Die Governance-Lücke ist bereits sichtbar
Eine Top-3-Europäische Bank führte im Q4 2025 ein internes Audit der KI-gestützten Entwicklung durch. Ingenieure hatten 214.000 Zeilen KI-generierten Code in 47 Repositories eingecheckt. Das Audit ergab, dass 38 % der Commits keine nachvollziehbare Spezifikation hatten, 61 % keine dokumentierte Überprüfung aufwiesen und 12 % Systeme betrafen, die im Rahmen der ICAAP-Meldung der Bank lagen. Der CISO fror alle KI-Coding-Tools innerhalb einer Woche ein.
Das ist kein Einzelfall. Es ist das Muster, das wir in jeder regulierten Branche beobachten.
Warum ungesteuerte KI das Audit nicht besteht
Ungesteuerte KI behandelt Code als das Artefakt. Ein Entwickler gibt einen Prompt ein, das Modell generiert, und die Ausgabe landet in einem Pull Request. Das funktioniert bei einer Consumer-App. Es scheitert in jeder Umgebung, in der ein Prüfer später fragt: „Warum verhält sich dieses System so?”
Die Antwort „das Modell hat es produziert” ist unter SOX 404, GDPR Artikel 22 oder FedRAMP-Kontrolle CM-3 nicht zulässig. Regulierungsbehörden verlangen eine Spezifikation, eine Überprüfung und einen signierten Pfad von der Absicht zum laufenden Code. Forrester veröffentlichte im Februar 2026 eine Einschätzung, dass 70 % der KI-Pilotprojekte in Unternehmen das Audit nicht bestehen werden, sofern die Generierungspipeline kein überprüfbares Zwischenartefakt erzeugt.
Was gesteuerte KI tatsächlich bedeutet
Gesteuerte KI kehrt die Artefakt-Hierarchie um. Die Spezifikation — ein JSON-Deskriptor, eine DSL oder ein typisiertes Schema — wird zur einzigen Wahrheitsquelle. Das Modell generiert die Spezifikation, Menschen überprüfen sie, und der laufende Code wird deterministisch aus der genehmigten Version regeneriert. Der Code selbst ist Wegwerfware.
Dieser Wandel ist wichtig, weil die Überprüfung skaliert. Eine 300-Bildschirm-Anwendung generiert etwa 140.000 Zeilen TypeScript. Kein Prüfungsgremium kann das lesen. Dieselbe Anwendung passt in 4.200 Zeilen JSON-Deskriptor. Eine Zwei-Personen-Überprüfung schafft es an einem Tag.
Die drei Kontrollen, die Regulierungsbehörden fordern werden
Wir waren in den letzten sechs Monaten an fünf Audit-Gesprächen beteiligt, in denen Regulierungsbehörden dieselben drei Kontrollen verlangten. Erstens muss jedes KI-generierte Artefakt auf eine genehmigte Spezifikation zurückführbar sein. Zweitens muss der Generierungsschritt reproduzierbar sein — gleiche Eingabe, gleiche Ausgabe, dauerhaft. Drittens darf keine KI-Ausgabe den bestehenden Change-Management-Prozess des Unternehmens umgehen.
Die meisten handelsüblichen Coding-Assistenten erfüllen heute keine dieser Anforderungen. Die Tools, die den Compliance-Zyklus 2027 überleben werden, sind diejenigen, die um ein spezifikationsgesteuertes Modell herum gebaut sind.
Warum die Wirtschaftlichkeit trotzdem stimmt
Gesteuerte KI wird manchmal als Geschwindigkeitsbremse dargestellt. In der Praxis ist das Gegenteil der Fall. Wenn die Spezifikation das Artefakt ist, ist Regenerierung kostenlos. Eine Kontrolländerung im Deskriptor propagiert in Minuten durch 200 Bildschirme. Ein in Produktion gefundener Fehler wird in der Spezifikation behoben, und jedes nachgelagerte Modul erbt die Korrektur beim nächsten Build.
Wir haben dies über Oracle Forms-Migrationen hinweg gemessen. Teams mit einer gesteuerten Pipeline lieferten 3,2-mal mehr Bildschirme pro Ingenieur-Monat als Teams mit ungesteuerten KI-Coding-Assistenten, und ihre Change-Failure-Rate war 78 % niedriger.
Der regulatorische Zeitplan
Die Hochrisiko-Bestimmungen des EU AI Act treten im August 2026 vollständig in Kraft. Die Cybersecurity-Offenlegungsregel der SEC verlangt bereits, dass wesentliche Vorfälle innerhalb von vier Geschäftstagen gemeldet werden. FedRAMP Rev 5 wird aktiv ausgerollt. Jede dieser Regelungen macht ungesteuerten KI-Code innerhalb von 18 Monaten zu einer Vorstandshaftung.
Unternehmen, die auf eine Stabilisierung der Regeln warten, bevor sie Governance einführen, werden bei Compliance und Geschwindigkeit zwei Jahre hinterherhinken. Die Unternehmen, die jetzt gesteuerte Pipelines aufbauen, profitieren von einem kumulativen Vorteil in beiden Bereichen.
Das Fazit
Das nächste Jahrzehnt der Unternehmenssoftware wird nicht von den Teams gewonnen, die Code am schnellsten generieren. Es wird von den Teams gewonnen, deren Generierungspipelines ein Audit beim ersten Durchlauf bestehen. Governance ist keine Bremse für KI. Sie ist der Grund, warum KI endlich die Systeme erreichen wird, die am meisten zählen.