfragt, Narrativ im Kundenformat generiert, PDF in das Drive des Kunden hochlädt, über Slack benachrichtigt. Ergebnis: 40 Stunden → 4 Stunden/Monat (nur Überprüfung und Freigabe). Klarer ROI, erforderte aber intensive erste Überprüfung zur Vermeidung von Halluzinationen bei Zahlen (Kreuzvalidierung der Daten hinzugefügt).

Negativfall 1 · Startup, das seinen SaaS-Kern vibe-kodieren wollte

Ein Team aus 3 nicht-technischen Gründern wollte ihr B2B-SaaS-Produkt von Grund auf mit Replit Agent und Cursor in 6 Wochen entwickeln. Sie erreichten ein funktionsfähiges MVP, aber mit drei Problemen, die beim Onboarding der ersten 20 Kunden explodierten: (1) nicht erkannte SQL-Injektionen, da die vom Modell generierten Tests diese nicht abdeckten, (2) inkonsistente Autorisierungslogik zwischen Modulen (der Agent hielt die Sicherheitsinvariante nicht aufrecht), (3) massive technische Schulden — 18.000 Zeilen, die kein Teammitglied je gelesen hatte. Das Refactoring erforderte die Einstellung eines Senior-CTO für 3 Monate. Lektion: Reines Vibe funktioniert für eigenständige interne Tools, nicht für mandantenfähige SaaS mit Kundendaten in der Produktion.

Negativfall 2 · ERP-Migration durch einen Junior-Berater

Ein Junior-Berater vereinbarte, ein Legacy-ERP mit von Claude Code generierten Skripten für einen B2B-Kunden zu migrieren. Ohne Reviews, ohne funktionale Tests, mit echten Daten in der Vorproduktionsumgebung. Nach zwei Wochen entdeckte er, dass ein Feld „Deaktivierungsdatum" falsch zugeordnet worden war und 1.200 aktive Kunden im neuen ERP als inaktiv markiert hatte. Sechs Tage Rollback-Arbeit. Lektion: Vibe Coding ersetzt NICHT das Migrationsdesign durch jemanden mit Erfahrung im Geschäftsbereich.

Ein realistischer Tagesworkflow für 2026

Für ein KMU, das mit Vibe Coding beginnt, hat der produktive Workflow im ersten Quartal ein wiederholbares Muster. Die typische Entwicklungssession am Morgen sieht folgendermaßen aus:

  1. 10-minütiges Daily Stand-up, bei dem das Team entscheidet, welche Aufgaben für Vibe Coding geeignet sind (eigenständig, kein Zugriff auf Zahlung oder Authentifizierung) und welche manuelle Codierung mit Überprüfung erfordern.
  2. 90-Minuten-Block mit Cursor oder Claude Code für ein konkretes Ziel: ein Modul refaktorieren, einen Bericht automatisieren, einen neuen Endpunkt aufbauen. Der Agent arbeitet, der Mensch bewertet und führt.
  3. Adversarialer Test-Durchgang: Der Mensch bittet den Agenten, 8 bis 10 Tests zu schreiben, die versuchen, den generierten Code zu brechen. Falls Tests fehlschlagen, werden sie vor dem Weitermachen korrigiert.
  4. Code-Review durch zwei Personen: Jeder Merge in Main durchläuft eine menschliche Überprüfung, auch wenn der Code vom Agenten generiert wurde. Wenn der Prüfer etwas nicht versteht, muss der Autor es erklären können (Anti-Rein-Vibe-Regel).
  5. Merge + Preview-Deployment mit manueller Überprüfung des realen Verhaltens im Browser.
  6. Tagesabschluss: CLAUDE.md / .cursorrules mit jeder während der Session gelernten Konvention aktualisieren, damit die nächste Session mit mehr Kontext beginnt.

Dieses Muster erhält die Geschwindigkeit des Vibe Coding, ohne die Qualität zu vernachlässigen. Teams, die die Schritte 3, 4 und 6 überspringen, sind diejenigen, die innerhalb weniger Monate technische Schulden anhäufen.

Risiken: technische Schulden, Qualität, Sicherheit

Anbieter werden Ihnen diese Risiken nicht nennen. Es lohnt sich, sie aufzulisten, um fundierte Entscheidungen zu treffen:

1. Unsichtbare technische Schulden

Von einem Agenten generierter Code kann beim ersten Test funktionieren, aber schwer zu warten sein. Schlecht benannte Variablen, Strukturen, die nicht dem Repository-Stil folgen, duplizierte Logik, unnötige Abhängigkeiten. Wenn niemand prüft, wächst die Schuld. Die gesunde Praxis: Nach dem initialen Vibe-Prompt in jeder Session ein „geführter Bereinigungsdurchgang", bei dem der Agent gemäß einem spezifischen Styleguide refaktoriert.

