Deutschland
 

4 Security-Aspekte

Low-Code heißt nicht "Low Risk"

Wenn mehr Menschen im Unternehmen Applikationen entwickeln, birgt das nicht nur Vorteile – sondern wirft auch neue Sicherheitsrisiken auf.
Von  und
CSO | 18. Februar 2022 05:56 Uhr
Low-Code- und No-Code-Plattformen können Unternehmen Vorteile erschließen, aber auch neue Sicherheitsrisiken aufwerfen. Darauf sollten Sie achten.
Low-Code- und No-Code-Plattformen können Unternehmen Vorteile erschließen, aber auch neue Sicherheitsrisiken aufwerfen. Darauf sollten Sie achten.
Foto: jossnat - shutterstock.com

Der anhaltende Trend zum Citizen Developer wird vom Wunsch getrieben, Softwareentwicklung auch für Nicht-Developer zu ermöglichen. Das wird in der Praxis in der Regel mit Low-Code- oder No-Code-Plattformen umgesetzt, die mit grafischen Benutzeroberflächen arbeiten.

Es hat seinen Reiz, eine breitere Nutzerbasis in die Softwareentwicklung einzubeziehen: So lässt sich die Softwareentwicklung beschleunigen und der geschäftliche Nutzwert steigern. Doch der Einsatz von Low-Code- und No-Code-Plattformen wirft auch neue Sicherheitsbedenken auf. Und wie bei jedem anderen Softwareprodukt ist die Sorgfalt, mit der eine Plattform und der ihr zugrundeliegende Programmcode entwickelt werden, dabei ein nicht zu vernachlässigender Faktor.

Low-Code/No-Code: 4 Security-Aspekte

Wir haben vier der wichtigsten Security-Aspekte bei der Entwicklung mit Low-Code- und No-Code-Tools für Sie zusammengestellt:

1. Geringe Sichtbarkeit

Eine Plattform zu nutzen, die von einem Dritten entwickelt wurde, ist in Sachen Transparenz immer mit Bedenken verbunden. Sie nutzen die Software und wissen dabei nichts über den Quellcode, die damit einhergehenden Schwachstellen oder darüber, wie ausgiebig die Plattform einem Testing-Verfahren unterzogen wurde.

Entschärfen lässt sich dieses Risiko, indem Sie eine Software Bill of Material (SBOM) beim Anbieter anfordern. So erhalten Sie einen Einblick in die enthaltenen Softwarekomponenten und die damit verbundenen Schwachstellen. Die Verwendung von SBOMs ist auf dem Vormarsch: Laut einer Studie der Linux Foundation planen 78 Prozent der befragten Unternehmen, im Jahr 2022 SBOMs zu verwenden. Dabei sollten Sie sich bewusst sein, dass Praktiken, Prozesse und Tools in diesem Bereich noch reifen müssen.

2. Unsicherer Code

Zu den Bedenken hinsichtlich der Sichtbarkeit gesellt sich die Möglichkeit, dass der Quellcode unsicher ist. Low-Code- und No-Code-Plattformen enthalten nach wie vor Code, sie abstrahieren ihn nur und erlauben den Endbenutzern, vordefinierte Funktionen zu verwenden. Das ist einerseits ein großer Vorteil, weil die User keine Programmiersprache beherrschen müssen. Andererseits wird es zum Problem, wenn der verwendete Code unsicher ist und über die Low-Code- beziehungsweise No-Code-Plattformen auf andere Unternehmen und/oder Applikationen übertragen wird.

Eine Möglichkeit, dieses Problem zu lösen: Die Kooperation mit dem Plattformanbieter zu suchen und den Quellcode einem Sicherheitscheck unterziehen. Scan-Ergebnisse, etwa von statischen und dynamischen Anwendungstests (SAST/DAST), können Gewissheit geben, dass unsicherer Code nicht repliziert wird.

