KI-generierten Code veröffentlichen: der 3-Schritt-Sicherheitscheck
Zuletzt aktualisiert: 2026-07-17 · von Johannes Heinrich (Lehrer & Gründer von Schulspace)
Eine Kollegin hat sich von ChatGPT ein Vokabel-Quiz bauen lassen und will es auf die Schul-Homepage stellen. Sieht gut aus, funktioniert — und enthält trotzdem drei Probleme, die man erst auf den zweiten Blick sieht: Die Seite funkt nach draußen, sie verrät Persönliches, und im Schul-WLAN bricht sie zusammen. Genau dafür gibt es den 3-Schritt-Sicherheitscheck — machbar für jede Lehrkraft, ganz ohne Programmierkenntnisse.
Warum der Check sein muss — auch wenn „doch alles läuft"
Mit KI entsteht mehr Code, als man Zeile für Zeile liest. Veröffentlichen bleibt aber deine Verantwortung — dieselbe Sorgfalt wie beim Kopieren eines Arbeitsblatts mit Bildquellen. Die gute Nachricht: Die häufigen Probleme folgen immer denselben Mustern, und du findest sie mit Bordmitteln — einer Textsuche, einem Blick auf Namen und Schlüssel und dem Flugmodus deines Geräts.
Die interaktive Lektion: Funkt es? Verrät es? Läuft es?
Das Folgende ist die Übungs-Lektion aus unseren kostenlosen Selbstlernkursen — inklusive Such-Übung: Findest du die drei Probleme im Quiz der Kollegin?
Bei KI-generierten Inhalten entsteht schnell mehr Code, als du Zeile für Zeile liest — und irgendwann willst du Inhalte auch außerhalb von Schulspace einsetzen: Schul-Homepage, Lernplattform, USB-Stick. Deshalb gehört vor jede Veröffentlichung ein fester Check. Keine Paranoia — dieselbe Sorgfalt wie beim Kopieren eines Arbeitsblatts mit Bildquellen. Und: Er dauert keine 5 Minuten und braucht null Programmierkenntnisse.
Nach dieser Lektion kannst du…
- KI-generierten Code vor jedem Upload in drei festen Schritten prüfen
- einordnen, was der Check findet — und was ehrlicherweise nicht
Die Merkformel: Funkt es? Verrät es? Läuft es?
1Funkt es? — Fremde Adressen finden
Datei im Editor öffnen → Strg+F (Mac: Cmd+F) → nach http suchen (findet http und https). Jeder Treffer ist eine fremde Adresse: Skripte, Schriften, Bilder, Datenversand (fetch).
2Verrät es? — Persönliches & Geheimnisse
Diesen Schritt kann dir kein Werkzeug abnehmen — nur du weißt, was ein echter Name ist. Suche nach Schülernamen aus deinen Prompts, Schul- und Klassenbezeichnungen sowie nach key, token, passwort.
Kernsatz: Alles, was im Quelltext steht, ist öffentlich — auch Kommentare und „versteckte" Lösungen (Rechtsklick → Quelltext anzeigen). Randnotiz: Handy-Fotos tragen unsichtbare Ortsdaten (EXIF/GPS) in sich.
3Läuft es? — Die Offline-Gegenprobe
Flugmodus an (oder WLAN aus) → Datei doppelklicken → einmal komplett durchspielen. Zwei Erkenntnisse auf einen Schlag: Funktioniert alles, ist die Seite praktisch autark und kann kaum heimlich Daten senden — die Bestätigung von Schritt 1. Ist plötzlich etwas kaputt (Icons weg, weiße Seite), hängt eine externe Abhängigkeit drin, die im Schul-WLAN genauso ausfallen kann.
Bonus für Neugierige: F12 → Reiter „Netzwerk" — dort siehst du live, mit wem die Seite spricht.
