Citizen Developer: Low code, high risk?

"Unternehmen, die Cloud-Plattformen nutzen, sehen sich mit einer Vielzahl von Veränderungen konfrontiert", konstatiert Yefim Natis, Research Vice President bei Gartner. Neue Technologiearchitekturen spiegeln das Wesen der Cloud wider: Agilität, kontinuierliche Innovation, schnelle Bereitstellung. Ein Beispiel dafür sind Low-Code-Plattformen - Entwicklungsplattformen, die es erlauben, Software mit grafischen Tools und Assistenten zu erstellen, ohne (in größerem Umfang) klassische, manuelle Programmiertechniken anwenden und damit Code schreiben zu müssen. Software entsteht mithilfe eines visuellen Designers wie nach dem Baukastenprinzip. Diese Form der Programmierung hat Folgen für das Zusammenspiel der IT und der Fachbereiche.

„Wir sehen, dass die zentrale IT beginnt, der Unternehmensorganisation Dienste wie Plattformen, Schulungen, Beratung und Support bereitzustellen. Die IT bleibt für die Gesamtsteuerung verantwortlich“, berichtet Yefim Natis. Diese Entwicklung führt nicht nur zu einer Neudefinition der Rolle der zentralen IT, sondern es entstehen auch Sorgen rund um die IT-Sicherheit.

Die Befürchtung ist, dass mit dem Low-Code-Ansatz ein höheres Risiko für die Unternehmens-IT verbunden sein könnte. Auch wenn die Anbieter von Low-Code-Plattformen "mangelnde Sicherheit" regelmäßig als Low-Code-Mythos anprangern, muss man als Anwenderunternehmen die denkbaren Folgen für die IT-Sicherheit durchaus ernst nehmen.

Einer der Gründe: Low-Code-Plattformen sollen es auch Nutzern ohne Programmierkenntnisse ermöglichen, Anwendungen zu erstellen. Damit steigt die Zahl der "Entwickler" im Unternehmen, wobei sich die neuen „Programmierer“ außerhalb der IT und womöglich auch jenseits des Monitorings durch die Security-Abteilung bewegen. Low-Code-Plattformen könnten also eine neue Schatten-IT mit sich bringen, wenn die Nutzung nicht geregelt und kontrolliert wird.

Und es sind weitere Risiken durch Low Code denkbar: Die genutzte Low-Code-Plattform könnte unsicheren Code verwenden, der dann in den Bausteinen steckt, die der Nutzer zur Applikation zusammenfügt. Bei steigender Verbreitung könnten zudem Schwachstellen in Low-Code-Plattformen gezielt von Hackern angegriffen werden, wodurch auch damit erstellte Applikationen in Gefahr sein können.

Doch nicht nur die Low-Code-Plattform kann neue Risiken bergen, sondern auch der Mitarbeiter selbst - in der neuen Rolle als sogenannter Citizen Developer.

Diese Rolle definiert Mike Cisek, VP Analyst bei Gartner, so: „Ein Citizen Developer ist ein Mitarbeiter, der neue Geschäftsanwendungen erstellt, normalerweise für sich selbst, aber möglicherweise auch für andere, und zwar unter Verwendung von Entwicklungs- und Laufzeitumgebungen, die von der Unternehmens-IT oder den Branchenorganisationen genehmigt (oder zumindest nicht aktiv verboten) wurden.“

Für den Trend, dass Mitarbeiter zu Citizen Developern werden, sieht Mike Cisek mehrere Gründe: „Enge Zeitpläne, Ressourcenbeschränkungen und knapper werdende Budgets erschweren eine schnelle Reaktion auf geschäftliche Entwicklungen. Mit dem Aufkommen von Cloud-Lösungen und Low-Code-Anwendungen können Mitarbeiter außerhalb der IT nun auch außerhalb der Sicht der IT arbeiten.“

Der Rat des Gartner-Analysten lautet deshalb: „Vertrauen Sie, aber überprüfen Sie. Lassen Sie die Endbenutzerentwicklung zu, setzen Sie jedoch klare Grenzen, die sowohl die IT- als auch die Geschäftsanforderungen erfüllen, und bieten Sie bedienfreundliche, von der IT genehmigte Entwicklungsplattformen. Ziel ist es nicht, diese Art der Entwicklung zu verbieten, sondern gute Citizen Developer zu schaffen. Auf diese Weise können Unternehmen ihre Anforderungen erfüllen und gleichzeitig der IT ein gewisses Maß an Kon­trolle bieten.“

