KI-generierten Code veröffentlichen: der 3-Schritt-Sicherheitscheck

Zuletzt aktualisiert: 2026-07-17 · von Johannes Heinrich (Lehrer & Gründer von Schulspace)

Eine Kollegin hat sich von ChatGPT ein Vokabel-Quiz bauen lassen und will es auf die Schul-Homepage stellen. Sieht gut aus, funktioniert — und enthält trotzdem drei Probleme, die man erst auf den zweiten Blick sieht: Die Seite funkt nach draußen, sie verrät Persönliches, und im Schul-WLAN bricht sie zusammen. Genau dafür gibt es den 3-Schritt-Sicherheitscheck — machbar für jede Lehrkraft, ganz ohne Programmierkenntnisse.

Warum der Check sein muss — auch wenn „doch alles läuft"

Mit KI entsteht mehr Code, als man Zeile für Zeile liest. Veröffentlichen bleibt aber deine Verantwortung — dieselbe Sorgfalt wie beim Kopieren eines Arbeitsblatts mit Bildquellen. Die gute Nachricht: Die häufigen Probleme folgen immer denselben Mustern, und du findest sie mit Bordmitteln — einer Textsuche, einem Blick auf Namen und Schlüssel und dem Flugmodus deines Geräts.

Die interaktive Lektion: Funkt es? Verrät es? Läuft es?

Das Folgende ist die Übungs-Lektion aus unseren kostenlosen Selbstlernkursen — inklusive Such-Übung: Findest du die drei Probleme im Quiz der Kollegin?

Bei KI-generierten Inhalten entsteht schnell mehr Code, als du Zeile für Zeile liest — und irgendwann willst du Inhalte auch außerhalb von Schulspace einsetzen: Schul-Homepage, Lernplattform, USB-Stick. Deshalb gehört vor jede Veröffentlichung ein fester Check. Keine Paranoia — dieselbe Sorgfalt wie beim Kopieren eines Arbeitsblatts mit Bildquellen. Und: Er dauert keine 5 Minuten und braucht null Programmierkenntnisse.

Nach dieser Lektion kannst du…

  • KI-generierten Code vor jedem Upload in drei festen Schritten prüfen
  • einordnen, was der Check findet — und was ehrlicherweise nicht

Die Merkformel: Funkt es? Verrät es? Läuft es?

1Funkt es? — Fremde Adressen finden

Datei im Editor öffnen → Strg+F (Mac: Cmd+F) → nach http suchen (findet http und https). Jeder Treffer ist eine fremde Adresse: Skripte, Schriften, Bilder, Datenversand (fetch).

🟢 Keine externen Adressen → ideal 🟡 Bekannte Bibliotheks- oder Foto-Adressen → funktioniert, aber jeder Aufruf sendet die IP-Adressen deiner Schüler:innen dorthin (DSGVO) — rausnehmen oder die KI bitten: „ohne externe Bibliotheken und Bilder" 🔴 Unbekannte Adressen oder Datenversand an fremde Server → nicht hochladen; frag die KI: „Wozu ist diese Adresse da?"

2Verrät es? — Persönliches & Geheimnisse

Diesen Schritt kann dir kein Werkzeug abnehmen — nur du weißt, was ein echter Name ist. Suche nach Schülernamen aus deinen Prompts, Schul- und Klassenbezeichnungen sowie nach key, token, passwort.

Kernsatz: Alles, was im Quelltext steht, ist öffentlich — auch Kommentare und „versteckte" Lösungen (Rechtsklick → Quelltext anzeigen). Randnotiz: Handy-Fotos tragen unsichtbare Ortsdaten (EXIF/GPS) in sich.

3Läuft es? — Die Offline-Gegenprobe

Flugmodus an (oder WLAN aus) → Datei doppelklicken → einmal komplett durchspielen. Zwei Erkenntnisse auf einen Schlag: Funktioniert alles, ist die Seite praktisch autark und kann kaum heimlich Daten senden — die Bestätigung von Schritt 1. Ist plötzlich etwas kaputt (Icons weg, weiße Seite), hängt eine externe Abhängigkeit drin, die im Schul-WLAN genauso ausfallen kann.

Bonus für Neugierige: F12 → Reiter „Netzwerk" — dort siehst du live, mit wem die Seite spricht.

Ehrlichkeit gehört dazu: Der Check findet die häufigen, versehentlichen Probleme. Absichtlich versteckten Schadcode findet er nicht. Deshalb: Code aus fremden oder unbekannten Quellen nie ungeprüft auf eigene Webspaces stellen — dafür gibt es Plattformen, die serverseitig prüfen.

Übung: Finde die 3 Probleme

Eine Kollegin hat dir dieses KI-generierte Vokabel-Quiz geschickt — sie will es auf die Schul-Homepage stellen. Führe den Check im Kopf durch und klicke die 3 Zeilen an, die du vor dem Hochladen ändern würdest. (Falsch klicken kostet nichts — jede Rückmeldung erklärt etwas.)

0 von 3 gefunden

Und auf Schulspace?

Diesen Check solltest du dir angewöhnen — egal, wohin du veröffentlichst. Auf Schulspace hast du dabei ein Sicherheitsnetz: Der Server prüft beim Hochladen automatisch mit.

  • „Funkt es?" — Dutzende bekannte Bibliotheken werden durch lokale Kopien ersetzt (deine Seite funktioniert weiter, funkt aber nicht mehr nach draußen), unbekannte Fremd-Skripte und externe Bild-Adressen werden entfernt, Formular-Ziele auf fremde Server gekappt, Google-Schriften durch lokale ersetzt.
  • „Verrät es?" — Bilder aus ZIP-Uploads verlieren automatisch ihre EXIF-/GPS-Daten und werden sauber neu codiert.
  • „Läuft es?" — Jeder Inhalt läuft isoliert in einem abgeschotteten Bereich auf einer eigenen Domain; nach dem Upload siehst du einen Bericht, was ersetzt oder entfernt wurde.

Einen Punkt kann dir aber keine Technik abnehmen — Schritt 2: Ob „Lena aus der 7b" in deinen Code gehört, weißt nur du.

Für Fortbildungen und das Kollegium

Diese Übung gibt es auch als eigenständige Lektions-Seite zum Teilen — ideal, um den Check in einer Fortbildung oder Fachschaft einmal gemeinsam durchzuspielen. Und wer von Grund auf lernen will, wie interaktive Lerninhalte mit KI entstehen, startet mit Kurs 1 der Selbstlernkurse.

Häufige Fragen

Kann ich KI-generierten Code einfach auf die Schul-Homepage stellen?

Erst nach dem Check: fremde Adressen finden (Strg+F nach „http"), persönliche Daten und Schlüssel aufspüren, Offline-Gegenprobe im Flugmodus. Das dauert keine fünf Minuten.

Was ist das Problem an externen Bibliotheken und Bild-Links?

Jeder Aufruf sendet die IP-Adressen deiner Schüler:innen an fremde Server (DSGVO) — und fällt die Quelle aus oder ist im Schul-WLAN gesperrt, bricht die Seite. Besser: eigene Dateien in den Ordner oder die KI bitten: „ohne externe Bibliotheken und Bilder".

Findet der Check auch versteckten Schadcode?

Nein — er findet die häufigen, versehentlichen Probleme. Fremden oder unbekannten Code deshalb nie ungeprüft auf eigene Webspaces stellen; dafür gibt es Plattformen, die serverseitig prüfen und isoliert ausführen.

Was prüft Schulspace beim Hochladen automatisch?

Bekannte Bibliotheken werden lokalisiert, unbekannte Fremd-Skripte und externe Bild-Adressen entfernt, Formular-Ziele gekappt, Fotos von EXIF-/GPS-Daten befreit — und jeder Inhalt läuft isoliert auf einer eigenen Domain, mit Bericht nach dem Upload. Nur Schritt 2 bleibt bei dir: Ob echte Namen in den Code gehören, weißt nur du.

Direkt loslegen

Alles aus diesem Ratgeber funktioniert mit einem kostenlosen Schulspace-Konto – DSGVO-konform und ohne Schüler-Accounts.

Link kopiert!