Übung: Finde die 3 Probleme
Eine Kollegin hat dir dieses KI-generierte Vokabel-Quiz geschickt — sie will es auf die Schul-Homepage stellen. Führe den Check im Kopf durch und klicke die 3 Zeilen an, die du vor dem Hochladen ändern würdest. (Falsch klicken kostet nichts — jede Rückmeldung erklärt etwas.)
Alle drei gefunden! Die Zuordnung:
- Funkt es? → das Tracking-Skript von der unbekannten Adresse
- Verrät es? → die echten Schülernamen im Kommentar und der Zugangsschlüssel (API-Key) im Code
- Läuft es? → hätte dir beim Offline-Test das leere Foto verraten (das 🟡-Bild von der Foto-Adresse)
Und auf Schulspace?
Diesen Check solltest du dir angewöhnen — egal, wohin du veröffentlichst. Auf Schulspace hast du dabei ein Sicherheitsnetz: Der Server prüft beim Hochladen automatisch mit.
- „Funkt es?" — Dutzende bekannte Bibliotheken werden durch lokale Kopien ersetzt (deine Seite funktioniert weiter, funkt aber nicht mehr nach draußen), unbekannte Fremd-Skripte und externe Bild-Adressen werden entfernt, Formular-Ziele auf fremde Server gekappt, Google-Schriften durch lokale ersetzt.
- „Verrät es?" — Bilder aus ZIP-Uploads verlieren automatisch ihre EXIF-/GPS-Daten und werden sauber neu codiert.
- „Läuft es?" — Jeder Inhalt läuft isoliert in einem abgeschotteten Bereich auf einer eigenen Domain; nach dem Upload siehst du einen Bericht, was ersetzt oder entfernt wurde.
Einen Punkt kann dir aber keine Technik abnehmen — Schritt 2: Ob „Lena aus der 7b" in deinen Code gehört, weißt nur du.
Für Fortbildungen und das Kollegium
Diese Übung gibt es auch als eigenständige Lektions-Seite zum Teilen — ideal, um den Check in einer Fortbildung oder Fachschaft einmal gemeinsam durchzuspielen. Und wer von Grund auf lernen will, wie interaktive Lerninhalte mit KI entstehen, startet mit Kurs 1 der Selbstlernkurse.
Häufige Fragen
Kann ich KI-generierten Code einfach auf die Schul-Homepage stellen?
Erst nach dem Check: fremde Adressen finden (Strg+F nach „http"), persönliche Daten und Schlüssel aufspüren, Offline-Gegenprobe im Flugmodus. Das dauert keine fünf Minuten.
Was ist das Problem an externen Bibliotheken und Bild-Links?
Jeder Aufruf sendet die IP-Adressen deiner Schüler:innen an fremde Server (DSGVO) — und fällt die Quelle aus oder ist im Schul-WLAN gesperrt, bricht die Seite. Besser: eigene Dateien in den Ordner oder die KI bitten: „ohne externe Bibliotheken und Bilder".
Findet der Check auch versteckten Schadcode?
Nein — er findet die häufigen, versehentlichen Probleme. Fremden oder unbekannten Code deshalb nie ungeprüft auf eigene Webspaces stellen; dafür gibt es Plattformen, die serverseitig prüfen und isoliert ausführen.
Was prüft Schulspace beim Hochladen automatisch?
Bekannte Bibliotheken werden lokalisiert, unbekannte Fremd-Skripte und externe Bild-Adressen entfernt, Formular-Ziele gekappt, Fotos von EXIF-/GPS-Daten befreit — und jeder Inhalt läuft isoliert auf einer eigenen Domain, mit Bericht nach dem Upload. Nur Schritt 2 bleibt bei dir: Ob echte Namen in den Code gehören, weißt nur du.
Direkt loslegen
Alles aus diesem Ratgeber funktioniert mit einem kostenlosen Schulspace-Konto – DSGVO-konform und ohne Schüler-Accounts.