2. Täuschende Testqualität

Agenten neigen dazu, Tests zu generieren, die den Happy Path prüfen und Edge Cases auslassen. Ergebnis: scheinbar 90 % Abdeckung, aber Bugs in der Produktion. Die gesunde Praxis: Kritische Tests manuell überprüfen oder den Agenten bitten, explizite adversariale Tests zu schreiben („Schreibe 10 Tests, die versuchen, diese Funktion zu brechen").

3. Schwache Sicherheit by Default

Modelle neigen dazu, funktionalen, aber nicht standardmäßig sicheren Code zu generieren. Verkettete SQL-Strings, laxe Eingabevalidierung, Secrets im Code oder in Logs, permissives CORS. Die gesunde Praxis: Einen Sicherheits-Linter (Semgrep, CodeQL, Snyk) integrieren, der bei jedem PR ausgeführt wird, und im Prompt explizit angeben: „Dieser Code geht in mandantenfähige Produktion, wende Defense-in-Depth an".

4. Code-Halluzinationen

Der Agent kann Bibliotheksfunktionen erfinden, die nicht existieren, falsche Parameter, nicht vorhandene Versionen. Obwohl dies 2026 viel seltener ist als 2023, kommt es bei Nischenbibliotheken noch vor. Die gesunde Praxis: Generierten Code immer in einer isolierten Umgebung ausführen, bevor er akzeptiert wird, und jeder wenig bekannten Abhängigkeit misstrauen.

5. Unvorhersehbare Kosten

Eine lange Claude Code- oder Cursor-Session mit sehr großzügigen Tokens kann 5 bis 20 € kosten. Bei Teamvolumen skaliert das. Die gesunde Praxis: monatliches Budget pro Person, Ausgabenüberwachung, günstigere Modelle (Haiku, Mini) für repetitive Aufgaben und Premium-Modelle nur für komplexes Reasoning.

6. Verlust des operativen Teamwissens

Wenn Seniors an Agenten delegieren und Juniors den Code nie sehen, verliert das Team seine eigene Kompetenz. Die gesunde Praxis: 1 bis 2 Stunden pro Woche für die menschliche Überprüfung von generiertem Code aufwenden, im Format von inversem Mentoring (Juniors erklären dem Senior, was der Agent getan hat).

7. Rechtliche Compliance und geistiges Eigentum

Von einem auf lizenzierten Repositories trainierten LLM generierter Code kann Lizenzbeschränkungen mit sich bringen. Die wichtigsten Anbieter (Anthropic, OpenAI, GitHub Copilot Enterprise) bieten bedingte Haftungsfreistellung — lesen Sie diese. Wenn Ihr Produkt an die spanische öffentliche Verwaltung verkauft werden soll, stellen Sie sicher, dass die Lizenzen mit der Open-Source-Klausel des nationalen Schemas vereinbar sind, sofern anwendbar.

Das „Vibe Engineer"-Profil 2026

Der Entwicklermarkt schafft eine neue Berufskategorie: den Vibe Engineer. Das ist kein Junior, der Cursor verwendet, um schneller zu programmieren; es ist ein Senior mit Urteilsvermögen, der Agenten orchestriert und Outputs überprüft. Die vom Markt geschätzten Kompetenzen:

Für ein spanisches KMU bedeutet dies, dass das Entwicklerprofil nicht verschwindet: Es verändert sich. Ein Team aus 4 kann aufhören, 8 zu benötigen (durch den Agenten multiplizierte Produktivität), aber die verbleibenden 4 müssen Seniors mit Erfahrung in Architektur, Sicherheit und Fachdomäne sein. Das KMU, das darauf setzt, Seniors durch Juniors mit Vibe zu ersetzen, wird die Rechnung in technischen Schulden und Vorfällen 12 bis 18 Monate später zahlen.

Häufige Fragen zum Vibe Coding

Was ist der Unterschied zwischen Vibe Coding und Programmieren mit Copilot?

Traditionelles Copilot assistiert zeilenweise: Der Mensch schreibt und das Modell schlägt Ergänzungen vor. Vibe Coding geht weiter: Der Mensch beschreibt das Ziel in natürlicher Sprache und das Modell (Claude Code, Cursor Composer, Windsurf Cascade) schreibt vollständige Blöcke, führt Befehle aus, bearbeitet mehrere Dateien parallel und debuggt. Der entscheidende Unterschied liegt im Delegationsgrad: Bei Copilot steuert der Mensch, beim Vibe Coding dirigiert der Mensch den Agenten-Piloten. Für kleine, eigenständige Aufgaben ist Vibe Coding viel schneller; für kritische Produktionsumgebungen muss die Aufsicht gewährleistet bleiben.

Kann ich ein komplettes SaaS ausschließlich mit Vibe Coding entwickeln?

