Im vorigen Kapitel 4 „Mit der KI bauen" ist etwas Lauffähiges entstanden. Ab hier folgt Phase 4 „Veröffentlichen" – prüfen, ob es unter Belastung nicht zerbricht, Sicherheitslücken schließen und der Welt zeigen. Geben Sie sich nicht mit „es läuft" zufrieden, sondern bringen Sie es in einen Zustand, in dem andere es bedenkenlos anfassen können. Klingt schwierig, doch auch hier ist die KI Ihr Partner.
„Auch unfertig ist gut. Erst einmal einer Person sicher zustellen."
„Gebaut" und „veröffentlichungsreif" sind zweierlei
Was auf Ihrem Rechner läuft, und was auch für andere ungefährlich ist, sind zwei verschiedene Dinge. Sie kennen den „richtigen Gebrauch" und bedienen es wie vorgesehen. Doch nach der Veröffentlichung fliegen Eingaben, Bedienungen und Böswilligkeit, die Sie nicht vorhersehen, auf Sie zu. Menschen, die leere Felder absenden, massenhaft Sonderzeichen einfügen, in fremde Daten spähen wollen.
Deshalb müssen Sie sich aber nicht verkrampfen. Was Sie in der Indie-Entwicklung zuerst tun sollten, sind nur drei ganz grundlegende Punkte: „Bricht es?", „Lecken Geheimnisse?", „Sind fremde Daten geschützt?". Dieses Kapitel meistert dieses Minimum gemeinsam mit der KI, damit Sie selbstbewusst veröffentlichen.
Man fasst es nur im richtigen Ablauf an. Bei Fehlern behebt man sie selbst. Es stört nicht, wenn Geheimnisse auf dem Screen erscheinen.
Unerwartete Eingaben kommen. Aus dem Fehler-Screen leckt Internes. Durch einen versehentlich veröffentlichten Schlüssel drohen hohe Rechnungen oder Datenabfluss.
Tests und Review der KI überlassen
„Als Einzelentwickler habe ich keinen erfahrenen Kollegen, der meinen Code prüft" – genau diese Rolle überlassen Sie der KI. Lassen Sie den Code, den Sie geschrieben (oder von der KI haben schreiben lassen) haben, von der KI noch einmal aus anderer Perspektive durchsehen. Wer etwas schreibt (Mensch wie KI), übersieht eigene Fehler leicht. Deshalb wirkt es, eine „Prüfinstanz" einzusetzen.
Das Vorgehen ist schlicht. Fügen Sie den Code ein und bitten Sie nur: „Nenne Bugs, gefährliche Eingaben und fehlende Tests in diesem Code." Dann kommen Lücken als Liste zurück, die Ihnen selbst nicht aufgefallen sind. Danach beheben Sie eine nach der anderen, mit der höchsten Priorität zuerst. Nicht alles auf einmal beheben, sondern einen Hinweis beheben, Funktion prüfen, wieder einen – das ist der Trick.
Wenn Sie die KI um ein Audit bitten, steigt die Genauigkeit, wenn Sie folgende Blickwinkel ausdrücklich nennen.
„Wann stürzt es ab?" „Was, wenn man ein leeres Feld oder Null übergibt?" Die KI die Bedingungen suchen lassen, unter denen es bricht.
Böswillige Zeichenketten, riesige Daten, ungültige Dateien. Fragen: „Wie würde ein Angreifer angreifen?"
„Welche Fälle sollte man prüfen, prüft man aber nicht?" Grenzwerte und Ausnahmen auflisten lassen.
„Stehen API-Schlüssel oder Passwörter direkt im Code?" Die Keime eines Lecks früh entfernen.
💡 Ein Test ist ein „Mechanismus, der automatisch prüft". Auf der Praxis-Route lassen Sie die KI sogar Testcode schreiben. Bitten Sie „Schreib Tests für diese Funktion – Normalfall sowie leere und ungültige Werte", dann können Sie nach der nächsten Änderung per Knopfdruck erneut prüfen, ob nichts kaputt ist. Auf der Einsteiger-Route ist schon „von Hand absichtlich seltsame Aktionen ausprobieren" ein guter Schritt.
Die drei Sicherheits-Mindestpunkte
Sicherheit ist ein tiefes Feld, doch merken Sie sich bei der Veröffentlichung eines Indie-Projekts nur die drei Punkte, die Sie unbedingt einhalten müssen. Wer sie verfehlt, kann Geld, Vertrauen und fremde Daten auf einen Schlag verlieren. Wer sie hält, hat für die erste Veröffentlichung genug getan.
API-Schlüssel, Passwörter und Tokens nicht direkt in den Code schreiben. In eine Umgebungsvariablen-Datei wie .env auslagern und diese Datei von der Veröffentlichung ausschließen (in .gitignore eintragen).
Gibt es eine Login-Funktion, sorgen Sie dafür, dass Person A keine Daten außer ihren eigenen sehen kann. Lassen Sie die KI prüfen und bauen Sie unbedingt eine Eigentümer-Prüfung ein: „Gehören diese Daten wirklich dieser Person?"
Schlüssel externer Dienste und DB-Rechte nur so weit wie nötig. Verteilen Sie keine „Alleskönner"-Schlüssel. Vergeben Sie Wegwerf-Schlüssel, Nur-Lese-Schlüssel und Ähnliches, eng auf den Zweck begrenzt.
