James Cameron sprach vor einiger Zeit mit Bill Gates in der Netflix-Serie „What's Next" über unsere Zukunft mit KI und sagte einen Satz, der für mich sehr erhellend war: Das Gefühl der meisten Menschen gegenüber KI sei strukturell dem ähnlich, was Menschen bei beginnendem Alzheimer empfinden. Wachsender Kontrollverlust. Wachsendes Unverständnis über die eigenen Systeme. Angst. Frustration. Und das Wissen, dass der Prozess unumkehrbar ist.

Das ist ein schweres Bild. Man muss damit sorgsam umgehen — Alzheimer ist eine reale, verheerende Krankheit, und Cameron benutzt sie als Metapher, nicht als Gleichsetzung. Aber als Metapher trifft sie etwas Echtes.

Und für eine spezifische Berufsgruppe trifft sie etwas sehr Konkretes: für CTOs. Für Tech Leads. Für jeden, der heute eine Codebase verantwortet, in der mit KI gebaut wird.

Wenn ich CTOs in den letzten 18 Monaten zugehört habe, höre ich fast wörtlich, was Cameron beschreibt:

„Ich weiß nicht mehr, was in unserem Code eigentlich drinsteckt."

„Der Entwickler hat es mit Claude Code gebaut, ich habe es durchgewunken, jetzt läuft es in Produktion, und niemand im Team kann mir genau sagen, was dort passiert."

„Wir haben letzte Woche einen API-Endpoint entdeckt, von dem keiner wusste, dass er existiert."

„Bei jedem Merge frage ich mich, ob ich gerade eine Sicherheitslücke durchwinke."

Das ist nicht Paranoia. Das ist eine rationale Reaktion auf eine neue Arbeitsweise. 46 Prozent aller neuen Commits auf GitHub sind inzwischen KI-generiert. 84 Prozent der Entwickler nutzen KI-Coding-Tools. 45 Prozent des so entstandenen Codes enthalten laut Veracode Sicherheitslücken.

Die Entwickler bauen schneller. Das Team bewegt sich schneller. Der Code wächst schneller. Aber das Verstehen pro Codezeile sinkt. Und genau das ist das Gefühl, das Cameron beschreibt: Die eigenen Systeme entgleiten.

Ich bin seit knapp 30 Jahren CTO und CIO. Jede technologische Welle hatte eine Phase, in der sich das Team der eigenen Arbeit entfremdet fühlte. Bei Microservices. Bei Kubernetes. Bei Cloud-Migrations. Es gab immer einen Moment, in dem niemand mehr den vollen Stack im Kopf hatte.

Aber: Bei all diesen Wellen hatte am Anfang jemand den Code geschrieben. Ein Mensch, mit einer Intention, mit einem mentalen Modell. Man konnte zu demjenigen zurückgehen. Man konnte fragen: „Warum hast du das so gelöst?"

Bei KI-generiertem Code ist das anders.

Der Entwickler hat einen Prompt geschrieben. Vielleicht zwei. Vielleicht zehn. Das Modell hat die Lösung produziert. Der Entwickler hat sie überflogen und freigegeben. Die Intention steckt nicht mehr im Kopf eines Menschen. Sie steckt — wenn überhaupt — im Prompt-Verlauf. Und auch dort nur unvollständig.

Das ist die neue Qualität. Nicht, dass niemand mehr alles weiß. Sondern dass oft niemand mehr irgendetwas wirklich weiß.

Mit der Beobachtung hat Cameron recht. Das Gefühl ist real. Millionen Menschen erleben es so, im Alltag, auf gesellschaftlicher Ebene.

Aber bei seiner Diagnose — „der Prozess ist unumkehrbar" — endet die Analogie.

Alzheimer ist medizinisch irreversibel. Die Systemblindheit gegenüber der eigenen Codebase ist es nicht.

Und das ist der Punkt, den ich als CTO immer wieder machen muss, wenn ich mit Kollegen spreche, die genau in dieser Cameron-Stimmung stecken:

Nicht mit Angst. Nicht mit „dann stoppen wir halt KI" — das ist ohnehin keine Option, weil eure Entwickler KI einsetzen, ob die Geschäftsführung das freigibt oder nicht. Sondern mit dem, was in jeder anderen Industrie seit Jahrzehnten Standard ist: strukturierter Prüfung.

Wir haben in der Finanzwelt Wirtschaftsprüfer, weil niemand einem CFO glaubt, der sagt: „Vertraut mir, die Zahlen stimmen schon."

Wir haben den TÜV, weil niemand einem Autohersteller glaubt, der sagt: „Das Auto ist sicher, ich bin selbst gefahren."

Wir haben externe Penetrationstests, weil kein vernünftiges Unternehmen bei Security allein dem internen Team vertraut.

Für KI-generierten Code gibt es dieses Gegenstück noch nicht in breiter Form. Es entsteht gerade. Und es wird kommen — teils durch Regulierung (EU AI Act, DORA, BAIT/VAIT), teils durch Marktdruck (Auditoren, Investoren, Versicherer fragen bereits danach), teils durch schmerzhafte Vorfälle, die in den Schlagzeilen landen werden.

Die Frage für CTOs ist heute nicht mehr: „Sollten wir KI einsetzen?" Die Antwort ist längst gegeben.

Die Frage ist: „Wissen wir noch, was die KI gebaut hat?"

Konkret:

Könnt ihr bei jedem Merge sagen, welche Datenbankfelder im Code referenziert werden — und ob die in eurem echten Schema überhaupt existieren?

Könnt ihr nachweisen, welche API-Endpoints aktiv sind und welche davon KI-generiert wurden?

Könnt ihr bei einem Audit in weniger als einem Tag belegen, dass euer KI-Code nicht gegen interne Policies oder externe Regulierung verstößt?

Erkennt ihr typische Halluzinations-Muster, bevor sie in Produktion gehen?

Wenn die Antwort auch nur auf eine dieser Fragen „nein" oder „ehrlich gesagt, nicht systematisch" lautet, dann ist das exakt das Cameron-Gefühl, übersetzt auf Codebase-Ebene. Und exakt der Punkt, an dem aus einem Gefühl ein Governance-Problem wird.

Cameron beschreibt eine zivilisatorische Sorge. Die kann man mit einem Tool nicht lösen.

Was man lösen kann, ist die Codebase-Version davon. Und die lässt sich lösen wie jedes andere Governance-Problem auch: nicht durch weniger KI, sondern durch mehr Prüfung.

Der Begriff, der sich dafür gerade durchsetzt, ist Agentic Engineering — im Gegensatz zu Vibe Coding. Der Unterschied liegt nicht in der Werkzeugliste: Cursor, Claude Code und Lovable lassen sich für beides verwenden. Der Unterschied ist, ob die Ausgabe der Modelle strukturiert geprüft wird, bevor sie in Produktion geht. Ob noch jemand weiß, was das System tatsächlich tut.

Das ist kein emotionales Problem. Das ist ein Governance-Problem. Und im Gegensatz zu dem, was Cameron beschreibt: eines, für das es eine Lösung gibt.

Wenn ihr heute ehrlich in eure Codebase schaut:

An welcher Stelle habt ihr das erste Mal gemerkt, dass ihr nicht mehr sicher seid, was dort eigentlich drinsteckt?

Ich lese die Kommentare.