Willkommen zur dreizehnten Ausgabe der KI-Navigator-Kolumne der DOAG KI Community!

Generative KI-Tools helfen Einzelnen dabei, Texte zu schreiben, zu programmieren oder Bilder zu erstellen. Aber sie verändern auch, wie Teams zusammenarbeiten. Intelligente Agenten können künftig komplette Aufgabenbereiche in Teams übernehmen und Aufgaben nach Expertise zuweisen, die nächsten Arbeitsschritte aus Diskussionen ableiten oder Softwaretests generieren.

Das stellt bewährte Methoden des Projektmanagements und der Softwareentwicklung auf den Prüfstand. KI-basierte Systeme unterscheiden sich grundlegend von bisheriger Software: Statt klar definierter Regeln im Programmcode treffen probabilistische Modelle teils unsichere Vorhersagen. Das Regelwerk der Modelle kann sich über die Zeit verändern, wenn die ML-Verfahren neue Zusammenhänge in den Daten aufdecken.

Die Ergebnisse der Systeme sind heute schon teilweise besser als die von Menschen. So wird der Einsatz von KI in der Softwareentwicklung zum „Outsourcing Deluxe“. Eine Herausforderung dabei ist, dass KI-basierte Systeme komplex und teils mit unseren menschlichen Ansätzen nicht erklärbar sind.

All das hat Auswirkungen auf die Arbeitsweise in Teams. Sogar agile Arbeitsansätze wie Scrum geraten unter Druck – nicht, weil die Methoden überholt sind, sondern weil die Teams sie an die neuen Bedingungen anpassen müssen.

Um diese Veränderung besser zu verstehen, haben wir Experten aus dem Bereich Agilität und Data Science zusammengebracht und den Einfluss von KI auf Agilität erörtert. Die ersten Ergebnisse dieses Erfahrungsaustauschs zeigen wir in dieser Ausgabe der KI-Kolumne.

Passen KI und agile Methoden zusammen?

In den vergangenen Jahren galten agile Methoden als Wundermittel, um komplexe Probleme zu lösen und mit den rasanten Veränderungen am Markt bezüglich Kundenanforderungen und Technologie mithalten zu können. Methoden wie Scrum operationalisieren agile Prinzipien in der Teamarbeit und sollen Unternehmen befähigen, Veränderungen zu antizipieren und darauf zielgerichtet zu reagieren. Im weiteren Verlauf legt dieser Artikel den Fokus auf Scrum, genauer gesagt die agilen Events und Rollen innerhalb des Scrum-Frameworks.

In der Theorie scheint es, als würden agile Methoden und KI wunderbar zusammenwirken. Sowohl KI-Projekte als auch die agilen Methoden fordern ein hypothesengetriebenes, iterativ-inkrementelles Arbeiten und ermöglichen eine Fehlerkultur. Trotzdem oder gerade deshalb entbrannte im Rahmen unseres Workshops eine rege Diskussion zwischen den Agilisten und den stärker explorativ arbeitenden Data Scientists, die sich in zwei Richtungen entwickelte.

KI in agile Arbeitsweise integrieren

Die erste Richtung drehte sich um die Frage, wie KI dabei helfen kann, agile Produktentwicklung zu optimieren. In der Softwareentwicklung ist beispielsweise nicht jede Tätigkeit komplex, sondern viele Aktivitäten sind gut einschätzbar und planbar. Das führt in der Praxis dazu, dass Sprintziele oft mit konkreten Features oder Aufgaben gleichgesetzt werden und somit der Fokus häufig auf gesteigerter Effizienz liegt: mehr Software in weniger Zeit. Im Rahmen der KI-Navigator-Kolumne haben Semjon Mössinger und Bastian Weinlich fünf Stufen der KI-Nutzung in der Softwareentwicklung beschrieben. Für nahezu jede Aktivität in der Softwareentwicklung gibt es bereits Tools, um den Prozess (teilweise) zu automatisieren. Die folgende Tabelle nennt einige Beispiele von KI-Anwendungen im Softwareentwicklungsprozess.

Produkte mit KI-Anteil entwickeln

Die zweite Richtung der Diskussion drehte sich um die Frage, wie Teams agile Methoden verändern müssen, wenn sie datengetriebene, KI-basierte Systeme statt klassischer Software entwickeln. Diese Systeme verarbeiten große, oft unstrukturierte Datenmengen, deren Qualität entscheidend für die Leistungsfähigkeit der späteren Anwendung ist. Die Entwicklung ist von Hypothesen getrieben, die das Team testet und anpasst, und orientiert sich nur wenig an konkreten Anforderungen. Ergebnisse entstehen nicht linear, sondern durch Exploration und Experimentieren. Das Validieren der Ergebnisse ist besonders komplex, da ein KI-Modell oft nur als Ganzes sinnvoll testbar ist und isolierte Zwischenergebnisse wenig Aussagekraft besitzen. Zudem gilt es, KI-Anwendungen regelmäßig nachzutrainieren und an neue Daten anzupassen, um aktuell und leistungsfähig zu bleiben.

Agile Methoden wie Scrum setzen prinzipiell auf klar strukturierte Rhythmen: Sprintplanung, Review, Retrospektive. Sie verfolgen das Ziel, früh sichtbare Ergebnisse zu liefern, die sich iterativ verbessern lassen. In der Theorie passen agile Methoden somit gut zur Entwicklung von Produkten, die zumindest einen KI-Anteil haben. Insbesondere die schnellen Iterationen, das Fördern funktionsübergreifender Zusammenarbeit und die hohe Anpassungsfähigkeit an geänderte Anforderungen durch häufige Feedbackschleifen schaffen scheinbar ideale Voraussetzungen für die KI-Entwicklung. So können Teams flexibel auf neue Erkenntnisse reagieren und den Entwicklungsprozess kontinuierlich verbessern.

In der Praxis stoßen agile Implementierungen bei KI- und Data-Science-Projekten jedoch an ihre Grenzen. Data Scientists beklagen übermäßigen Aufwand durch die Pflege oder Definition von Issues oder fühlen sich gedrängt, am Ende des Sprints ein Zwischenergebnis der explorativen Arbeit zu zeigen. Auch Sprintziele lassen sich nur schwer als präzises Ergebnis definieren. Die Rolle des Product Owners verliert an Kontur, da ein kontinuierlicher Erkenntnisgewinn das Produkt deutlich verändert. Einige Teams improvisieren daher und können so ihre methodische Klarheit verlieren, was zu einem ineffektiven Methodeneinsatz führen kann.

Unter bestimmten Voraussetzungen können Angreifer GitHub Enterprise Server attackieren und auf eigentlich abgeschottete Informationen in Repositorys zugreifen. Dagegen abgesicherten Versionen stehen zum Download bereit.

Sicherheitspatch installieren

Aus einem Eintrag zur Schwachstelle (CVE-2025-8447 „hoch“) geht hervor, dass die Entwickler GitHub Enterprise Server 3.14.17, 3.15.12, 3.16.8 und 3.17.5 repariert haben. Um die Lücke ausnutzen zu können, benötigen Angreifer der Beschreibung zufolge Zugriff auf bestimmte Informationen von privaten Repositorys wie Branches oder Tags. Ist das gegeben, können sie über die Compare/Diff-Funktion die Authentifizierung umgehen und Code im jeweiligen Repository einsehen.

Bislang gibt es keine Berichte, dass bereits Attacken laufen. Unklar bleibt auch, woran man bereits attackierte Instanzen erkennen kann. Admins sollten sicherstellen, dass ihre Github-Server auf dem aktuellen Stand sind.

(des)

Google schränkt die freie Nutzung zertifizierter Android-Geräte ein. Ab Herbst 2026 können nur noch Anwendungen installiert werden, deren Herausgeber sich zuvor bei Google registriert und dann die jeweilige Anwendung signiert hat. Für Installationen über den Google Play Store gilt das schon seit 2023; nun wird die Anonymität auch für Sideloading abgeschafft, also für direkt am Gerät, ohne Nutzung des Play Store. installierte Programme.

Eine inhaltliche Prüfung der Software, beispielsweise auf Schadcode, führt Google dabei ausdrücklich nicht durch. Dennoch stellt Google den am Montag angekündigten Schritt als Sicherheitsmaßnahme dar. Umgesetzt wird er durch eine neue, verpflichtende Android Developer Console speziell für Sideloading. Kritiker vermuten einen Zusammenhang mit Bestrebungen von Behörden mehrerer Länder, die Öffnung Androids für alternative App-Stores zu erzwingen. Durch die Registrierungspflicht sichert sich Google auch bei diesen Einfluss erntet Daten.

Ab Oktober 2025 werden ausgewählte App-Entwickler das neue Prozedere für Google testen dürfen, im März 2026 sollen dann alle einsteigen können. Im September 2026 soll Sideloading anonymer Apps in Brasilien, Indonesien, Singapur und Thailand unmöglich werden. Ab 2027 folgt schrittweise der Rest der Welt.

Lichtbildausweis und Rechnungen hochladen

Software-Herausgeber müssen im Zuge der Verifizierung personenbezogene Daten wie Name, Adresse, E-Mail-Adresse und Telefonnummer nachweisen, beispielsweise durch Rechnungskopien, und in vielen Ländern zusätzlich einen Lichtbildausweis hochladen. Für Menschen, die im deutschen Sprachraum leben, schreibt Google zudem vor, dass der Lichtbildausweis von einer Behörde im EWR oder der Schweiz herausgegeben sein muss. Wer das nicht hat, bleibt außen vor.

Juristische Personen müssen zusätzlich bei der Firma Dun & Bradstreet (D&B) eine sogenannte DUNS Nummer lösen. Das ist zwar gebührenfrei möglich, dauert aber bis zu 30 Tage. In manchen Ländern ist Expressbearbeitung gegen Gebühr möglich, was immer noch mehrere Werktage dauern kann.

Auswirkungen

Der Registrierungszwang erhöht die Kosten für Malware-Verbreiter und ähnliche Straftäter; sie werden sich am Schwarzmarkt Zertifikate für die Android Developer Console kaufen müssen. Gleichzeitig erleichtert die Registrierung Behörden die Verfolgung politisch unliebsamer Programmierer und macht privates Herumprobieren weniger attraktiv.

Von einer Ausnahme für selbst geschriebene Software ist nämlich keine Rede. Ausgenommen sind nur nicht-zertifizierte Android-Geräte; derer gibt es außerhalb der Volksrepubliken China und Nordkorea nur wenige. Sobald irgendein Google-Dienst vorinstalliert ist, handelt es sich um ein zertifiziertes Gerät.

(ds)