Montagmorgen im IT-Team der Hartmann Präzisionsoptik GmbH

Es ist 8:47 Uhr. Thomas Berger, Leiter IT und Digitalisierung bei der Hartmann Präzisionsoptik GmbH in Würzburg, sitzt in seinem Büro und starrt auf seine E-Mails. Eine davon stammt von seinem indischen Entwicklungspartner: Die nächste Sprint-Lieferung verzögert sich wieder. Kommunikationsprobleme, Zeitzonendifferenz, unterschiedliches Qualitätsverständnis. Es ist das dritte Mal in diesem Quartal.

Thomas Berger beschäftigt 180 Mitarbeiter, darunter drei interne Entwickler. Der Rest der Softwareentwicklung – darunter zwei kritische Business-Applikationen und ein Kundenkonfigurator – liegt bei einem Offshore-Partner in Bangalore. Das Modell funktionierte jahrelang. Jetzt knirscht es an allen Ecken.

Was Thomas Berger noch nicht weiß: Die Lösung für sein Problem ist nicht ein besserer Offshore-Anbieter. Sie heißt agentenbasierte KI – und laut einer aktuellen Studie von Reply und Forrester Consulting plant bereits die überwältigende Mehrheit seiner Branchenkollegen, diese Technologie in den nächsten zwei bis drei Jahren einzusetzen. Die Frage ist nicht mehr ob, sondern wie schnell.

Die Studie: 536 IT-Führungskräfte, ein eindeutiges Signal

Im März 2026 veröffentlichte das IT-Beratungshaus Reply gemeinsam mit Forrester Consulting die Studie „From Code to Control: AI's Takeover of Software Development Lifecycle". Für die Untersuchung wurden 536 IT-Führungskräfte aus Europa und den USA befragt – darunter CIOs, CTOs und Entwicklungsleiter aus Unternehmen verschiedenster Größen und Branchen. Die Ergebnisse sind bemerkenswert klar:

  • 93 % der befragten Unternehmen planen, innerhalb der kommenden zwei bis drei Jahre agentenbasierte KI als strategische Alternative zur ausgelagerten Softwareentwicklung und anderen traditionellen Sourcing-Modellen einzusetzen.
  • 81 % der Führungskräfte sind überzeugt, dass agentenbasierte KI-Systeme mit autonomen Entscheidungsfähigkeiten und Workflow-Orchestrierung innerhalb der nächsten drei bis fünf Jahre für die Wettbewerbsfähigkeit unverzichtbar werden.
  • Traditionelle Offshoring-Modelle geraten zunehmend unter Druck – nicht nur durch steigende Personalkosten, sondern durch versteckte Qualitäts- und Koordinationskosten sowie wachsende regulatorische Anforderungen an Datenschutz und Datensouveränität.
  • Forrester empfiehlt, innerhalb von 90 bis 120 Tagen eine klare Roadmap zur Neuorchestrierung der Delivery-Modelle zu definieren – und Talentstrategien stärker auf Architektur- und Domänenwissen auszurichten.

Was hinter diesen Zahlen steckt – technisch, organisatorisch und strategisch – ist das Thema dieses Artikels. Und warum gerade IT-Verantwortliche im deutschen Mittelstand genau jetzt handeln sollten.

Was sind KI-Agenten im Software Development Lifecycle?

Bevor wir in die strategische Einordnung gehen, lohnt sich eine präzise technische Erklärung. „Agentenbasierte KI" wird derzeit inflationär verwendet – und oft mit einfacheren KI-Assistenten verwechselt. Der Unterschied ist fundamental.

Stufe 1: Coding-Assistenten (Status quo bei den meisten Unternehmen)

Die erste Welle der KI in der Softwareentwicklung waren Coding-Assistenten wie GitHub Copilot, TabNine oder Amazon CodeWhisperer. Sie ergänzen Code während des Tippens, schlagen Funktionen vor, autovervollständigen Methoden und generieren Boilerplate-Code. Sie sind nützliche Werkzeuge – aber passiv. Der Entwickler hat vollständige Kontrolle. Die KI reagiert auf Eingaben, plant aber nichts selbst.

