Citizen Developer: Low code, high risk?
Ziel: Security by Design
- Auswahl einer ungeeigneten Low-Code-Plattform
- Fehlende oder unzureichende Qualitätssicherung beim Low-Coden
- Fehlende oder unzureichende Dokumentation beim Low-Coden
- Unzureichend gesicherter Einsatz von Low-Code-Plattformen (Manipulationsgefahr)
- Software-Konzeptionsfehler in den Low-Code-Bausteinen
- Fehlendes oder unzureichendes Test- und Freigabeverfahren beim Low-Coden (ohne IT-Abteilung)
- Software-Test mit Produktivdaten (möglicher Nutzerfehler beim Low-Coden)
BSI-Bausteine
- Vertrauenswürdigen Bibliotheken auswählen
- Angemessene Testverfahren anwenden
- Patches, Updates und Änderungen sicherstellen
- Compliance-Anforderungen berücksichtigen
- Projektteam zur Informationssicherheit schulen
- Nur vertrauenswürdiger Entwicklungswerkzeuge nutzen
Anbieter |
Plattform |
Sicherheitsmerkmale |
AgilePoint |
AgilePoint NX |
Unterstützung Authentication Provider, Single Sign-on (SSO), Data Security, Network Protection, Disaster Recovery, Backups, Internal Testing und Assessments, Security Monitoring, Return of Customer Data, Deletion of Customer Data |
Airtable |
Airtable Platform |
Network und System Security, Service Reliability, Product Security, Organizational und Information Security, Application Security, Data Privacy und Data Portability |
Appian |
Appian Platform |
Verschiedene Security-Zertifizierungen, Gesamtverfügbarkeit von 99,99 %, SLA mit garantierter Verfügbarkeit zu 99,95 %, Recovery Time Objective (RTO) von 15 Minuten, Hochverfügbarkeit, Datenredundanz, Sicherheitskontrollen, Monitoring, Defense-Funktionen, Verschlüsselung, Isolation, Schwachstellensuche, Security-Event-Management |
AppSheet |
AppSheet Platform |
Automatische Verwaltung und Durchsetzung von Sicherheitsrichtlinien für alle App-Ersteller, Audit-Protokolle, Integration in Active Directory und Google-Domains, SOC-2-konform, permanente Überwachung und Alarmierung |
Betty Blocks |
Betty Blocks Platform |
ISO-27001-Zertifikat, unterstützt Zwei-Faktor-Authentifizierung, Security-Tests (Pen-Test, Code Review) |
Caspio |
Caspio Platform |
AWS Security, Password Protection, IP Blocking, Record Level Security, Live System Health, Service Level Agreement (SLA), Account Security Policy, verschiedene Zertifizierungen |
Creatio |
Studio |
Zugriffsberechtigungssystem, WebSSO-Support, LDAP-Integration, Aktivitätsprotokolle |
FileMaker/Claris |
FileMaker-Plattform |
Datenbankverschlüsselung, SSL-Verschlüsselung, SSL-Zertifikate, Authentifizierung, Sicherheitsmeldungen, Admin-Konsole, Berechtigungssystem |
K2 |
K2 Platform |
Sicherheits- und Audit-Tools, Identitätsmanagement, verschiedene Zertifizierungen, Application Security, Secure Data Access |
Kintone |
Kintone Application |
Verfügbarkeit, Data Encryption (in Transit und at Rest), CSIRT (Computer Security Incident Response Team), Vulnerability & Penetration Testing, Security Assertion Markup Language (SAML), Zwei-Faktor-Authentifizierung, IP-Beschränkungen, Login/Password Policy, Audit Log |
Kissflow |
Kissflow Platform |
Kontosicherheit (SAML-based SSO), Benutzerverwaltung, API-Keys |
Kony |
Kony Quantum |
Verschiedene Zertifizierungen, Application Security, Verschlüsselungs-APIs, Protected Mode, Anti-tamper Protection, Sicherheitsrichtlinien (Data at Rest, Data Protection, Database Security, Input Validation, Output Encoding, Data in Transit, Authentication, Session Management, Access Control, Error Handling and Logging, File Management) |
Mendix |
Mendix Plattform |
Verschiedene Zertifikate, Verschlüsselung, Disaster-Recovery-Programm, Identitätsmanagement, Mehr-Faktor-Authentifizierung, Logging & Audit Trails, Security-Testing, App-Level Security, Password-Policy, LDAP und Kerberos, Berechtigungssystem |