Citizen Developer: Low code, high risk?

Sichere Low-Code-Plattformen

von - 17.12.2019
Die vom BSI empfohlenen Anforderungen an eine sichere Entwicklung können als Leitlinie dienen, wenn Unternehmen nach einer Low-Code-Plattform suchen. Konkret stellt sich die Frage, was ein Anbieter hinsichtlich der Sicherheit leistet. OutSystems etwa stellt einen „Evaluation Guide“ für die Security zur Verfügung. Laut OutSystems werden bei jeder Applikation, die mit seiner Low-Code-Plattform gebaut wird, mehr als 200 Sicherheitskontrollen durchgeführt, darunter Applikationsschutz, Verfügbarkeit, Datensicherheit, Infrastruktursicherheit und Richtlinien. Anwender können Sicherheitsfunktionen zur Prüfung ihrer Applikation nutzen oder in ihre erstellte Software einfügen, zum Beispiel Applikationssicherheitsprüfungen, Identitätsmanagement, Zugriffskon­trolle, Single Sign-on, Verschlüsselung und Auditierung.
Felix Höger
Felix Höger
Vorstand Online-Services/Cloud Computing beim eco-Verband
www.eco.de
Foto: eco
„Global Player wie Amazon deployen bereits heute täglich mehrere Hundert neue Funk­tionen im laufenden Betrieb.“

Fazit & Ausblick

Low-Code-Plattformen werden hohe Wachstumsraten vorhergesagt. Sie befähigen Unternehmen, Anwendungen über einfache User Interfaces und ohne umfassende Programmierkenntnisse und -aufwände zu entwickeln und zu implementieren. Das spart nicht nur Zeit, sondern auch Kosten. „Global Player wie Amazon deployen bereits heute täglich mehrere Hundert neue Funktionen im laufenden Betrieb“, berichtet Felix Höger, Vorstand Online Services/Cloud Computing beim eco-Verband. Damit die Sicherheit trotz der sich beschleunigenden IT-Entwicklung nicht auf der Strecke bleibt, raten Experten, die Sicherheitsfunktionen der Low-Code-Plattformen zu hinterfragen, auf professionelle Low-Code-Anbieter zu setzen, für sicherheitskritische Projekte Nachweise zur Plattformsicherheit zu verlangen, die erzeugten Applika­tionen einem Sicherheitstest zu unterziehen und nicht zuletzt die Anwender der Low-Code-Plattformen zu schulen und die Nutzung genau zu regeln. Dann kann und wird die Entwicklung hin zu Low Code dem Ziel "Security by Design" dienen, andernfalls könnten vielmehr "Risks by Design" die Folge sein.

Anbieter

Plattform

Sicherheitsmerkmale

Microsoft

PowerApps

Verschiedene Zertifizierungen, Identitäts- und Zugriffsverwaltung, Verschlüsselung, Schutz der Verbindungen, Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention), Sicherheitsmodell (Rollen, Daten, Felder)

Oracle

Oracle Application Express

Authentication und Authorization, Session Management, Oracle APEX Advisor, XSS Prevention, Parameter Tampering Protection

OutSystems

OutSystems Platform

Applikationssicherheitsprüfungen, Identitätsmanagement, Zugriffskontrolle, Singe Sign-on (SSO), Verschlüsselung und Auditierung

Pega

Pega-Plattform

Verschiedene Zertifizierungen, Monitoring, Event Detection, interne Technical Controls, Application Security (Authentication, Authorization, Session Management, Data Validation, Cryptography, Ciphers and Keys, Data Protection, Auditing, Security Alerts)

ProntoForms

ProntoForms Platform

Verschiedene Zertifikate, Third Party Reviews, Verschlüsselung, Security Monitoring, interne Sicherheitsmaßnahmen

Quick Base

Quick Base Platform

Administrative Kontrolle, Verschlüsselung, verschiedene Zertifikate, Customer Data Segregation, Access Control, Logging, Audits, Backups, Disaster Recovery, Incident Response, Data Portability

Salesforce

Lightning Platform

Code Security Scanner, Zertifizierungen, Lightning Platform Security Scan, Security Engineers and Security Review Operations Team

Scopeland Technology

Scopeland

Authentifizierung von Benutzern gegen Datenbank oder per Lightweight Directory Access Protocol (LDAP)/Active Directory (AD), Rollenkonzept, Verschlüsselung, Eingabevalidierung, Upload-Validierung, Content Security Police (CSP), Session-ID-Sicherheit

ServiceNow

Now Platform, Now Platform App Engine

Security Operations, Vulnerability Response, Performance Analytics for Security Operations, Threat Intelligence, Trusted Security Circles, Risk Management, Policy and Compliance Management, Audit Management, Vendor Risk Management

TIBCO Software

TIBCO Cloud Live Apps

Sicherheitszertifizierungen, rollenbasierte Zugangskontrolle, Authentifizierung

TrackVia

TrackVia Low-Code Platform

Sicherheitszertifizierungen, Netzwerksicherheit, Applikationssicherheit (Whitelisting von IPs, Password Policies, Session Timeout Options)

Zoho

Zoho Creator

Single Sign-on (SSO), Domain Restriction, Logging, Audit Trail, Secure Access, Verschlüsselung, Berechtigungssystem
Seite
  1. Teil: Citizen Developer: Low code, high risk?
  2. Teil: Citizen Developer
  3. Teil: Ziel: Security by Design
  4. Teil: Sichere Low-Code-Plattformen
Verwandte Themen

Mehr zum Thema