Claude Code ohne Programmierausbildung – Was wirklich geht und wo es gefährlich wird

Claude Code ohne Programmierausbildung: Was wirklich geht – und wo es gefährlich wird

Klartext
Claude Code ohne Programmierausbildung: Was wirklich geht – und wo es gefährlich wird

Ich bin gelernter Handwerker, kein Programmierer – und betreibe trotzdem einen Server, der rund um die Uhr läuft. Gebaut mit Claude Code. Ein ehrlicher Bericht: was funktioniert, wo es gefährlich wird, und warum „läuft" nicht „sicher" heißt.

Peter Kowalewski Anlagenmechaniker SHK & Webentwickler 8 Min. Lesezeit

Meine Seite bekommt ein A beim Sicherheits-Scan. In einem Test von 50 Web-Agentur-Seiten schaffte nur jede zwölfte überhaupt so viel – über die Hälfte fiel komplett durch. Und ich habe nie ein Informatikstudium gemacht, keine Ausbildung in dieser Richtung. Ich komme aus dem Handwerk.

Trotzdem läuft auf meinem Server rund um die Uhr eine selbstgebaute Anwendung: Sie nimmt Bestellungen entgegen, prüft sie, analysiert Websites mit KI und verschickt fertige Reports – ohne dass ich morgens den Rechner anwerfe. Gebaut mit Claude Code, dem Werkzeug von Anthropic.

Ich will hier weder Werbung machen noch ein Tutorial schreiben. Ich will ehrlich aufschreiben, was nach Monaten echter Nutzung übrig bleibt: was wirklich geht, wo es brandgefährlich wird, und für wen sich das Ganze lohnt – und für wen ausdrücklich nicht.


Was ist Claude Code – und warum schreibt ein Nicht-Programmierer darüber?

Claude Code ist ein Werkzeug, das im Terminal läuft und in dem du in normaler Sprache beschreibst, was passieren soll. Es schreibt dann den Code, legt Dateien an, führt Befehle aus, findet Fehler. Du redest mit ihm wie mit einem Kollegen, der sehr schnell tippt und alles sofort umsetzt.

Genau das ist der Grund, warum plötzlich Leute wie ich damit arbeiten können – Leute mit einer Idee und Hartnäckigkeit, aber ohne klassischen Entwickler-Hintergrund. Die Hürde ist nicht mehr, ob du eine Programmiersprache fließend schreibst. Die Hürde verschiebt sich woandershin. Und genau da fängt das Interessante an.


Kann man das ohne Programmierausbildung benutzen?

Ja. Aber das ist die halbe Wahrheit, und die unwichtigere Hälfte.

Ich habe damit eine komplette Infrastruktur aufgesetzt: einen Server, eine Datenbank, eine automatische Verbindung zum Shop, einen Crawler, der Websites einliest, eine KI-Auswertung, einen Versand-Mechanismus, ein Dashboard zur Überwachung. Dinge, von denen ich vor einem Jahr nur die Namen kannte. Das funktioniert, läuft stabil und bedient echte zahlende Kunden.

Wenn die Frage also lautet „geht das technisch ohne Ausbildung", ist die Antwort ein klares Ja. Nur ist das die falsche Frage.


Die wichtigste Frage ist nicht „kannst du programmieren"

Die entscheidende Linie verläuft nicht zwischen Entwickler und Laie. Sie verläuft zwischen verstehen wollen und klicken und hoffen.

Claude Code gibt dir, was du verlangst. Wenn du nur willst, dass etwas „läuft", bekommst du genau das: etwas, das läuft. Ob es dabei wie eine offene Haustür dasteht, sagt dir das Werkzeug nicht von allein. Du musst wissen, dass du fragen musst. Und um zu wissen, dass du fragen musst, musst du zumindest grob verstehen, was im Hintergrund passiert.

Ich kann keinen Compiler von innen erklären. Aber ich weiß, warum meine Shop-Verbindung signiert sein muss und warum mein Crawler keine internen Adressen aufrufen darf – nicht weil ich es gelernt habe, sondern weil ich nachgefragt und verstanden habe, statt es wegzuklicken.

Wo wird Claude Code gefährlich?

Hier wird es unbequem, und hier trennt sich dieser Text von den begeisterten „Schau-mal-was-ich-gebaut-habe"-Artikeln. Claude Code optimiert im Standard auf „läuft", nicht auf „ist sicher". Das ist kein Vorwurf – es ist einfach der Weg des geringsten Widerstands, und den nimmt das Werkzeug, wenn du nichts anderes sagst.