„Tatsächlich braucht es für Low Code keine Gurus oder ausgezeichneten Personen“, meint Maximilian Hille, Senior Analyst & Cloud Practice Lead bei Crisp Research. „Trotzdem ist es notwendig, Schulungen und sogar Zertifizierungen anzubieten. Denn einerseits soll die einfache App-Entwicklung nicht dazu führen, dass Mitarbeiter willkürlich Anwendungen entwickeln, die keiner nutzt. Ein Feingefühl für App-
Development, Navigation, Design und Nachfrage muss auch im Low-Code-Zeitalter vorhanden sein. Noch konkreter wird der Bedarf an Zertifizierungen, wenn sich die Entwicklung der Low-Code-Plattformen in Richtung Industrie und Fachbereiche weiter bestätigt.“

Und John Rymer, Vice President und Principal Analyst bei Forrester Research, macht auf einen weiteren wichtigen Aspekt aufmerksam, der nicht übersehen werden sollte: „Für einige Projekte sind Tools erforderlich, die von der Low-Code-Plattform nicht bereitgestellt werden. In dieser Situation können Teile der Anwendung nur mithilfe von Code abgeschlossen werden.“ Unternehmen müssen also mit zusätzlichem Aufwand und notwendigen weiteren Ressourcen für die Codierung von Programmteilen rechnen und nicht zuletzt mit Sicherheitslücken, die durch den zusätzlichen Code eingefügt werden könnten.

„Nur wenn Cybersicherheit schon im Design berücksichtigt wird, können Unternehmen erfolgreich an der Digitalisierung teilhaben und Schaden von Beginn an abwenden“, erklärt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Was dazu notwendig ist, zeigt das BSI in zahlreichen Leitlinien, die auch bei der Nutzung von Low-Code-Plattformen Anwendung finden sollten. So gibt es etwa einen „Community Draft zum IT-Grundschutz-Baustein Software-Entwicklung“. Wendet man diesen auf Low-Code-Plattformen an, so lauten die zu berücksichtigenden Risiken unter anderem:

In dem Entwurf für den IT-Grundschutz-Baustein des BSI werden auch Forderungen an eine sichere Software-Entwicklung gestellt, die bei der Auswahl und Nutzung von Low-Code-Plattformen zu berücksichtigen sind:

Bei einem erhöhtem Schutzbedarf fordert das Bundesamt in erster Linie regelmäßige Sicherheits-Audits für die Entwicklungsumgebung (und damit auch für die Low-Code-Plattform). Wichtig ist laut BSI, dass die Integrität der Entwicklungsumgebung regelmäßig mit kryptografischen Mechanismen entsprechend dem jeweiligen Stand der Technik geprüft wird.

---

Die vom BSI empfohlenen Anforderungen an eine sichere Entwicklung können als Leitlinie dienen, wenn Unternehmen nach einer Low-Code-Plattform suchen. Konkret stellt sich die Frage, was ein Anbieter hinsichtlich der Sicherheit leistet. OutSystems etwa stellt einen „Evaluation Guide“ für die Security zur Verfügung. Laut OutSystems werden bei jeder Applikation, die mit seiner Low-Code-Plattform gebaut wird, mehr als 200 Sicherheitskontrollen durchgeführt, darunter Applikationsschutz, Verfügbarkeit, Datensicherheit, Infrastruktursicherheit und Richtlinien. Anwender können Sicherheitsfunktionen zur Prüfung ihrer Applikation nutzen oder in ihre erstellte Software einfügen, zum Beispiel Applikationssicherheitsprüfungen, Identitätsmanagement, Zugriffskon­trolle, Single Sign-on, Verschlüsselung und Auditierung.

Low-Code-Plattformen werden hohe Wachstumsraten vorhergesagt. Sie befähigen Unternehmen, Anwendungen über einfache User Interfaces und ohne umfassende Programmierkenntnisse und -aufwände zu entwickeln und zu implementieren. Das spart nicht nur Zeit, sondern auch Kosten. „Global Player wie Amazon deployen bereits heute täglich mehrere Hundert neue Funktionen im laufenden Betrieb“, berichtet Felix Höger, Vorstand Online Services/Cloud Computing beim eco-Verband. Damit die Sicherheit trotz der sich beschleunigenden IT-Entwicklung nicht auf der Strecke bleibt, raten Experten, die Sicherheitsfunktionen der Low-Code-Plattformen zu hinterfragen, auf professionelle Low-Code-Anbieter zu setzen, für sicherheitskritische Projekte Nachweise zur Plattformsicherheit zu verlangen, die erzeugten Applika­tionen einem Sicherheitstest zu unterziehen und nicht zuletzt die Anwender der Low-Code-Plattformen zu schulen und die Nutzung genau zu regeln. Dann kann und wird die Entwicklung hin zu Low Code dem Ziel "Security by Design" dienen, andernfalls könnten vielmehr "Risks by Design" die Folge sein.

---