Entwicklungsplattformen
Citizen Developer: Low code, high risk?
von
Oliver
Schonschek - 17.12.2019
Foto: Visual Generation / shutterstock.com
Allein die Verwendung von Low-Code-Plattformen ist noch kein Security by Design. Wichtig sind vor allem Sicherheitstests und Schulungen für die Anwender.
"Unternehmen, die Cloud-Plattformen nutzen, sehen sich mit einer Vielzahl von Veränderungen konfrontiert", konstatiert Yefim Natis, Research Vice President bei Gartner. Neue Technologiearchitekturen spiegeln das Wesen der Cloud wider: Agilität, kontinuierliche Innovation, schnelle Bereitstellung. Ein Beispiel dafür sind Low-Code-Plattformen - Entwicklungsplattformen, die es erlauben, Software mit grafischen Tools und Assistenten zu erstellen, ohne (in größerem Umfang) klassische, manuelle Programmiertechniken anwenden und damit Code schreiben zu müssen. Software entsteht mithilfe eines visuellen Designers wie nach dem Baukastenprinzip. Diese Form der Programmierung hat Folgen für das Zusammenspiel der IT und der Fachbereiche.
„Wir sehen, dass die zentrale IT beginnt, der Unternehmensorganisation Dienste wie Plattformen, Schulungen, Beratung und Support bereitzustellen. Die IT bleibt für die Gesamtsteuerung verantwortlich“, berichtet Yefim Natis. Diese Entwicklung führt nicht nur zu einer Neudefinition der Rolle der zentralen IT, sondern es entstehen auch Sorgen rund um die IT-Sicherheit.
Low Code als Security-Frage
Die Befürchtung ist, dass mit dem Low-Code-Ansatz ein höheres Risiko für die Unternehmens-IT verbunden sein könnte. Auch wenn die Anbieter von Low-Code-Plattformen "mangelnde Sicherheit" regelmäßig als Low-Code-Mythos anprangern, muss man als Anwenderunternehmen die denkbaren Folgen für die IT-Sicherheit durchaus ernst nehmen.
Mike Cisek
VP Analyst bei Gartner
VP Analyst bei Gartner
www.gartner.com
Foto: Gartner
„Stellen Sie sicher, dass die Citizen Developer über IT-Anleitungen und eine sichere Umgebung verfügen, in der sie innovativ und kreativ sein können.“
Einer der Gründe: Low-Code-Plattformen sollen es auch Nutzern ohne Programmierkenntnisse ermöglichen, Anwendungen zu erstellen. Damit steigt die Zahl der "Entwickler" im Unternehmen, wobei sich die neuen „Programmierer“ außerhalb der IT und womöglich auch jenseits des Monitorings durch die Security-Abteilung bewegen. Low-Code-Plattformen könnten also eine neue Schatten-IT mit sich bringen, wenn die Nutzung nicht geregelt und kontrolliert wird.
Und es sind weitere Risiken durch Low Code denkbar: Die genutzte Low-Code-Plattform könnte unsicheren Code verwenden, der dann in den Bausteinen steckt, die der Nutzer zur Applikation zusammenfügt. Bei steigender Verbreitung könnten zudem Schwachstellen in Low-Code-Plattformen gezielt von Hackern angegriffen werden, wodurch auch damit erstellte Applikationen in Gefahr sein können.
Doch nicht nur die Low-Code-Plattform kann neue Risiken bergen, sondern auch der Mitarbeiter selbst - in der neuen Rolle als sogenannter Citizen Developer.
