KI schreibt den Code. Wer testet ihn?

Es gibt eine weit verbreitete Annahme, die sich in Software-Entwicklungsteams heimlich verbreitet: Die KI-Tools sind inzwischen so gut, dass das Testen weniger wichtig wird. Copilot schreibt den Code, die KI generiert die Tests, die Pipeline läuft erfolgreich durch - worüber muss man sich dann noch Gedanken machen?

Eine ganze Menge, wie sich herausstellt.

KI-unterstützte Entwicklung ist ein echter Produktivitätsdurchbruch. Aber sie beseitigt das Qualitätsrisiko nicht. Es wird umverteilt - an neue Orte, in neue Formen und oft ganz aus dem Blickfeld. Zu verstehen, wohin das Risiko geht, ist der Ausgangspunkt, um zu verstehen, warum unabhängige Tests so wichtig sind wie nie zuvor.

Die Echokammer der Qualität

Wenn eine KI sowohl den Produktivcode als auch die Tests für diesen Code generiert, geschieht etwas strukturell Beunruhigendes: Das System überprüft seine eigene Logik anhand seiner eigenen Annahmen. Die Tests laufen erfolgreich durch. Aber möglicherweise testen sie nicht die richtigen Dinge.

In der traditionellen Entwicklung haben selbst unvollkommene Teams eine natürliche Qualitätskontrolle eingebaut: Die Person, die die Tests schreibt, ist normalerweise nicht dieselbe Person, die den Code geschrieben hat. Das schafft Reibung - und Reibung führt zu Fehlern. In einer vollständig KI-gesteuerten Pipeline fällt diese Trennung völlig weg.

Dies ist kein hypothetisches Problem. Untersuchungen von Qodo haben ergeben, dass fehlender Kontext das am häufigsten genannte Qualitätsproblem bei KI-generiertem Code ist, das von 65 % der Entwickler bei der Testerstellung und Codeüberprüfung genannt wird.

Das Problem besteht nicht darin, dass KI-Code bei offensichtlichen Prüfungen versagt. Es geht darum, dass die Lücken zwischen dem, was beabsichtigt war, und dem, was gebaut wurde, für das System, das ihn erstellt hat, unsichtbar werden.

Ein externes Testteam hat keine gemeinsame Geschichte mit der Codebasis. Keine Verankerung in den Annahmen der KI. Kein Interessenkonflikt zwischen Liefergeschwindigkeit und Qualität. Das ist keine Einschränkung - es ist der Kernwert.

Code, der richtig aussieht, es aber nicht ist

KI-generierter Code hat ein ausgeprägtes Fehlerprofil, das herkömmliche Überprüfungsprozesse weniger effektiv macht. Der Code ist syntaktisch sauber, gut formatiert und besteht oft grundlegende automatische Prüfungen. Probleme tauchen auf der semantischen Ebene auf: falsche Geschäftslogik, fehlende Sicherheitskontrollen, subtile Randfälle, die im Prompt nicht spezifiziert wurden und die die KI nicht vorhersehen konnte.

Die Cloud Security Alliance beschreibt das Problem genau: Die gefährlichsten KI-generierten Fehler sehen überhaupt nicht wie Fehler aus. Sie treten in den Lücken zwischen Logik, Geschäftskontext und Randfällen auf - und sie sind schwerer zu erkennen, weil der Code korrekt aussieht.

Der GenAI Code Security Report 2025 von Veracode liefert ein konkretes Beispiel dafür, wie sich dies in der Praxis auswirkt: KI generiert routinemäßig API-Endpunkte ohne Eingabevalidierung - nicht weil der Code in irgendeinem offensichtlichen Sinne "falsch" ist, sondern weil die Eingabeaufforderung nicht danach gefragt hat. Das Fehlen von Sicherheitskontrollen ist kein Syntaxfehler. Es wird keinen Linter auslösen. Es erfordert einen Prüfer, der weiß, was das System tun soll - und nicht nur, was es derzeit tut. Die von Veracode durchgeführte Analyse von über 100 Sprachmodellen für 80 reale Codierungsaufgaben ergab, dass 45 % aller generierten Codebeispiele die OWASP Top 10-Schwachstellen enthielten - und diese Rate ist trotz Verbesserungen der zugrunde liegenden Modelle völlig gleich geblieben.