Hätte ich nicht ausdrücklich verlangt, auf Sicherheitslücken zu prüfen, würde meine Anwendung heute mit vollen Rechten laufen, mit nach außen offenen Türen, und die Links zu den fertigen Reports wären für die ganze Welt erreichbar gewesen – durchnummeriert, sodass man sich einfach durch fremde Auswertungen hätte zählen können. Ein Zugangspasswort hätte direkt im Code gestanden. Nichts davon hätte mich gestört, denn: es lief ja.

  • Läuft mit vollen Systemrechten – ein einziger Einbruch reicht für die volle Kontrolle. Besser: ein eigener Nutzer mit minimalen Rechten.
  • Türen nach außen offen – angreifbar von überall. Besser: nur intern erreichbar, Zugriff über eine vorgeschaltete Schicht.
  • Durchnummerierte Links (…/report/12) – jeder zählt sich durch fremde Daten. Besser: nicht erratbare Schlüssel.
  • Passwörter im Code – landen in Backups und Protokollen. Besser: in einer getrennten Konfiguration, nie im Code.

Ich war übrigens stolz auf mein „A+" beim Sicherheits-Scan. Bis ich genauer hinsah: Die Bestnote war auf einer leeren Fehlerseite vergeben worden – meine echte Anwendung hatte der Scanner gar nicht geprüft. Und genau hier liegt die eigentliche Gefahr: nicht im Fehler selbst, sondern darin, dass eine grüne Bestnote beruhigt, ohne dass man versteht, was überhaupt gemessen wurde.

Eine Note, die man nicht versteht, ist keine Sicherheit. Sie ist nur ein grünes Feld.

Wie schlecht steht es um Website-Sicherheit?

Damit das nicht nach Erbsenzählerei klingt: Schlechte Sicherheits-Hygiene ist nicht die Ausnahme, sie ist die Regel. In einer untersuchten Million der meistbesuchten Websites kassierte rund die Hälfte die schlechteste Note.

Besonders entlarvend wird es bei denen, die es eigentlich besser wissen müssten. Ein Entwickler hat 50 zufällig gewählte Web-Agentur-Seiten geprüft – also Firmen, die anderen Websites verkaufen. Über die Hälfte bekam die schlechteste Note, fast 80 Prozent landeten im unteren Drittel, und kein einziger erreichte die Bestnote. Die Leute, die UX und Sichtbarkeit verkaufen, fallen bei dem durch, was unsichtbar im Hintergrund läuft.

In den Kommentaren stand der Satz, der die ganze Haltung zusammenfasst: „Wer greift schon die Portfolio-Seite einer kleinen Agentur an?"

Das ist der Denkfehler. Nicht „werde ich angegriffen", sondern „ich merke es nicht einmal, wenn es passiert".


Greift wirklich jemand eine brandneue Seite an?

Ich habe genau das geglaubt. Wer soll sich für eine frische, winzige Seite interessieren, die noch kein Mensch kennt? Dann habe ich in die Server-Protokolle geschaut – und dieser Schreck war überhaupt erst der Grund, warum ich mich ernsthaft mit Sicherheit beschäftigt habe.

In den ersten elf Tagen, in denen die Domain erreichbar war – noch bevor sie offiziell startete, noch bevor irgendeine Werbung lief –, sah es so aus (meine eigenen Zugriffe sind herausgerechnet):

Kennzahl Wert
Anfragen gesamt 38.053
davon gezielte Angriffsscans 7.059 (18,6 %)
Erster Scan ~2 Std. nach dem ersten Zugriff
Verschiedene angreifende Adressen 294 Web · 775 Login
Fehlgeschlagene Server-Logins 258.757

Fast jede fünfte Anfrage an eine Seite, die niemand kannte, war ein Angriffsscan. Die Bots brauchen keine Bekanntheit – sie klappern das gesamte Adressnetz des Internets ab und finden eine neue Adresse in Stunden, nicht in Wochen.

Wonach sie am gierigsten suchen: .env-Dateien. Acht der zehn häufigsten Angriffspfade zielten genau darauf – die Dateien, in denen unvorsichtige Entwickler ihre Passwörter und Zugangsschlüssel ablegen. Erinnerst du dich an das Passwort, das am Anfang in meinem Code stand? Genau danach suchen diese Bots, automatisiert, hundertfach. Bei mir liefen alle Versuche ins Leere – die Datei liegt außerhalb des öffentlich erreichbaren Bereichs, mit eingeschränkten Rechten. Hätte ich es beim ersten „läuft doch" belassen, wäre das anders ausgegangen.


Eine Einstellung, eine Viertelmillion abgewehrte Versuche. Der Server-Login wurde in elf Tagen über 258.000 Mal angegriffen. Jeder Versuch prallte ab – nicht weil ich besonders schlau war, sondern weil eine einzige Einstellung richtig saß: Login per Passwort ist abgeschaltet, es geht nur mit einem digitalen Schlüssel. Ohne diese eine Entscheidung wären das eine Viertelmillion Chancen gewesen, sich reinzuraten.


Für wen taugt Claude Code – und für wen nicht?

Nach allem, was ich erlebt habe, ist die Einordnung ziemlich klar. Sie hat wenig mit deinem Lebenslauf zu tun und alles mit deiner Haltung.

Leg los, wenn …

  • du verstehen willst, was im Hintergrund passiert
  • du bereit bist, Grundlagen nachzulernen
  • du die Verantwortung fürs Ergebnis übernimmst
  • du Sicherheitskritisches doppelt prüfst oder prüfen lässt

Lass die Finger davon, wenn …

  • dir nur das Ergebnis wichtig ist und der Rest egal
  • du keine Lust hast zu begreifen, was ein Server tut
  • du erwartest, dass das Werkzeug die Verantwortung trägt
  • du Kunden- oder Zahlungsdaten ungeprüft live schaltest

Die zweite Liste ist nicht böse gemeint. Sie beschreibt eine ehrliche Selbsteinschätzung. Wenn du keine Lust hast zu verstehen, was passiert, ist das völlig in Ordnung – dann ist Claude Code aber das falsche Werkzeug für dich, und jemand, der es beherrscht, ist sein Geld wert.


Was ich daraus gelernt habe

Sicherheit ist ein fester Schritt, kein nachträglicher Gedanke. Ich frage nicht mehr am Ende „und jetzt schau mal, ob das sicher ist". Die Prüfung gehört von vornherein zum Bau, bei jeder neuen Funktion. Sonst rutscht genau in dem Feature etwas durch, an das du gerade nicht gedacht hast.

Der Standard ist „sauber wie bei einem erfahrenen Entwickler", nicht „Hauptsache es läuft". Randfälle, Fehlerbehandlung, Prüfung von Eingaben – das ist die Arbeit, die man nicht sieht und die trotzdem den Unterschied macht.

Die Verantwortung bleibt bei mir. Das Werkzeug denkt mit, warnt, schlägt vor. Aber es macht Fehler, es ist nicht durchgehend da, und wenn mein Server fällt, trägt es keine Konsequenz – ich schon.

„Das Werkzeug prüft" und „das Werkzeug trägt die Verantwortung" sind zwei verschiedene Dinge. Das erste macht dich sicherer. Das zweite macht dich blind.

Claude Code hat die Tür für Leute wie mich aufgestoßen. Aber eine offene Tür ist eine Einladung in beide Richtungen. Wer hindurchgeht und wissen will, was drinnen passiert, kann erstaunlich weit kommen. Wer nur schnell durchwill und hofft, dass schon nichts schiefgeht, baut sich genau die Lücke, die er nie zu Gesicht bekommt – bis jemand anderes sie findet.

Du baust selbst? Dann ist das hier dein blinder Fleck

Selbst zu bauen heißt, nah dran zu sein – und nah dran sieht man die eigenen Schwächen am schlechtesten. „Läuft" sagt nichts darüber, ob deine Seite verkauft, ob sie bei Google und in KI-Antworten auftaucht, ob sie sauber ist. Genau diesen ehrlichen Außenblick liefert die Tiefgang-Analyse: KI mit dem richtigen Prozess durchleuchtet deine Seite und zeigt dir, wo sie wirklich steht.

Zur Tiefgang-Analyse

Keine Lust, dich da reinzufuchsen?

Völlig okay – dann bau ich dir deine Seite oder deinen Shop. Sauber, sicher, kein Abo-Theme, keine versteckte Abhängigkeit. Von Tag eins an vollständig in deiner Hand.

Zum Website- & Shop-Bau
Quellen:
Eigene Erhebung: Auswertung der nginx-Zugriffs- und SSH-Login-Protokolle des eigenen Servers, Zeitraum 19.–30. Mai 2026; eigene Zugriffe herausgerechnet.
Richard Angapin, „I Scanned 50 Web Agency Websites & Most Failed Basic Security", DEV Community, 15.10.2025.
„HTTP Security Headers Analysis of Top One Million Websites", NATO CCDCOE, 2018.
Scott Helme, „Security Headers in the Alexa Top 1 Million", scotthelme.co.uk.
Zurück zum Blog