top of page
AutorenbildRené Reinli

Sicherheit für No-Code und Low-Code

"Niedriger Code" bedeutet nicht geringes Risiko. Dadurch, dass mehr Mitarbeiter in einem Unternehmen Anwendungen entwickeln können, schafft die Low-Code-Entwicklung neue Schwachstellen und kann Probleme vor Security verbergen. "Es gibt keinen Filter für Dummheit."

Low-Code- und No-Code-Entwicklung verspricht, die Einführung neuer Anwendungen zu beschleunigen und nicht-technischen Benutzern die Erstellung von Anwendungen zu ermöglichen. Diese Idee gibt es schon seit langem. Jetzt bringen neue Cloud-basierte Plattformen für die Erstellung von Mobil- und Webanwendungen sowie Tools, die in Plattformen wie Office 365 von Microsoft, der G Suite von Google und Salesforce integriert sind, die Möglichkeiten der Anwendungsentwicklung für eine wachsende Nutzerbasis.

Nach Untersuchungen von Analysten wird erwartet, dass der Markt für Low-Code-Entwicklungsplattformen von 4,3 Milliarden US-Dollar im Jahr 2017 auf mehr als 27 Milliarden US-Dollar im Jahr 2022 anwachsen wird. Laut einer im März dieses Jahres veröffentlichten Forrester-Umfrage unter globalen IT- und Unternehmensentscheidern haben 84% der Unternehmen eine Low-Code-Entwicklungsplattform oder ein Low-Code-Entwicklungswerkzeug eingeführt, und von diesen haben 100% eine positive Rendite ihrer Investitionen gesehen.

In vielerlei Hinsicht sind diese Entwicklungsplattformen sicherer als die Technologien, die sie ersetzen, da die Cloud-Anbieter globale Zugriffskontrollen und -berechtigungen implementieren können, während sie den Unternehmen einen einzigen Überblick darüber geben, was alle ihre Mitarbeiter mit den Daten tun. Allerdings nennen 59% der Befragten der Forrester-Umfrage die Sicherheit als die größte Herausforderung, wenn es um die Einführung von Low-Code-Plattformen geht.

Hier sind vier Sicherheitsbedenken im Zusammenhang mit Low-Code-Anwendungen, die nach Ansicht von Experten von Unternehmen berücksichtigt werden müssen.

1. Mangelnde Sichtbarkeit

Eine der größten Herausforderungen bei der Entwicklung von Low-Codes und No-Codes besteht darin, dass es für Unternehmen schwierig sein könnte, in den Griff zu bekommen, was ihre Mitarbeiter bauen. Ein Teil davon hat mit dem ganzen Problem der Schatten-IT zu tun, sagt z.B. Juniper Networks. Der Großteil der Schatten-IT, von der wir hören, ist mit der Schattenentwicklung an die Hüfte gebunden, sehr oft, wenn Mitarbeiter in der Unternehmens-IT umhergehen, um eine öffentliche Cloud-Infrastruktur aufzubauen, sei es bei der Speicherung oder beim Rechnen, wird sie gewöhnlich von einer Anwendung begleitet, die die Verarbeitung von Daten in der Cloud ermöglicht.

Vor-Ort-Plattformen mit niedrigem Code können die gleiche Art von Sichtbarkeitsproblemen für Unternehmen aufwerfen. Microsoft-Excel-Skripte und -Makros zum Beispiel sind in Unternehmen allgegenwärtig und so gut wie unkontrollierbar. "Wenn Sie ein Tool zur schnellen Anwendungsentwicklung auf einem Desktop installieren und Anwendungen erstellen, hat die IT-Abteilung keine Sichtbarkeit", sagt ein Gartner-Analyst.

Der Umstieg auf die Cloud kann helfen, die Sichtbarkeit zu verbessern, sagt er und fügt hinzu, dass "es mehr Möglichkeiten gibt, Governance auf den Zugriff anzuwenden und regelbasierte Berechtigungen zu haben". Das macht die Cloud-basierten Plattformen sicherer als herkömmliche Alternativen.

