Join the Waitlist →
„KI fühlt sich für die meisten Menschen an wie Alzheimer."
James Cameron hat Recht. Aber die Diagnose gilt anders, als er denkt.
AI Code Governance
CTO Perspektive
Die Ausgangslage
James Cameron saß vor kurzem in Bill Gates' Netflix-Gespräch „What's Next" und sagte einen Satz, der für viele Zuschauer wie ein Stich war: Das Gefühl der meisten Menschen gegenüber KI sei strukturell dem ähnlich, was Menschen bei beginnendem Alzheimer empfinden. Wachsender Kontrollverlust. Wachsendes Unverständnis über die eigenen Systeme. Angst. Frustration. Und das Wissen, dass der Prozess unumkehrbar ist.
Das ist ein schweres Bild. Man muss damit sorgsam umgehen — Alzheimer ist eine reale, verheerende Krankheit, und Cameron benutzt sie als Metapher, nicht als Gleichsetzung. Aber als Metapher trifft sie etwas Echtes.
Für wen trifft es besonders?
  • CTOs und Tech Leads
  • Jeden, der eine Codebase verantwortet
  • Teams, die mit KI bauen
Die Symptome
Wenn ich CTOs in den letzten 18 Monaten zugehört habe, höre ich fast wörtlich, was Cameron beschreibt:
„Ich weiß nicht mehr, was in unserem Code eigentlich drinsteckt."
„Der Entwickler hat es mit Claude Code gebaut, ich habe es durchgewunken, jetzt läuft es in Produktion, und niemand im Team kann mir genau sagen, was dort passiert."
„Wir haben letzte Woche einen API-Endpoint entdeckt, von dem keiner wusste, dass er existiert."
„Bei jedem Merge frage ich mich, ob ich gerade eine Sicherheitslücke durchwinke."
Das ist nicht Paranoia. Das ist eine rationale Reaktion auf eine neue Arbeitsweise.
46%
KI-generierte Commits
Aller neuen Commits auf GitHub sind inzwischen KI-generiert
84%
Entwickler nutzen KI
Der Entwickler nutzen KI-Coding-Tools aktiv
45%
Sicherheitslücken
Des so entstandenen Codes enthalten laut Veracode Sicherheitslücken
Die Entwickler bauen schneller. Das Team bewegt sich schneller. Der Code wächst schneller. Aber das Verstehen pro Codezeile sinkt. Und genau das ist das Gefühl, das Cameron beschreibt: Die eigenen Systeme entgleiten.
Warum es diesmal anders ist
Ich bin seit knapp 30 Jahren CTO und CIO. Jede technologische Welle hatte eine Phase, in der sich das Team der eigenen Arbeit entfremdet fühlte. Bei Microservices. Bei Kubernetes. Bei Cloud-Migrationen. Es gab immer einen Moment, in dem niemand mehr den vollen Stack im Kopf hatte.
Frühere Wellen
Am Anfang hatte jemand den Code geschrieben — ein Mensch, mit einer Intention, mit einem mentalen Modell. Man konnte zurückgehen und fragen: „Warum hast du das so gelöst?"
KI-generierter Code
Der Entwickler hat einen Prompt geschrieben. Das Modell hat die Lösung produziert. Die Intention steckt nicht mehr im Kopf eines Menschen — wenn überhaupt, im Prompt-Verlauf. Und auch dort nur unvollständig.

