In einigen Projekten setzen wir AI bereits gezielt in der Softwareentwicklung ein. Agenten generieren Anwendungscode, bauen Oberflächen, schreiben Migrationen. Das beschleunigt die Arbeit spürbar. Aber wir haben schnell gemerkt, dass es Bereiche gibt, in denen AI nicht sich selbst überlassen werden kann. Zugriffskontrolle ist einer davon.
Es spielt keine Rolle, wer den Code geschrieben hat. Regelwerk filtert jede Datenabfrage, bevor sie die Datenbank erreicht.
AI beschleunigt die Entwicklung, aber nicht überall gleich
AI-gestützte Entwicklung funktioniert dort gut, wo das erwartete Ergebnis klar definiert ist: Anwendungscode, UI-Komponenten, Datenmigration. In diesen Bereichen liefern Agenten schnelle, brauchbare Resultate.
Bei der Zugriffskontrolle sieht es anders aus. Wer darf welche Daten sehen? Welche Organisationseinheit gehört zu welchem Mandanten? Welche Informationen müssen für bestimmte Rollen ausgeblendet werden? Dieses Wissen ist fachlich, kontextabhängig und über den Code verstreut. Wenn jeder Endpunkt diese Regeln selbst implementieren muss, wird es fragil. Das gilt für menschliche Entwickler genauso wie für AI. Aber AI macht das Problem grösser, weil Code schneller entsteht und die manuelle Kontrolle nicht im gleichen Tempo mitskaliert.
Vibe Coding funktioniert für Experimente und interne Tools. Für sicherheitskritische Geschäftsanwendungen braucht es einen anderen Ansatz. Unser Weg: AI gezielt einsetzen, aber mit klaren Schichten und Kontrolle dort, wo es zählt.
Unser Entwicklungsprozess arbeitet in Schichten
In unseren Projekten hat sich ein klares Modell etabliert. Wir arbeiten in drei Schichten, mit abgestuftem Vertrauen.
Die unterste Schicht ist die Datenbank. Ein gutes Datenbank-Schema ist wie ein solides Fundament. Es bildet die Geschäftsdomäne ab, definiert Strukturen und Beziehungen. Hier sind manueller Input und Kontrolle entscheidend.
Darauf setzt Regelwerk auf: ein Security-Layer, der Zugriffsregeln zentral definiert und bei jeder Datenabfrage automatisch durchsetzt. Welcher Benutzer welche Daten sehen darf, wird einmal konfiguriert und gilt für jeden Endpunkt. Auch die Regelwerk-Konfiguration prüfen wir manuell. Zugriffsregeln sind nichts, was wir einem Agenten überlassen.
Die oberste Schicht ist die Applikation: Geschäftslogik, Oberflächen, Schnittstellen. Hier kann AI Geschwindigkeit bringen, weil die Leitplanken darunter stehen.
Sicherheit, die nicht von Disziplin abhängt
Wenn Sicherheit davon abhängt, dass jeder Entwickler an jeder Stelle den richtigen Filter setzt, ist das schon ohne AI ein wackeliges Konstrukt. Mit AI wird es wackeliger, weil mehr Code schneller entsteht.
Regelwerk nimmt diese Verantwortung aus dem Code und verankert sie in der Architektur. Es spielt keine Rolle, wer den Code geschrieben hat. Ob ein erfahrener Entwickler, ein neues Teammitglied oder ein AI-Agent. Ein Endpunkt kann den Filter nicht vergessen, weil er ihn gar nicht selbst einbauen muss. Tests fangen funktionale Fehler ab, Regelwerk schützt die Daten. Das gibt uns die Sicherheit, beim Anwendungscode Tempo zu machen.
Wer Zugriffskontrolle in AI-gestützter Entwicklung strukturell lösen will, dem zeigen wir gerne, wie das in der Praxis aussieht.