Das Beispiel eines Geschäftsanwenders, der nicht berechtigt ist, Salesforce App Builder zu verwenden. "Sie werden diese Daten extrahieren und in Excel einfügen" … "Ich würde sagen, dass das weniger sicher ist, als in Salesforce zu erstellen, wo Sie Sichtbarkeit haben, wo Sie die Möglichkeit haben, zu wissen, was passiert, im Gegensatz zu einer Access-Datenbank, die überall verteilt und freigegeben wird …

2. Kein Datenversehen:-)

Keine Überischt über die neuen Daten

Die erste Frage, die Unternehmen bei der Umstellung auf Low-Code- und No-Code-Plattformen beantworten müssen, ist, ob ihre Daten sicher sein werden. Je nach Plattform können sich Unternehmen dafür entscheiden, die Art der auszutauschenden Daten oder deren Verwendung einzuschränken. "Sie können eine Sandbox einrichten, in der die Benutzer bauen können, was immer sie wollen, aber nicht auf geschäftskritische Daten zugreifen können", sagt Wong. "Wenn sie auf etwas anderes zugreifen müssen, könnte das eine Anfrage an das Unternehmen und an die IT sein: 'Hey, ich arbeite in der Personalabteilung, aber ich brauche dieses Stück Kundendaten für meine App wirklich. Dann könnten Sie eine Genehmigung erhalten und vielleicht nur lesenden Zugriff auf diese Daten haben.

Viele der Top-Tier-Plattformen der Unternehmensebene bieten viele Möglichkeiten für Unternehmen, Kontrollen anzuwenden. "Solange sie nur verstehen, dass sie nicht einfach alles für jeden öffnen", sagt Wong.

Die Sicherheit der zugrunde liegenden Daten ist das wichtigste Anliegen, wichtiger als der Code! Bitte merken sie sich das. "Wenn Sie Software haben, die den Wert von Pi berechnet, ist das für das Unternehmen keine große Sache aber wenn Sie sensible Kundendaten hineingeben, dann haben Sie genau da das Problem. Denken Sie also zuerst an die Daten."

Ein Problem bei einigen Low-Code- und No-Code-Plattformen ist, dass Endbenutzer manchmal in der Lage sind, Entscheidungen über Konfigurationen, Berechtigungen und Zugriffskontrollen zu treffen. Die Art und Weise, wie Kundendaten in diesen Plattformen in Silos gespeichert und partitioniert werden, birgt Risiken in sich. Um eine effektive Datensegregation zu erreichen, müssen Zugriffs- und Rollendefinitionen implementiert werden, Aufgaben, die typischerweise nicht in den Aufgabenbereich des durchschnittlichen Bürgerentwicklers fallen, die die Low-Code-Plattformen übernehmen sollen.

Nicht alle Low-Code-Plattformen sind gleich wenn es um feinkörnigere Kontrollen geht. Google Docs und andere Kollaborationsplattformen verfügen beispielsweise in der Regel über einen Zugriffsmechanismus, der die Anzeige, Bearbeitung und gemeinsame Nutzung von Daten steuert. Fortschrittlichere Steuerelemente, die die Überprüfung von Anmeldungen und erneuten Freigaben, den zeitbasierten Zugriff mit automatischem Ablauf und granularere Zugriffskontrollen ermöglichen, gehen jedoch über die Möglichkeiten der Basisebene hinaus.

Eine weitere Herausforderung besteht darin, dass einige Low-Code-Plattformen es Benutzern ermöglichen, Anwendungen zu erstellen, die eine Verbindung zu mehreren Systemen und Datenquellen herstellen. Jede Datenquelle hat ihren eigenen Sicherheitsmechanismus. Beispielsweise kann eine Anwendung eine Verbindung zu einer SharePoint-Website herstellen, wenn schlechte Governance und Berechtigungen angewendet werden.

In diesem Fall könnte die Entwicklungsplattform fälschlicherweise für das Sicherheitsproblem verantwortlich gemacht werden. Die Schuld sollte der Datenquelle und dem Datenquellenmanager zugeschoben werden.