🚨 Veröffentlichen Sie niemals einen geheimen Schlüssel. Das ist der häufigste und teuerste Unfall der Indie-Entwicklung. Wer einen API-Schlüssel direkt im Code lässt und so auf GitHub oder anderswo veröffentlicht, dessen Schlüssel wird in Minuten bis Stunden automatisch gefunden und missbraucht. Bei kostenpflichtigen APIs steht dann schon eine Rechnung über Hunderttausende, bis man es merkt – das passiert wirklich. Lassen Sie vor der Veröffentlichung unbedingt von der KI prüfen, „ob kein Schlüssel im Code verblieben ist". Ein einmal veröffentlichter Schlüssel lässt sich nicht durch Löschen retten. Machen Sie ihn unbedingt ungültig und stellen Sie einen neuen aus.
Wenn es „schwierig" wirkt, genügt diese Frage an die KI: „Erkläre mir einsteigergerecht, was ich sicherheitstechnisch tun sollte, bevor ich diesen Code veröffentliche." Dann kommt eine konkrete, auf Ihren Code zugeschnittene Checkliste zurück.
Automatisierung sicher laufen lassen (für die Praxis)
Dieser Teil richtet sich vor allem an die 🔧 Praxis-Route. Wenn Sie einem KI-Agenten wie Claude Code Dateioperationen und Befehlsausführung automatisch überlassen, wird die Entwicklung schlagartig schneller. Zugleich ist das Risiko eines Durchgehens nicht null – „löscht eigenmächtig wichtige Dateien", „führt ungewollte Befehle aus".
Deshalb ist der Gedanke der „Isolierung (Sandbox)" wichtig. Wenn Sie der KI starke Rechte geben, lassen Sie sie in einer Box laufen, in der Schaden unbedenklich ist. Konkret: in einen eigenen Arbeitsordner oder Container einsperren, sodass sie Produktivdaten und Geheimnisse nicht anfassen kann. So überlassen Sie der KI die Automatisierung beruhigt.
📦 „Probieren in der Box, Produktivbetrieb langsam" ist das Prinzip. Lassen Sie die automatische KI-Ausführung nicht gleich auf der Produktivumgebung oder wichtigen Daten laufen. Das konkrete Vorgehen zur Isolierung erklärt der Leitfaden zur Sandbox-Einrichtung von Claude Code im Detail. Für die Einsteiger-Route genügt es, diesen Abschnitt als „ah, so eine Schutzmaßnahme gibt es" zur Kenntnis zu nehmen.
Veröffentlichen – vom Code bis ins Netz
Nun endlich die Veröffentlichung. „Veröffentlichen" heißt, das, was auf Ihrem Rechner liegt, ins Netz zu stellen, sodass jeder es über eine URL öffnen kann. Das nennt man Deployment. Klingt schwierig, doch heute lädt man es mit ein paar Klicks auf einen Gratis-Dienst.
Der grobe Ablauf sind die folgenden drei Schritte. Die erste Veröffentlichung eines Indie-Projekts bestreiten Sie problemlos komplett mit Gratis-Kontingenten. Geld auszugeben, hat Zeit, bis mehr Menschen es nutzen.
Den Code auf GitHub o. Ä. speichern. Die Geheimdatei (.env) nicht vergessen auszuschließen. Das ist das Fundament der Veröffentlichung.
GitHub mit einem Gratis-Hosting wie Vercel verknüpfen. Geheimnisse über das Verwaltungspanel als Umgebungsvariablen eintragen.
Es wird automatisch im Netz gebaut, und eine öffentliche URL wird ausgestellt. Dann geben Sie diese URL nur noch einer Person.
✅ Auch unfertig: veröffentlichen und einer Person zeigen. „Es fehlen noch Funktionen", „das Design ist mäßig" – mit diesem Gefühl die Veröffentlichung aufzuschieben, ist der häufigste Grund, warum Indie-Projekte verschwinden. 60 Punkte reichen. Ziehen Sie es durch, bis Sie die öffentliche URL an eine nahestehende Person schicken. Deren ein Satz „hier ist es umständlich" ist mehr wert als 100 Stunden Grübeln.
Das konkrete Vorgehen – vom Speichern auf GitHub über die Veröffentlichung auf Vercel bis zum Setzen der Umgebungsvariablen – erklärt Mit Claude Code / Cursor bauen und auf Vercel veröffentlichen Schritt für Schritt mit Screenshots. Beim Feststecken fragen Sie einfach die KI „Auf diesem Screen kam ein Fehler, was tun?", dann kommen Sie meist wieder heraus.
- Auch allein: die KI als Prüfinstanz. Mit „Nenne Bugs, gefährliche Eingaben und fehlende Tests" auditieren und eins nach dem anderen beheben.
- Sicherheit als Minimum drei: Geheimnisse in Umgebungsvariablen / fremde Daten schützen / Rechte auf das Minimum.
- Geheimen Schlüssel niemals veröffentlichen. Bei Leck nicht löschen, sondern ungültig machen und neu ausstellen. Vor der Veröffentlichung per KI prüfen.
- Veröffentlichung (Deployment) mit Gratis-Kontingent. Durchziehen, bis Sie – auch unfertig – einer Person die URL geben.
Damit sind Sie bis „bauen und sicher veröffentlichen" gekommen. Doch der eigentliche Kampf beginnt jetzt. Nutzen lassen, verbessern und in eine tragfähige Form bringen ist die letzte Phase. Weiter geht es mit Kapitel 6 „Wachsen – Marketing und Monetarisierung".