Das Ausmaß ist eindeutig erkenntlich: CodeRabbits Analyse von 470 GitHub-Pull-Requests ergab, dass KI-generierter Code etwa 1,7 Mal mehr Probleme enthält als von Menschen geschriebener Code. Nicht nur mehr Probleme - auch schwerwiegendere. Kritische Fehler treten 1,4-mal so häufig auf. Logik- und Korrektheitsprobleme treten 75 % häufiger auf. Leistungsmängel treten fast 8-mal häufiger auf.

Unternehmen, die KI-generierten Code schnell und ohne angepasste Testverfahren einsetzen, erhöhen systematisch ihre Fehlerquote in der Produktion. In der Regel stellen sie dies fest, wenn die Kosten eines Fehlers bereits hoch sind.

Technische Schulden entstehen unbemerkt

Es gibt noch ein drittes Risiko, das weniger sichtbar ist als die anderen, aber mit der Zeit die größten Auswirkungen haben könnte.

KI produziert Code schneller, als Teams das nötige Verständnis aufbauen können, um ihn sicher zu ändern, zu testen oder zu debuggen. Forscher haben dieser Dynamik einen Namen gegeben: Cognitive Debt ist die Aushöhlung gemeinsamer mentaler Modelle innerhalb eines Teams; Intent Debt ist das Fehlen dokumentierter Gründe und Rahmenbedingungen.

Ein im März 2026 veröffentlichtes Paper von Margaret-Anne Storey von der University of Victoria fasst die wichtigste Erkenntnis zusammen: Generative KI beseitigt die Herausforderungen der Softwareentwicklung nicht - sie verteilt sie neu.

Technische Schulden, die sich in den Code-Qualitätsmetriken sichtbar werden, können mit Hilfe von KI sogar abnehmen. Aber die Schulden, die sich in den Köpfen der Mitarbeiter und in der fehlenden Dokumentation der Gründe für die getroffenen Entscheidungen ansammeln, wachsen leise und kontinuierlich. Teams merken oft nicht, wie viel Verständnis sie verloren haben, bis etwas unerwartet scheitert. In einer verwandten Studie von Shaw und Nave (2026) wird dies als "Cognitive Surrender" beschrieben - die unkritische Übernahme von KI-Ergebnissen, die das Vertrauen aufbläht, selbst wenn die KI falsch liegt, wodurch Fehler unsichtbar werden, bis sie in der Produktion auftreten.

Für einen externen Testpartner hat diese Dynamik eine wichtige Implikation: Ein externes Team sammelt keine kognitiven Schulden über eine Codebasis an. Jeder Auftrag beginnt mit einer unabhängigen, unvoreingenommene Perspektive. In einer Welt, in der das interne Verständnis mit der Zeit erodiert, wird dies zu einem strukturell dauerhaften Vorteil - und nicht nur zu einem Vorteil auf Projektebene.

Die Regulierung zieht nach

Für Organisationen in regulierten Sektoren gibt es nun eine vierte, verbindliche Dimension zu berücksichtigen.

Der EU AI Act tritt am 2. August 2026 in Kraft und schreibt für Hochrisikosysteme in den Bereichen kritische Infrastruktur, Finanzdienstleistungen, Gesundheitswesen, Bildung und Beschäftigung eine überprüfbare, dokumentierte und unabhängige Qualitätssicherung vor. Nicht nur Qualität. Es geht um nachweisbare Qualität mit einem Audit-Trail, der von einer Partei durchgeführt wird, die glaubhaft ihre Unabhängigkeit vom Entwicklungsprozess behaupten kann. Die Strafen können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen.

Interne Teams sind strukturell nicht in der Lage, dies zu leisten. Die Verordnung führt nicht nur zu einem Mehraufwand bei der Einhaltung der Vorschriften - sie schafft auch eine formale Anforderung für genau die Art von externen, neutralen Tests, die schon immer den Kern der unabhängigen Qualitätssicherung bildeten.

Für Organisationen, die unter die Verordnung fallen, ist dies nicht mehr optional. Für andere ist es ein frühes Signal: Der Trend bei der Regulierung von Software geht eindeutig in Richtung dokumentierter, überprüfbarer Qualitätsprozesse.