Stufe 2: Aufgabenbasierte KI-Agenten

KI-Agenten gehen einen entscheidenden Schritt weiter. Sie sind Systeme, die nicht nur auf Eingaben reagieren, sondern eigenständig Aufgaben planen, Teilprobleme lösen, externe Werkzeuge aufrufen und ihre Ergebnisse iterativ verbessern. Ein KI-Agent für Softwareentwicklung kann heute beispielsweise folgende Aufgaben vollständig autonom abarbeiten:

  • Ein User-Story-Ticket aus dem Ticketsystem lesen und verstehen
  • Den relevanten Codebereich analysieren und einen konkreten Implementierungsplan erstellen
  • Code schreiben, Unit-Tests generieren und automatisch ausführen
  • Fehlgeschlagene Tests analysieren, debuggen und korrigieren
  • Einen Pull Request mit strukturierter Beschreibung und Changelog erstellen
  • Reviewkommentare lesen und adressieren

All das ohne manuelle Intervention – oder mit minimaler menschlicher Aufsicht an definierten Kontrollpunkten (sogenannten Human-in-the-Loop-Gates).

Stufe 3: SDLC-Orchestrierung – Das, was die Studie beschreibt

Die Reply-Forrester-Studie beschreibt den Übergang zu einem noch weitreichenderen Konzept: der vollständigen Orchestrierung des Software Development Lifecycles durch spezialisierte, miteinander kommunizierende KI-Agenten. Gemeint ist ein koordiniertes Multi-Agent-System, das den gesamten Entwicklungsprozess abdeckt:

  • Requirements Agent: Analysiert und strukturiert Anforderungen aus Tickets, E-Mails oder Gesprächsnotizen; identifiziert Ambiguitäten und schlägt messbare Akzeptanzkriterien vor.
  • Architecture Agent: Prüft bestehende Architekturen auf Konsistenz, schlägt Erweiterungsmuster vor und warnt bei Verstößen gegen definierte Architekturregeln.
  • Development Agent: Implementiert Features nach definierten Coding Standards, unter Einhaltung der Projektkonventionen und mit vollständiger Testabdeckung.
  • Test Agent: Generiert und führt Unit-Tests, Integrationstests und Regressionstests aus; bewertet Coverage und Qualität und schlägt Lücken vor.
  • Security Agent: Prüft Code auf bekannte Schwachstellenmuster nach OWASP Top 10; führt statische Codeanalyse (SAST) durch und bewertet Abhängigkeiten auf bekannte CVEs.
  • Documentation Agent: Erstellt und pflegt technische Dokumentation, API-Beschreibungen und Changelogs automatisch auf Basis des generierten Codes.

Diese Agenten kommunizieren untereinander über definierte Schnittstellen, lösen Konflikte durch Voting-Mechanismen oder eskalieren an menschliche Entwickler, wenn vordefinierte Schwellenwerte überschritten werden. Das Ergebnis: dramatisch beschleunigte Entwicklung bei gleichzeitig höherer Konsistenz, Nachvollziehbarkeit und Testabdeckung.

Wie pleXtec moderne Softwareentwicklung mit KI-Unterstützung für den Mittelstand umsetzt, erfahren Sie auf unserer Leistungsseite.

Die User Story: Thomas Bergers Reise vom Offshore-Frust zur KI-gestützten Entwicklung

Der Auslöser: Datenschutz macht die Entscheidung unausweichlich

Mitte Januar 2026 nimmt Thomas Berger an einem Webinar über KI-gestützte Entwicklungsumgebungen teil. Was er hört, klingt interessant – aber er ist skeptisch. Autonome Agenten, die selbstständig Features entwickeln und Tests schreiben? Er hat schon zu viele Hype-Technologien kommen und gehen sehen.

Den eigentlichen Anstoß zum Handeln gibt nicht das Webinar, sondern ein Brief seines Datenschutzbeauftragten, der zwei Tage später auf dem Schreibtisch liegt. Kern des Problems: Kundendaten werden für Entwicklungs- und Testzwecke an den Offshore-Partner in Bangalore übertragen. Mit dem verschärften regulatorischen Umfeld – DSGVO, NIS2, und ein Datenschutzaudit steht im zweiten Quartal an – ist das eine ernsthafte Haftungsfrage.

Thomas erkennt: Der Wechsel ist nicht mehr nur wünschenswert. Er ist regulatorisch geboten. Und wenn er sowieso wechseln muss, dann sollte er es richtig machen.

Phase 1: Bestandsaufnahme (Woche 1-2)

Thomas beginnt mit dem, was die Forrester-Studie als ersten kritischen Schritt empfiehlt: einer ehrlichen Bestandsaufnahme des bestehenden Delivery-Modells. In einem halbtägigen Workshop mit seinen drei internen Entwicklern und dem Projektmanager erarbeitet das Team eine nüchterne Analyse:

  • Durchschnittliche Lieferzeit für ein neues Feature (Requirements bis Produktion): 6-8 Wochen
  • Kommunikations- und Koordinationsaufwand: 35 % der gesamten Projektzeit
  • Bug-Rate nach Deployment: 12 % der Features erfordern innerhalb von 30 Tagen einen Bugfix-Sprint
  • Testabdeckung im Offshore-Code: 38 % (intern gemessen, weit unter dem angestrebten Ziel von 80 %)
  • Datenschutzrisiko: Kundenkonfigurationsdaten werden für Entwicklungszwecke nach Indien übertragen – DSGVO-kritisch
  • Wissenstransfer: Drei von vier internen Entwicklern haben keinen vollständigen Einblick in die Architektur der extern entwickelten Systeme

Das letzte Ergebnis ist besonders brisant: Das Unternehmen hat sich in eine Abhängigkeit manövriert, die über das finanzielle hinausgeht. Das Know-how über die eigenen Systeme sitzt nicht mehr im Haus. Ein Risiko, das bei einem Lieferantenwechsel – oder einem Ausfall des Partners – unmittelbar schlagend wird.

Phase 2: Pilotprojekt mit KI-Agenten (Woche 3-8)

Thomas entscheidet sich für einen strukturierten Piloten. Das Pilotprojekt: die Neuentwicklung eines internen Wartungsmoduls für das ERP-System – bislang ein klassisches Offshore-Projekt mit 8-10 Wochen Lieferzeit und einem Budget von rund 45.000 Euro.

Die Architektur des Piloten im Detail:

  • Entwicklungsumgebung: VSCode mit Agent-Erweiterung, betrieben auf einem deutschen Cloud-Server (Hetzner, Frankfurt – DSGVO-konform)
  • KI-Modell: Eine Open-Source-Instanz auf dem eigenen Server, sodass keine Prompt-Daten an externe APIs übertragen werden
  • Menschliche Kontrolle: Jeder Pull Request des Agenten wird von einem internen Entwickler reviewed und freigegeben, bevor er in den Hauptbranch gemergt wird
  • Qualitäts-Gating: Automatische Ablehnung bei Testabdeckung unter 80 % oder SAST-Findings mit Critical-Einstufung
  • Architekturvorgaben: Der Agent erhält ein strukturiertes Architekturdokument und einen Styleguide als Kontext

In den ersten zwei Wochen läuft nicht alles rund. Der Agent produziert Code, der zwar funktioniert, aber nicht der internen Konvention entspricht. Thomas und sein Team verfeinern den Architekturreferenz-Kontext. Sie lernen, dass die Qualität des Agent-Outputs direkt von der Qualität des bereitgestellten Kontexts abhängt – „garbage in, garbage out" gilt auch für KI-Agenten.

Ab Woche vier läuft der Pilot flüssig. Das Ergebnis nach sechs Wochen überrascht Thomas: Das Modul ist fertig – zwei Wochen früher als der Offshore-Vergleichswert. Die Testabdeckung liegt bei 87 %. Die Bug-Rate im ersten Deployment: 4 % statt der üblichen 12 %. Das Gesamtbudget: 18.000 Euro – weniger als die Hälfte der Offshore-Alternative. Und der gesamte Entwicklungsprozess fand auf deutschen Servern statt.

Phase 3: Strategische Neuausrichtung (Monat 3-6)

Auf Basis des Piloten erstellt Thomas einen 90-Tage-Plan. Er lehnt sich dabei bewusst an die Forrester-Empfehlung an, schnell eine Roadmap für die Neuorchestrierung der Delivery-Modelle zu entwickeln:

  • Monat 3: Schrittweise Reduktion des Offshore-Volumens um 40 %; der Offshore-Partner übernimmt vorerst ausschließlich die Wartung bestehender Legacy-Module
  • Monat 4-5: Interne Entwickler werden zu „KI-Architekten" weiterentwickelt – ihre neue Rolle: Anforderungen präzisieren, Agent-Output reviewen, Architekturentscheidungen treffen und verantworten
  • Monat 6: Vollständige Übernahme aller Neuentwicklungen durch das interne KI-Agent-Setup; der Offshore-Partner wird auf rein opportunistischer Basis für Spitzenlastphasen engagiert

Das ursprüngliche Outsourcing-Modell wird nicht vollständig eliminiert – aber es verändert sich fundamental. Wo früher externe Entwickler Features nach Spezifikation umsetzten, übernehmen heute KI-Agenten die Implementierung unter Aufsicht der internen Entwickler. Eine Person orchestriert, was früher vier bis fünf Entwickler leisteten. Das Wissen bleibt im Haus.

Was die Studie wirklich bedeutet: Strategische Einordnung

Die Reply-Forrester-Studie ist kein technisches Dokument – sie ist eine Marktprognose mit Handlungsauftrag. Wer die 93-%-Zahl isoliert betrachtet, übersieht den entscheidenden Kontext: Es geht nicht um die Frage, ob agentenbasierte KI kommt. Sie ist bereits da. Es geht um die Frage, wie schnell und in welcher Form Ihr Unternehmen davon betroffen sein wird.

Der Druck auf Offshoring-Modelle ist real – und strukturell

Offshoring basierte auf einem einfachen Kalkül: günstige Arbeitskraft plus skalierbare Kapazität gleich wirtschaftliche Entwicklung. Dieses Modell funktioniert noch – aber mit sinkender Halbwertszeit. KI-Agenten entwickeln Code zu einem Bruchteil der bisherigen Kosten, ohne Zeitzonenkonflikte, Kommunikationsoverhead oder regulatorische Graubereiche bei der Datenverarbeitung.

Das bedeutet nicht das Ende des Offshorings über Nacht. Aber es bedeutet, dass Unternehmen, die jetzt beginnen, ihre internen Kapazitäten mit KI-Agenten aufzubauen, in 24 Monaten einen strukturellen Kostenvorteil gegenüber Wettbewerbern haben werden, die noch vollständig auf externe Entwicklungspartner angewiesen sind. Dazu kommt die regulatorische Dimension: DSGVO, NIS2 und der kommende Cyber Resilience Act machen Datenverarbeitung durch externe Partner außerhalb der EU zunehmend komplex und risikoreich.

Talentstrategien müssen sich grundlegend wandeln

Forrester empfiehlt explizit, Talentstrategien stärker auf Architektur- und Domänenwissen auszurichten. Das ist eine fundamentale Verschiebung in der Anforderungslandschaft: Gefragt sind nicht mehr primär Entwickler, die schnell Code schreiben können. Gefragt sind Personen, die fachliche Anforderungen präzise in maschinenverständliche Spezifikationen übersetzen können, KI-generierte Architekturen bewerten und verantworten, Qualitätsgates und Review-Prozesse für Agent-Output gestalten sowie Sicherheits- und Compliance-Anforderungen in KI-Workflows verankern.

Für den Mittelstand bedeutet das: Die bestehenden Entwickler sind wertvoll – aber sie müssen weiterentwickelt werden. Schulungen in Prompt Engineering, KI-Systemarchitektur und KI-gestütztem Testing sind keine Zukunftsthemen mehr. Sie sind operative Notwendigkeit.

Zero Trust für KI-Code: Pflicht, nicht Kür

Forrester warnt ausdrücklich davor, KI-generierten Code unkritisch zu vertrauen. Das Leitprinzip der Studie: Zero Trust für KI-Output. Jeder Code, den ein Agent produziert, muss dieselben Qualitätsgates durchlaufen wie menschlich geschriebener Code – oder strengere. Warum? Weil KI-Agenten systematisch zur Überoptimierung auf kurzfristige Ziele neigen: Sie schreiben Tests, die ihre eigene Implementierung bestätigen (Confirmation Bias), und lösen Anforderungen auf dem einfachsten, nicht immer wartbarsten Weg.

Praktische Konsequenzen für den Entwicklungsprozess:

  • SAST als Pflichtschritt: Automatisiertes Static Application Security Testing in der CI/CD-Pipeline – keine Ausnahmen, auch nicht für „schnelle" Features
  • SCA für Abhängigkeiten: Software Composition Analysis prüft alle verwendeten Bibliotheken auf bekannte CVEs und Lizenzkonflikte
  • Testabdeckungs-Minima: Definieren Sie Mindestwerte (z.B. 80 %) und lassen Sie die Pipeline bei Unterschreitung automatisch fehlschlagen
  • Architekturverantwortung bleibt menschlich: KI-Agenten implementieren; Menschen entscheiden über Architektur, Schnittstellen und strategische Richtung
  • Code-Review-Kultur aufrechterhalten: Agent-Output wird reviewt wie Code eines Junior-Entwicklers – mit Wohlwollen, aber mit kritischem Blick

pleXtec integriert KI-Strategien und -Governance in sichere Entwicklungsprozesse – mit klaren Verantwortlichkeiten, Compliance-Absicherung und praxiserprobten Review-Frameworks.

Konkrete Handlungsempfehlungen für IT-Verantwortliche im Mittelstand

Basierend auf der Reply-Forrester-Studie, den Erfahrungen aus ersten Implementierungen im Mittelstand und unserer eigenen Beratungspraxis empfiehlt pleXtec folgende Schritte:

Schritt 1: Status quo ehrlich messen (Woche 1-2)

Führen Sie eine strukturierte Bestandsaufnahme Ihrer aktuellen Entwicklungslandschaft durch. Messen Sie: durchschnittliche Feature-Lieferzeit von Requirements bis Produktion, Bug-Rate nach Deployment, Anteil von Koordinations- und Kommunikationsaufwand am Gesamtaufwand, Testabdeckung, und – kritisch – wo genau Kundendaten oder sensible Geschäftsdaten im Entwicklungsprozess verarbeitet werden. Diese Zahlen sind die Baseline, gegen die Sie jede KI-Initiative messen werden.

Schritt 2: Klein starten, schnell lernen (Monat 1-2)

Starten Sie mit einem klar abgegrenzten Pilotprojekt. Wählen Sie eine Neuentwicklung (kein Legacy-Code), idealerweise mit klaren Anforderungen und messbaren Qualitätskriterien. Setzen Sie ein festes Budget und einen festen Zeithorizont. Messen Sie das Ergebnis konsequent gegen Ihre Baseline. Ein Pilot, der scheitert, liefert wertvolle Erkenntnisse. Ein Pilot, der nie startet, liefert gar nichts.

Schritt 3: 90-Tage-Roadmap entwickeln (Monat 2-3)

Wenn der Pilot überzeugt, entwickeln Sie eine strukturierte Roadmap. Definieren Sie, welche Teile Ihrer Entwicklung zuerst auf KI-Agenten migrieren, welche Governance-Strukturen Sie brauchen (Wer reviewed Agent-Output? Welche Qualitätsgates gelten?) und wie Sie Ihre Entwickler weiterqualifizieren. Forrester empfiehlt einen Zeithorizont von 90 bis 120 Tagen für die initiale Neuorchestrierung – das ist ambitioniert, aber realistisch.

Schritt 4: Datenschutz und Datensouveränität von Anfang an sicherstellen

Prüfen Sie vor jedem KI-Einsatz, welche Daten in welchen Modellen verarbeitet werden. Cloud-basierte KI-Dienste großer US-Anbieter sind praktisch – aber bei sensiblen Geschäfts- oder Kundendaten oft keine DSGVO-konforme Option. On-Premise-Lösungen oder europäische Cloud-Anbieter mit EU-Datenhaltungsgarantie sind für diese Anwendungsfälle der sichere Weg. Holen Sie Ihren Datenschutzbeauftragten frühzeitig ins Boot – nicht als Bremse, sondern als strategischen Partner.

Schritt 5: In Menschen investieren, nicht nur in Werkzeuge

Der größte Hebel liegt nicht im Werkzeug, sondern im Menschen dahinter. Ein KI-Agent ist nur so gut wie die Anforderungen, die er erhält, der Kontext, den er bekommt, und die Review-Qualität, die seinen Output filtert. Investieren Sie in die Entwicklung Ihrer Mitarbeiter zu KI-Architekten: Schulungen, Communities of Practice, regelmäßige Erfahrungsaustauschformate und dedizierte Experimentierzeit. Diese Investitionen zahlen sich schneller aus als jedes Tooling-Budget.

Ausblick: Die Fensterphase für einen geordneten Einstieg schließt sich

Thomas Berger ist heute, sechs Monate nach seinem ersten Webinar, in einer anderen Position. Sein Team liefert Features doppelt so schnell wie zuvor. Die Offshore-Kosten sind um 60 % gesunken. Sein Datenschutzbeauftragter ist zufrieden. Zwei seiner drei internen Entwickler haben sich zu KI-Architekten entwickelt, die heute Aufgaben übernehmen, für die Thomas früher vier externe Kräfte benötigt hätte. Und das Wissen über die eigenen Systeme sitzt wieder im Haus.

Noch wichtiger: Thomas hat einen strukturellen Vorteil aufgebaut. Mitbewerber, die noch auf dasselbe Offshore-Modell wie vor drei Jahren setzen, werden in den nächsten 18 Monaten feststellen, dass die Lücke sich vergrößert hat – schneller als sie dachten.

Die Reply-Forrester-Studie ist eine klare Aussage: Agentenbasierte KI ist kein Nischenthema für Tech-Konzerne. Sie ist die nächste Stufe operativer Effizienz im Mittelstand. Die Fensterphase für einen geordneten, strategischen Einstieg – ohne Zeitdruck, mit Raum für Piloten und Fehler – schließt sich. Wer heute beginnt, gestaltet. Wer wartet, reagiert auf eine Realität, die andere bereits geformt haben.

Sprechen Sie mit uns: pleXtec begleitet IT-Verantwortliche im Mittelstand beim strategischen Einstieg in agentenbasierte KI – von der ersten Bestandsaufnahme über Pilot-Design bis zur skalierten Implementierung mit klaren Governance-Strukturen. Jetzt Erstgespräch vereinbaren.