3. Keine Prüfung der Hersteller (Plattformen)

In vielen Fällen sind der Code und die Sicherheitskontrollen, die die Hersteller von Plattformen mit niedrigem oder keinem Code einrichten, für ein Unternehmen möglicherweise nicht sichtbar. Um herauszufinden, wie sicher diese Anbieter sind, müssen sich Unternehmen auf die Tools verlassen, über die sie bereits verfügen - Sicherheitsaudits durch Dritte, Sicherheits- und Konformitätszertifizierungen, Service Level Agreements und Cybersicherheitsversicherungen.

Es macht einen Unterschied, ob sich ein einzelner Endbenutzer für die Nutzung einer bestimmten Plattform entscheidet oder ob ein Unternehmen beschließt, diese unternehmensweit einzusetzen. Als einzelner Benutzer, der sich für einen SaaS-Service anmeldet, haben Sie wahrscheinlich nicht die Möglichkeit, dort anzurufen und zu sagen: 'Sie müssen diesen 20-seitigen Sicherheitsfragebogen. Aber wenn Sie ihn für Ihr gesamtes Unternehmen verwenden, haben Sie einen Prozess.

Einige Low-Code-Anbieter versuchen, die Dinge transparenter zu machen. Viele meiner Kunden wünschen sich das aber wenn es sich nur um eine Blackbox handelt - wer weiß, was darin vor sich geht.

Der Umstieg auf Low-Code- und No-Code-Entwicklungsplattformen, die nicht über diese Art von Transparenz verfügen, entzieht den Sicherheitsteams etwas Kontrolle das bedeutet nicht unbedingt, dass die Sicherheit darunter leiden wird. Ich denke, wenn Benutzer eine Anwendung wollen, ist es besser, sie auf Standardplattformen zu erstellen, als selbst Code zu entwickeln, sagt sie. Wenn eine Schwachstelle in ihren Komponenten gefunden wird, würden die Plattformanbieter einen Patch herausgeben, der alle Anwendungen, die diese Komponenten verwenden, aktualisiert.

Unternehmen wie Salesforce haben mit der Sicherung der in ihrem Besitz befindlichen Daten und der Entwicklung sicherer Skripting-Tools gute Arbeit geleistet. Wenn ein Unternehmen glaubt, dass sein eigener Code robuster wäre, ist das illusorisch.

4. Probleme mit der Geschäftslogik, die Daten offenlegen

Low-Code- und No-Code-Entwicklungsplattformen enthalten in der Regel standardmäßig Berechtigungen und Zugriffskontrollen, die oft von den zugrunde liegenden Daten übernommen werden, die sie für ihre Kunden bereithalten. Das kann es sowohl erfahrenen Entwicklern als auch Nicht-Entwicklern erleichtern, schnell sichere Anwendungen zu erstellen.

Aber das Problem ist, dass man immer noch dumme Fehler machen kann und CISOs denken zunächst, dass es sicherer ist, da wenig bis gar kein Code involviert ist. Aber unterschätzen Sie niemals die Fähigkeit, schlechte Sicherheitsentscheidungen auf jeder Plattform zu treffen.

Je leistungsfähiger die Plattformen werden, desto mehr können die Menschen mit ihnen machen - und desto mehr können sie die Unternehmenssicherheit untergraben. Ein Logikproblem, das z.B. einem Benutzer erlaubt, Daten zu sehen, die zu einem anderen gehören, oder das sensible Informationen an einem öffentlichen Ort veröffentlicht, könnte für ein Unternehmen erhebliche Probleme verursachen.

Unternehmen sollen bei Low-Code- und No-Code-Anwendungen das gleiche Maß an Sicherheitstests anwenden, das sie auch bei ihrer traditionell entwickelten Software anwenden. Sicherheitstestprogramme reichen weit und breit, die meisten Unternehmen haben zu diesem Zeitpunkt ziemlich gut durchdachte Sicherheitstestprogramme und nutzen oft externe Firmen, um die Tests durchzuführen. Aber die Anwendungen mit niedrigem Code werden oft nicht in die gleichen Sicherheitstests einbezogen, denen andere Anwendungen unterliegen würden.

Die Sicherheitsspezialisten müssen die Lektionen, die sie den firmeninternen Entwicklern gegeben haben, nehmen und sie den Endbenutzern, die möglicherweise Low-Code-Plattformen verwenden, noch einmal beibringen.


"Es gibt keinen Filter für Dummheit."

Comments


bottom of page