Citizen Developer: Low code, high risk?

Ziel: Security by Design

von - 17.12.2019
„Nur wenn Cybersicherheit schon im Design berücksichtigt wird, können Unternehmen erfolgreich an der Digitalisierung teilhaben und Schaden von Beginn an abwenden“, erklärt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Was dazu notwendig ist, zeigt das BSI in zahlreichen Leitlinien, die auch bei der Nutzung von Low-Code-Plattformen Anwendung finden sollten. So gibt es etwa einen „Community Draft zum IT-Grundschutz-Baustein Software-Entwicklung“. Wendet man diesen auf Low-Code-Plattformen an, so lauten die zu berücksichtigenden Risiken unter anderem:
  • Auswahl einer ungeeigneten Low-Code-Plattform
  • Fehlende oder unzureichende Qualitätssicherung beim Low-Coden
  • Fehlende oder unzureichende Dokumentation beim Low-Coden
  • Unzureichend gesicherter Einsatz von Low-Code-Plattformen (Manipulationsgefahr)
  • Software-Konzeptionsfehler in den Low-Code-Bausteinen
  • Fehlendes oder unzureichendes Test- und Freigabeverfahren beim Low-Coden (ohne IT-Abteilung)
  • Software-Test mit Produktivdaten (möglicher Nutzerfehler beim Low-Coden)
Arne Schönbohm
Arne Schönbohm
Präsident des BSI
www.bsi.bund.de
Foto: BSI
„Nur wenn Sicherheit schon im Design berücksichtigt wird, können Unternehmen erfolgreich an der Digitalisierung teilhaben.“

BSI-Bausteine

In dem Entwurf für den IT-Grundschutz-Baustein des BSI werden auch Forderungen an eine sichere Software-Entwicklung gestellt, die bei der Auswahl und Nutzung von Low-Code-Plattformen zu berücksichtigen sind:
  • Vertrauenswürdigen Bibliotheken auswählen
  • Angemessene Testverfahren anwenden
  • Patches, Updates und Änderungen sicherstellen
  • Compliance-Anforderungen berücksichtigen
  • Projektteam zur Informationssicherheit schulen
  • Nur vertrauenswürdiger Entwicklungswerkzeuge nutzen
Bei einem erhöhtem Schutzbedarf fordert das Bundesamt in erster Linie regelmäßige Sicherheits-Audits für die Entwicklungsumgebung (und damit auch für die Low-Code-Plattform). Wichtig ist laut BSI, dass die Integrität der Entwicklungsumgebung regelmäßig mit kryptografischen Mechanismen entsprechend dem jeweiligen Stand der Technik geprüft wird.

Anbieter

Plattform

Sicherheitsmerkmale

AgilePoint

AgilePoint NX

Unterstützung Authentication Provider, Single Sign-on (SSO), Data Security, Network Protection, Disaster Recovery, Backups, Internal Testing und Assessments, Security Monitoring, Return of Customer Data, Deletion of Customer Data

Airtable

Airtable Platform

Network und System Security, Service Reliability, Product Security, Organizational und Information Security, Application Security, Data Privacy und Data Portability

Appian

Appian Platform

Verschiedene Security-Zertifizierungen, Gesamtverfügbarkeit von 99,99 %, SLA mit garantierter Verfügbarkeit zu 99,95 %, Recovery Time Objective (RTO) von 15 Minuten, Hochverfügbarkeit, Datenredundanz, Sicherheitskontrollen, Monitoring, Defense-Funktionen, Verschlüsselung, Isolation, Schwachstellensuche, Security-Event-Management

AppSheet

AppSheet Platform

Automatische Verwaltung und Durchsetzung von Sicherheitsrichtlinien für alle App-Ersteller, Audit-Protokolle, Integration in Active Directory und Google-Domains, SOC-2-konform, permanente Überwachung und Alarmierung

Betty Blocks

Betty Blocks Platform

ISO-27001-Zertifikat, unterstützt Zwei-Faktor-Authentifizierung, Security-Tests (Pen-Test, Code Review)

Caspio

Caspio Platform

AWS Security, Password Protection, IP Blocking, Record Level Security, Live System Health, Service Level Agreement (SLA), Account Security Policy, verschiedene Zertifizierungen

Creatio

Studio

Zugriffsberechtigungssystem, WebSSO-Support, LDAP-Integration, Aktivitätsprotokolle

FileMaker/Claris

FileMaker-Plattform

Datenbankverschlüsselung, SSL-Verschlüsselung, SSL-Zertifikate, Authentifizierung, Sicherheitsmeldungen, Admin-Konsole, Berechtigungssystem

K2

K2 Platform

Sicherheits- und Audit-Tools, Identitätsmanagement, verschiedene Zertifizierungen, Application Security, Secure Data Access

Kintone

Kintone Application
Platform

Verfügbarkeit, Data Encryption (in Transit und at Rest), CSIRT (Computer Security Incident Response Team), Vulnerability & Penetration Testing, Security Assertion Markup Language (SAML), Zwei-Faktor-Authentifizierung, IP-Beschränkungen, Login/Password Policy, Audit Log

Kissflow

Kissflow Platform

Kontosicherheit (SAML-based SSO), Benutzerverwaltung, API-Keys

Kony

Kony Quantum

Verschiedene Zertifizierungen, Application Security, Verschlüsselungs-APIs, Protected Mode, Anti-tamper Protection, Sicherheitsrichtlinien (Data at Rest, Data Protection, Database Security, Input Validation, Output Encoding, Data in Transit, Authentication, Session Management, Access Control, Error Handling and Logging, File Management)

Mendix

Mendix Plattform

Verschiedene Zertifikate, Verschlüsselung, Disaster-Recovery-Programm, Identitätsmanagement, Mehr-Faktor-Authentifizierung, Logging & Audit Trails, Security-Testing, App-Level Security, Password-Policy, LDAP und Kerberos, Berechtigungssystem
Seite
  1. Teil: Citizen Developer: Low code, high risk?
  2. Teil: Citizen Developer
  3. Teil: Ziel: Security by Design
  4. Teil: Sichere Low-Code-Plattformen
Verwandte Themen

Mehr zum Thema