Dabei gilt es auch zu berücksichtigen, dass viele Low-Code- und No-Code-Plattformen in SaaS-Form angeboten werden. Als Kunden versetzt Sie das in die Lage, vom Anbieter Branchenzertifizierungen (ISO, SOC2, FedRAMP) verlangen zu können. Das gibt weitere Sicherheit in Bezug auf den Betrieb des Unternehmens und die Sicherheitskontrollen, die für die SaaS-Anwendung/Plattform selbst gelten.

SaaS-Anwendungen bergen selbst viele Sicherheitsrisiken und rechtfertigen eine angemessene Governance und strenge Sicherheitskontrollen. Ohne eine ordnungsgemäße Prüfung der SaaS-Anwendungen und -Plattformen, die Ihr Unternehmen nutzt, könnten Sie das Unternehmen einem unangemessenen Risiko aussetzen. Das verschärft sich noch, wenn die Low-Code- und No-Code-Plattformen zur Entwicklung von Anwendungen verwendet werden, die mit sensiblen Unternehmens- oder Kundendaten arbeiten.

3. Schatten-IT

Es liegt in der Natur von Low-Code- und No-Code-Plattformen, dass sie zu ausufernder Schatten-IT führen können. Dieses Phänomen tritt auf, wenn Geschäftseinheiten und Mitarbeiter Anwendungen erstellen und diese dann ohne die IT-einzubeziehen entweder intern oder extern zugänglich machen. Falls diese Applikationen sensible Unternehmens- oder Kundendaten enthalten, kann das für das Unternehmen schwerwiegende Konsequenzen nach sich ziehen, falls es zu einer Datenpanne kommt.

4. Geschäftsbetriebsunterbrechung

Unter dem Gesichtspunkt der Business Continuity könnte die Abhängigkeit von Low-Code- und No-Code-Plattformen, die als Service bereitgestellt werden, zu einer Unterbrechung des Geschäftsbetriebs führen, wenn es zu einem Ausfall kommt. Unternehmen sollten deshalb darauf achten, für geschäftskritische Anwendungen - einschließlich Low-Code- und No-Code-Plattformen - Service Level Agreements (SLAs) festzulegen.

Low-Code-Risiken mindern: Best Practices

Unabhängig von der verwendeten Technologie können die oben beschriebenen Risiken auch durch allgemeine bewährte Security Best Practices abgemildert werden:

  • Kaufen Sie Software nur von vertrauenswürdigen Anbietern, die in der Branche einen guten Ruf genießen.

  • Vergewissern Sie sich, dass diese Anbieter über von Dritten bestätigte Zertifizierungen verfügen, die ihre internen Sicherheitspraktiken und -prozesse repräsentieren.

  • Berücksichtigen Sie Low-Code- und No-Code-Plattformen in Ihren Anwendungs- und Softwarebeständen, ebenso wie die daraus entstehenden Applikationen.

  • Sorgen Sie für eine gute Zugangskontrolle. Sie müssen wissen, welche Nutzer auf die Plattformen zugreift und welche Rechte sie dabei besitzen.

  • Implementieren Sie sichere Datenpraktiken, um zu verstehen, wo sich Ihre kritischen Daten befinden und ob Anwendungen, die mit Low-Code- und No-Code-Plattformen erstellt wurden, sensible Daten enthalten.

  • Informieren Sie sich darüber, wo Ihre Low-Code-/No-Code-Plattform gehostet wird. Werden die Plattformen bei einem Hyperscaler wie AWS, Google oder Microsoft gehostet? Oder liegen sie in einem herkömmlichen On-Premises-Rechenzentrum, das nur begrenzte oder gar keine physische und logische Zugriffskontrolle bietet?

Wichtig ist darüber hinaus, die Sicherheitskultur in Ihrem Unternehmen zu berücksichtigen. Auch wenn die Plattformbenutzer nicht unbedingt Entwickler oder Sicherheitsexperten sind, sollten sie die Sicherheitsimplikationen der Low-Code- und No-Code-Plattformen und -Anwendungen, die sie verwenden und erstellen, verstehen. Mit großer Macht kommt große Verantwortung - das gilt auch für Low-Code- und No-Code-Plattformen.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Chris Hughes schreibt für unsere US-Schwesterpublikation CSO Online.
Folgen:
Florian Maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Folgen: