Sicherheit ist ein wichtiges Thema für alle IT-Experten. Daher ist es nicht verwunderlich, dass bei jeder Evaluation von Low-Code gefragt wird: „Ist Low-Code sicher?“ In diesem Beitrag beantworten wir diese und andere Fragen von IT-Managern zur Sicherheit von Low-Code und stellen die Sicherheit dieser Technologie in Bezug zu anderen Entwicklungsansätzen.

hero-bp-is-low-code-secure

Inhalt:


Der Stand der sicheren Softwareentwicklung

Sofern Sie nicht off-the-grid leben, dürfte es keine Neuigkeit für Sie sein, dass die Internetkriminalität im gleichen Maße zunimmt und ausgeklügelter wird, in dem Unternehmen neue Phasen der digitalen Reife erreichen.

Die zunehmenden Cyber-Bedrohungen haben CIOs und CISOs dazu veranlasst, die Art und Weise zu überdenken, wie ihre Entwicklerteams Software produzieren. Dieser Wandel ist vor allem auf zwei Faktoren zurückzuführen:

  • den Mangel an verfügbaren Cybersecurity-Profis
  • eine wachsende Nachfrage nach DevSecOps-Praktiken

1. Es ist eine großartige Zeit, ein Cybersecurity-Profi zu sein

Gemäß dem Cybersecurity Jobs Report gab es 2021 3,5 Millionen unbesetzte Stellen im Bereich der Cybersicherheit. Alle Voraussicht nach wird diese Zahl vor 2025 nicht zurückgehen. Die zunehmende Internetkriminalität steigert die Nachfrage nach Cybersicherheitsexperten viel schneller, als die Industrie und Universitäten Talente ausbilden können. Es ist eine großartige Zeit, ein Cybersecurity-Profi zu sein – und eine denkbar schlechte Zeit, wenn Sie versuchen, einen einzustellen.

Gartners Rat bezüglich der Cybersecurity-Talentlücke besteht darin, „die langweiligen Teile zu automatisieren“, wie z. B. die manuelle Protokollprüfung. Dadurch können qualifizierte Teammitglieder ihre Zeit für wertschöpfende Aktivitäten nutzen. Auch in einem aktuellen Report der Cybersecurity Advocacy Group (ISC)2 wird der Einsatz von künstlicher Intelligenz und Automatisierung für manuelle Cybersicherheitsaufgaben als eine der wichtigsten Technologieinvestitionen zur Überwindung der Talentlücke genannt.

2. DevSecOps: "Der Neue im Viertel"

Durch die Zunahme von Ransomware-Angriffen, das Fehlen klarer Grenzen für Unternehmensdaten und das erhöhte Risiko beim kollaborativen Citizen Development sehen wir eine erhöhte Nachfrage nach DevSecOps. Bei diesem Ansatz sind Sicherheitstests keine heroische Anstrengung am Ende des Softwareentwicklungszyklus, sondern werden von Anfang an integriert.

Dieser sogenannte „Shift-Left“-Ansatz sieht vor, dass Entwickler die Verantwortung für die Sicherheit übernehmen – von der Anforderungserfassung und -analyse bis zum Architekturentwurf, der Implementierung und dem Testing. Diese ideale Welt, in der die Sicherheit in die verschiedenen Phasen des App-Lebenszyklus eingebettet ist, ist jedoch weit von der Realität entfernt.

Hierzu einige Ergebnisse des State Of DevSecOps Reports von Contrast Security:

  • 79% der Befragten geben an, dass ihr DevOps-Team unter zunehmendem Druck steht, die Release-Zyklen zu verkürzen.
  • 40% sagen, dass ihre Teams manchmal oder häufig Sicherheitsprozesse überspringen, um Fristen einzuhalten.
  • 62% berichten, dass Entwickler mindestens alle zwei oder drei Tage die Programmierung unterbrechen, um Schwachstellen zu beheben – bei 27% ist dies täglich der Fall.
  • Fast 8 von 10 Befragten geben an, dass die durchschnittliche Applikation 20 oder mehr Schwachstellen aufweist.

Der Report führt vor Augen, wie schwer IT-Führungskräfte es in Sachen Cybersicherheit haben. Zum einen ist es herausfordernd, Entwickler mit den erforderlichen Sicherheitskenntnissen zu rekrutieren. Zum anderen erfordert die Weiterbildung vorhandener Mitarbeiter, um Sicherheitspraktiken in den gesamten Lebenszyklus zu integrieren, viel Zeit und Ausdauer. Nicht zuletzt kann es sich sogar negativ auf die eigene Karriere auswirken, wenn Sie verhindern, dass Leistungsgeschwindigkeit und Veröffentlichungszeitpläne Sicherheitsprioritäten übertrumpfen.

Glücklicherweise gibt es eine dritte Option.

Keine Angst: Es gibt Low-Code

In einer kürzlich veröffentlichten Präsentation, die auf Kundenbefragungen basiert, nennt Gartner das Thema Sicherheit als eines der größten Hindernisse für die Einführung von Low-Code – zusammen mit Vendor Lock-in und technischen Schulden. Die entsprechenden Ängste haben jedoch mehr mit subjektiven Vorstellungen als mit Fakten zu tun.

Warum wird Sicherheit als Hindernis betrachtet?

Die Befürchtungen resultieren meist daraus, dass Low-Code-Plattformen Code abstrahieren – was als Verzicht auf Sicherheitsaspekte wie Schwachstellen-, Bedrohungs- und Fehlervermeidung zugunsten von Geschwindigkeit interpretiert wird. Zutreffend ist dies besonders bei Entwicklungsplattformen, die sich an Geschäftsanwender richten (sogenannte Citizen Developer). Darüber hinaus können Sie hier von der Abstraktion aus nicht auf den zugrundeliegenden Code zugreifen, um ihn auf die gleiche Weise zu testen wie traditionell kodierte („High-Code“-)Applikationen.

Dass die Sicherheit ein Hindernis darstellt, liegt auch daran, dass viele in der IT Beschäftigte die Vorstellung haben, dass Low-Code noch mehr spezialisierte Cybersicherheitsexperten erfordert als DevSecOps. Zudem befürchten viele IT-Leiter Zeitverluste, wenn ganze Entwicklerteams zum Thema Low-Code-Sicherheit geschult werden müssen, während der IT-Backlog weiter wächst.

Wie Low-Code helfen kann

Fakt ist jedoch, dass Low-Code heute einen festen Platz in der IT-Sicherheitslandschaft hat. Entgegen der verbreiteten Meinung wird auch bei der traditionellen Applikationsentwicklung nicht immer auf Sicherheit geachtet – oder jemand kümmert sich in einem späteren Stadium darum.

Im Gegensatz dazu bieten heute selbst die einfachsten Low-Code-Plattformen Sicherheitsvorkehrungen. Sie können automatisch auf Schwachstellen und Performance testen sowie bestehende Testing-Tools integrieren. Diese Automatisierung reduziert manuelle Sicherheitsschritte und steigert die Produktivität der Entwickler erheblich.

Und: Bei einigen Low-Code-Plattformen sind bereits grundlegende Governance- und Kontrollmechanismen eingerichtet, bevor überhaupt jemand mit der Applikationsentwicklung beginnt.

Aber wie sicher ist Low-Code im Enterprise-Kontext?

Für Enterprise-Anwendungsfälle sind die einfachsten Low-Code-Plattformen in puncto Sicherheit möglicherweise nicht ausreichend. Wenn Sie es mit stark regulierten Branchen zu tun haben, wie z. B. dem Finanz- oder Gesundheitswesen, müssen Sie sicherstellen, dass die Entwicklungsplattform mit bestimmten Vorschriften konform ist.

Bei vielen Low-Code-Plattformen ist dies nicht der Fall. Bei einer regulären Low-Code-Plattform-as-a-Service könnte es etwa sein, dass die vom Anbieter implementierten Updates nicht Ihren Sicherheitsvorgaben entsprechen. Selbst große Anbieter wie Microsoft hatten hier ihre Probleme.

Ein Unternehmen mit vielen Citizen Developern hat noch einmal andere Anforderungen, was die Pflege und Unterstützung der Sicherheit betrifft. Citizen Developer sind zwar technisch versiert, verfügen aber nicht über die Erfahrung und das Fachwissen professioneller Entwickler, um Sicherheitsrisiken und Abhängigkeiten zwischen Applikationen zu erkennen.

Erschwerend kommt hinzu, dass nicht alle Low-Code-Plattformen dieselben Funktionen bieten oder die gleichen Anwendungsfälle abdecken. Auf dieses Thema bin ich bereits in meinem Blogbeitrag über den Low-Code-Markt eingegangen. Hier habe ich den Unterschied zwischen regulärem Low-Code und High-Performance Low-Code wie OutSystems erklärt – und die Sicherheit hat sich als eines der Hauptunterscheidungsmerkmale zwischen den beiden Gruppen von Low-Code-Plattformen herausgestellt.

Gartner hat eine Liste von Empfehlungen zusammengestellt, der Sie von der Bestimmung der richtigen Low-Code-Plattform bis zum Entwicklungsprozess folgen können1. In der folgenden Tabelle vergleiche ich regulären Low-Code mit der High-Performance Low-Code-Plattform von OutSystems, basierend auf den Empfehlungen von Gartner für sicheren Low-Code.

low-code vs High-performance low-code 

Erfahren Sie mehr über High-Performance Low-Code

Dies ist nur ein kleiner Einblick, wie OutSystems High-Performance Low-Code Ihre Applikationen und Anwender schützt. Wenn Sie mehr über unsere Sicherheitsfunktionen erfahren möchten, empfehlen wir Ihnen auch diese Ressourcen:

Wenn Sie mehr über unsere Plattform erfahren möchten, können Sie unsere Plattformseite besuchen und eine Demo vereinbaren. Unsere Experten stehen Ihnen gerne zur Verfügung, um alle Ihre Fragen zu beantworten.

1How to Mitigate Vendor Lock-In, Technical Debt and Security Risks of Low-Code Development, by Jason Wong, Gartner 2022.