Was das in der Praxis bedeutet

Die Entwickler selbst wissen, dass etwas nicht in Ordnung ist. Die Stack Overflow 2025 Developer Survey, an der fast 50.000 Entwickler in 177 Ländern teilnahmen, ergab, dass 46 % der Befragten der Genauigkeit von KI-Tools misstrauen. Nur 3 % geben an, großes Vertrauen in KI-generierte Ergebnisse zu haben. Dennoch liefern dieselben Entwickler KI-generierten Code in einem noch nie dagewesenen Umfang aus - weil die Überprüfungskapazität nicht mit der Generierungsgeschwindigkeit skaliert.

Der DORA State of AI-Assisted Software Development Report (2025) fügt eine weitere Dimension hinzu: Die Einführung von KI steht messbar Negativ im Zusammenhang mit der Stabilität der Softwareentwicklung, und Unternehmen mit fragmentierten Qualitätsprozessen erleben, dass KI ihre technischen Schulden beschleunigt, anstatt sie zu reduzieren.

Dies ist das klassische Muster, das die Nachfrage nach professionellen Dienstleistungen erzeugt: ein erkanntes Problem, das intern nicht gelöst werden kann. Der Engpass ist nicht das Bewusstsein. Es sind die Kapazität und die Unabhängigkeit.

Das Testen von KI-generierter Software erfordert mehr als die Anwendung bestehender Test-Frameworks auf eine neue Art von Code. Es erfordert ein Verständnis des spezifischen Fehlerprofils von KI-generiertem Code - wo sich die Risiken konzentrieren, wie sich semantische Fehler von herkömmlichen unterscheiden und wie zu bewerten ist, ob ein System das tut, was Benutzer und Unternehmen tatsächlich brauchen, und nicht nur das, was die KI aus der Eingabeaufforderung interpretiert hat.

Die eigentliche Frage ist nicht, ob KI Code schreiben kann. Sondern ob Ihr Unternehmen verlässlich prüfen kann, ob die Software wirklich das tut, was er soll. Unabhängige Tests machen genau das sichtbar - bevor Fehler, Compliance-Lücken oder versteckte Qualitätsrisiken produktiv werden.

-- Florian Fieber

Die Position, auf die es ankommt

Es gibt einen einfachen Weg, das Geschehen zu beschreiben: Da die Entwicklung zunehmend automatisiert wird, wird das Testen zur letzten zuverlässigen Qualitätskontrolle. Es ist die einzige systematische Überprüfung, ob der Code tatsächlich das tut, was er tun soll.

Das ist keine pessimistische Sicht auf die KI. Es ist eine realistische. Die KI-gestützte Entwicklung ist ein echter Produktivitätsdurchbruch - und wie jeder Produktivitätsdurchbruch in der Geschichte der Software erhöht sie die Bedeutung der Qualitätsprozesse, die sie begleiten.

Unabhängige Testpartner - ohne Interessenkonflikte, ohne kumulierte blinde Flecken und mit glaubwürdiger Neutralität für Compliance-Zwecke - sind strukturell in der Lage, die Lücke zu füllen, die die KI-Entwicklung schafft.

Auf die Frage "KI schreibt den Code - wer testet ihn?" gibt es eine klare Antwort. Es sollte nicht dasselbe System sein, das ihn geschrieben hat.

Wenn Sie überprüfen wollen, ob Ihre QS-Strategie den Risiken von KI-generierter Software bereits gewachsen ist, lohnt es sich, jetzt eine unabhängige externe Perspektive einzunehmen.

Quellen

Qodo, State of AI Code Quality (2025) - qodo.ai/reports/state-of-ai-code-quality

Cloud Security Alliance, Understanding Security Risks in AI-Generated Code (July 2025) - cloudsecurityalliance.org

Veracode, GenAI Code Security Report 2025 - veracode.com

CodeRabbit, State of AI vs Human Code Generation (December 2025) - coderabbit.ai

Storey, M-A., From Technical Debt to Cognitive and Intent Debt (March 2026) - arxiv.org/abs/2603.22106

Shaw & Nave, Thinking Fast, Slow, and Artificial (2026) - ssrn.com/abstract=6097646

EU AI Act, Regulation 2024/1689 - digital-strategy.ec.europa.eu

Stack Overflow, Developer Survey 2025 - survey.stackoverflow.co/2025

DORA, State of AI-Assisted Software Development (September 2025) - cloud.google.com