Das ist die neue Qualität. Nicht, dass niemand mehr alles weiß. Sondern dass oft niemand mehr irgendetwas wirklich weiß.
Cameron hat Recht — und er hat Unrecht
Wo Cameron Recht hat
Mit der Beobachtung hat Cameron recht. Das Gefühl ist real. Millionen Menschen erleben es so, im Alltag, auf gesellschaftlicher Ebene.
Wo die Analogie endet
Bei seiner Diagnose — „der Prozess ist unumkehrbar" — endet die Analogie. Alzheimer ist medizinisch irreversibel. Die Systemblindheit gegenüber der eigenen Codebase ist es nicht.
Das Gefühl ist echt. Die Ursache ist lösbar.
Nicht mit Angst. Nicht mit „dann stoppen wir halt KI" — das ist ohnehin keine Option, weil eure Entwickler KI einsetzen, ob die Geschäftsführung das freigibt oder nicht. Sondern mit dem, was in jeder anderen Industrie seit Jahrzehnten Standard ist: strukturierter Prüfung.
Vom Gefühl zur Governance-Frage
Wir haben in der Finanzwelt Wirtschaftsprüfer, weil niemand einem CFO glaubt, der sagt: „Vertraut mir, die Zahlen stimmen schon." Für KI-generierten Code gibt es dieses Gegenstück noch nicht in breiter Form. Es entsteht gerade.
Wirtschaftsprüfer
In der Finanzwelt prüft niemand allein — externe Prüfer sind Standard, weil Vertrauen allein keine Governance ist.
TÜV-Prinzip
Kein Autohersteller darf allein bestätigen, dass sein Fahrzeug sicher ist. Unabhängige Prüfung ist Pflicht.
Penetrationstests
Kein vernünftiges Unternehmen vertraut bei Security allein dem internen Team. Externe Tests sind Standard.
Es wird kommen — teils durch Regulierung (EU AI Act, DORA, BAIT/VAIT), teils durch Marktdruck (Auditoren, Investoren, Versicherer fragen bereits danach), teils durch schmerzhafte Vorfälle, die in den Schlagzeilen landen werden.

Die Frage für CTOs ist heute nicht mehr: „Sollten wir KI einsetzen?" Die Antwort ist längst gegeben. Die Frage ist: „Wissen wir noch, was die KI gebaut hat?"
Datenbankfelder
Könnt ihr bei jedem Merge sagen, welche Datenbankfelder im Code referenziert werden — und ob die in eurem echten Schema überhaupt existieren?
API-Endpoints
Könnt ihr nachweisen, welche API-Endpoints aktiv sind und welche davon KI-generiert wurden?
Audit-Fähigkeit
Könnt ihr bei einem Audit in weniger als einem Tag belegen, dass euer KI-Code nicht gegen interne Policies oder externe Regulierung verstößt?
Halluzinations-Muster
Erkennt ihr typische Halluzinations-Muster, bevor sie in Produktion gehen?

Wenn die Antwort auch nur auf eine dieser Fragen „nein" oder „ehrlich gesagt, nicht systematisch" lautet, dann ist das exakt das Cameron-Gefühl, übersetzt auf Codebase-Ebene — und exakt der Punkt, an dem aus einem Gefühl ein Governance-Problem wird.
Was der Unterschied ist
Cameron beschreibt eine zivilisatorische Sorge. Die kann man mit einem Tool nicht lösen. Was man lösen kann, ist die Codebase-Version davon.
Der Begriff, der sich dafür gerade durchsetzt, ist Agentic Engineering — im Gegensatz zu Vibe Coding. Der Unterschied liegt nicht in der Werkzeugliste: Cursor, Claude Code und Lovable lassen sich für beides verwenden.
Vibe Coding
Die Ausgabe der Modelle wird überflogen und freigegeben. Niemand weiß systematisch, was das System tatsächlich tut. Schnell — aber blind.
Agentic Engineering
Die Ausgabe der Modelle wird strukturiert geprüft, bevor sie in Produktion geht. Noch jemand weiß, was das System tatsächlich tut.

Das ist kein emotionales Problem. Das ist ein Governance-Problem. Und im Gegensatz zu dem, was Cameron beschreibt: eines, für das es eine Lösung gibt.
Was ich euch fragen möchte
Wenn ihr heute ehrlich in eure Codebase schaut:
An welcher Stelle habt ihr das erste Mal gemerkt, dass ihr nicht mehr sicher seid, was dort eigentlich drinsteckt?
Ich lese die Kommentare.
Über den Autor
Jens Gützkow
Jens Gützkow · 30 Jahre CTO & CIO in DACH · schreibt über AI Code Governance und die neue Arbeitsweise, die wir gerade lernen müssen.
AI Code Governance
CTO
DACH