Technisch gesehen können Sie in wenigen Wochen ein funktionsfähiges MVP erreichen, wie viele Gründer 2024-2025 mit Replit Agent oder Cursor demonstriert haben. In der Praxis erfordert die Inbetriebnahme dieses MVPs in einer Mehrmieter-Produktionsumgebung mit echten Kunden fast immer ein Refactoring durch Senior-Entwickler. Typische Probleme sind inkonsistente Autorisierungslogik zwischen Modulen, duplizierte Geschäftslogik, fehlende adversariale Tests, schlechte Fehlerbehandlung und unnötige Abhängigkeiten. Vibe Coding eignet sich hervorragend zur Ideenvalidierung und für erste Nutzer; für die Skalierung auf Unternehmenskunden ist eine menschliche Architektur unerlässlich.

Welches Vibe-Coding-Tool sollte ich 2026 wählen, wenn ich kein professioneller Entwickler bin?

Für einen Nicht-Entwickler (Marketingfachleute, Anwälte, Analysten, Berater), der interne Aufgaben automatisieren möchte, ist die produktivste Kombination in 2026 Cursor (KI-Editor) für lokale Skripte und Tools, ergänzt durch Claude Code für Terminal und Systemoperationen, und n8n für wiederkehrende visuelle Automatisierungen. Bei Full-Stack-Web-Anwendungen ermöglichen Vercel v0 und Replit Agent den Einstieg mit Prompts. Entscheidend ist, ein Tool zu wählen und es 4 bis 6 Wochen zu vertiefen, bevor man wechselt: Die Wechselkosten sind die Kurve der Prompts und Konfigurationen.

Ist es sicher, Kundendaten an Claude Code oder Cursor weiterzugeben?

Das hängt vom gebuchten Tarif ab. Die Enterprise-Tarife von Anthropic (Claude for Work / Enterprise) und Cursor Business / Enterprise enthalten Klauseln, die verhindern, dass Ihre Daten für das Training zukünftiger Modelle verwendet werden, gewährleisten die Datenspeicherung in bestimmten Regionen (EU ab 2026 verfügbar) und umfassen DSGVO-konforme Auftragsverarbeitungsverträge. Kostenlose oder Verbrauchertarife bieten nicht dieselben Garantien. Für ein spanisches KMU, das Kundendaten gemäß DSGVO verarbeitet, ist der Enterprise-Tarif die sichere Wahl, mit einer klaren Liste, auf welche Daten die Agenten zugreifen dürfen.

Wie vermeide ich technische Schulden durch KI-generierten Code?

Vier konkrete Praktiken: (1) Definieren Sie den Repository-Styleguide (CLAUDE.md, .cursorrules), den der Agent bei jeder Session befolgt; (2) nach jeder produktiven Session ein Refactoring-Durchgang, bei dem der Agent gemäß dem Leitfaden bereinigt; (3) Regressionstests, die vor jedem Merge in der CI ausgeführt werden; (4) regelmäßige menschliche Überprüfung des generierten Codes im Pair-Review-Format zwischen Senior und Junior oder zwischen zwei Seniors. Diese vier Praktiken reduzieren technische Schulden auf das Niveau von Code, der von einem erfahrenen menschlichen Team geschrieben wurde, ohne die Vibe-Coding-Geschwindigkeit zu verlieren.

Ersetzt Vibe Coding Entwickler in meinem KMU?

Es ersetzt nicht, es verändert. Ein Team aus 4 Senior-Entwicklern mit gut angewendetem Vibe Coding kann die Ausgabe eines früheren Teams von 7 bis 8 ohne Vibe aufrechterhalten. Aber dieses Team aus 4 muss aus Seniors bestehen: mit Erfahrung in Architektur, Fachdomäne, Sicherheit und kritischer Überprüfung. Seniors durch Juniors mit Vibe Coding zu ersetzen ist ein Fehler, der in technischen Schulden und Vorfällen 12 bis 18 Monate später bezahlt wird. Der Markt wird mehr für Seniors zahlen, die Agenten orchestrieren, als für Juniors, die nur promoten — und noch mehr für Seniors mit Erfahrung in DSGVO und KI-Verordnung.

Sind Vibe Coding und die KI-Verordnung (AI Act) kompatibel?

Ja, mit drei Vorsichtsmaßnahmen. (1) Wenn Ihr KMU ein KI-System des Anhangs III (hohes Risiko) mit Hilfe von Agenten entwickelt, gelten die Governance-, Dokumentations- und Aufsichtspflichten der KI-Verordnung unverändert: Sie bleiben als Anbieter verantwortlich. (2) Wenn die Agenten personenbezogene Daten verarbeiten, findet die DSGVO vollständig Anwendung (Rechtsgrundlage, Auftragsverarbeitungsvertrag mit dem Agenten-Anbieter, Rechte der betroffenen Personen). (3) Art. 4 der KI-Verordnung verlangt KI-Kompetenz des Personals: Wenn Ihr Team Claude Code oder Cursor täglich verwendet, müssen Sie die Schulung und die interne Nutzungsrichtlinie dokumentieren. Es empfiehlt sich, diese Dokumentation jetzt zu erstellen, vor August 2026.