STRATEGIE26. August 2025

Schatten-IT killen ohne Java-Entwickler – wie man mit Low Code endlich aufräumt

Schwerpunkt: Low Code & No Code
Sascha Beck, Executive Director & Financial Services-Leader bei GFT, thematisiert die Bedeutung von Low Code zur Bekämpfung von Schatten-IT in Banken und Versicherungen. Seine Expertise unterstützt Unternehmen bei der digitalen Transformation.
Sascha Beck, Executive Director & Financial Services-Leader, GFT GFT

Sascha Beck verantwortet als Executive Director & Financial Services-Leader das Geschäft mit Banken und Versicherungen für GFT. Im Interview erklärt er, warum er Low Code für die Modernisierung von Schatten-IT geeignet hält und warum er „Vibe Coding“ als einen der derzeit spannendsten Innovationsbereiche sieht.

von Dunja Koelwel

Herr Beck, In welchen Bereichen sehen Sie Low-Code bei Banken und Finanzinstituten?

Low Code-Plattformen eignen sich besonders dort, wo klar strukturierte Prozesse automatisiert oder digitalisiert werden sollen, und zwar größtenteils außerhalb der zentralen Kernbankensysteme. Im Fokus stehen dabei vor allem Randprozesse, wie etwa im Kundenservice, Self-Service-Portale oder Beschwerde- und internes Compliance-Management. In diesen Bereichen lassen sich durch den Einsatz von Low Code unkomplizierte Anwendungen erstellen, die ohne tiefes technisches Know-how nutzbar und wartbar sind. Moderne Low Code-Plattformen bieten jedoch teilweise auch Schnittstellen und Integrationslayer für Kernsysteme.

Besonders geeignet ist Low Code, wenn es darum geht, neue Ideen schnell zu prüfen und in erste Anwendungen zu überführen.”

So lassen sich Konzepte frühzeitig testen, validieren und iterativ weiterentwickeln, ohne auf langwierige Entwicklungszyklen angewiesen zu sein. Damit wird Low Code zu einem wichtigen Treiber digitaler Innovation innerhalb des Unternehmens.

Ein großer Vorteil von Low Code ist die Kollaboration zwischen Fachbereichen und IT. Der Low Code-Ansatz ermöglicht hier die Modernisierung von Schatten-IT. Zahlreiche Fachbereiche arbeiten nach wie vor mit Excel-Dateien, Access-Datenbanken oder selbstgebauten Tools. Low-Code bietet die Möglichkeit, diese Lösungen auf eine professionelle, wartbare und integrierbare Plattform zu überführen.

Für den Einsatz in zentralen Systemen wie SAP oder dem Core Banking ist Low Code aufgrund von Einschränkungen bei Skalierbarkeit, Erweiterbarkeit und Sicherheitsanforderungen ungeeignet.”

Hier stößt der Ansatz an natürliche Grenzen, da er sich auf vorgefertigte Bausteine stützt, die häufig nicht beliebig kombinierbar oder anpassbar sind. Einige Plattformen erlauben allerdings durchaus individuelle Erweiterungen via Code.

Gerade bei Low-Code erwarten viele Experten schon bald dramatische Veränderungen, denn mit GenKI lassen sich Programme aufgrund natürlicher Spracheingabe automatisch erstellen. Und damit können Anwender ihre Programme einfach per Spracheingabe selbst erstellen. Wo sind die Grenzen?

Die Verbindung von Low Code mit generativer KI, oder „Vibe Coding“, markiert derzeit einen der spannendsten Innovationsbereiche. Erste Plattformen ermöglichen es bereits, per Spracheingabe funktionale Anwendungen zu erstellen. Der Nutzer beschreibt, was er braucht und das System setzt es automatisch um. Das ist besonders attraktiv für die frühen Phasen der Entwicklung oder das Rapid Prototyping. Innerhalb weniger Minuten können Ideen getestet und erste Versionen gebaut werden, ohne dass ein Entwickler Hand anlegen muss.

Sascha Beck, GFT
Sascha Beck, Executive Director und Financial Services-Leader bei GFT, thematisiert die Herausforderungen der Schatten-IT und die Rolle von Low-Code-Lösungen zur Optimierung von Geschäftsprozessen in Banken und Versicherungen.Sascha Beck verantwortet als Executive Director & Financial Services-Leader das Geschäft mit Banken und Versicherungen für GFT (Website) in Deutschland und Österreich. Er war zuvor in leitenden Funktionen bei Atruvia, Wüstenrot & Württembergische so­wie der apobank tätig und befasst sich seit vielen Jahren mit Vertrieb, Strategie und IT. Nebenberuflich ist er als Dozent an der Frankfurt School of Finance and Management und der IHK tätig, unter anderem für Bank-BWL und Firmen­kundenmanagement.
Doch die Grenzen sind derzeit noch klar erkennbar. Solche KI-generierten. Anwendungen sind in der Regel nicht produktionsreif. Sie verfügen weder über belastbare Sicherheitsmechanismen noch über funktionierende Authentifizierungs- oder Berechtigungskonzepte. Auch Tests, Dokumentation und nachhaltige Wartbarkeit fehlen häufig. Hinzu kommt, dass der Kontextbezug der KI, also das Verständnis für geschäftliche Logiken und Prozesse, noch nicht ausgereift ist. Multimodale Eingaben wie Bilder, Sprache oder Videos versprechen zwar eine neue Interaktionsqualität, sind in Entwicklungsumgebungen jedoch noch nicht vollständig angekommen.

Die Richtung ist klar: Sprachbasierte und KI-gestützte Schnittstellen werden in naher Zukunft zum Standard gehören, auch in der Softwareentwicklung.”

Die Herausforderung liegt darin, diese neuen Möglichkeiten in geregelte, sichere und nachvollziehbare Entwicklungsprozesse zu integrieren. Denn gerade in regulierten Branchen wie dem Finanzwesen dürfen Geschwindigkeit und Innovation nicht auf Kosten von Kontrolle und Sicherheit gehen.

Gartner beobachtet die Entstehung von Meta-Plattformen, die Geschäftsprozesse End-to-End über verschiedene einzelne Bereiche hinweg automatisieren und orchestrieren. “Business Orchestration and Automation Technology” (BOAT) nennen die Marktforscher das und die Merkmale sind ein gemeinsamer Satz an Funktionen aus verschiedenen Technologien wie BPA (Business Process Automation), RPA (Robotic Process Automation) und iPaaS (Integration Platform as a Service). Wie würden Sie diese Entwicklung beurteilen?

Die Entwicklung hin zu sogenannten „Business Orchestration and Automation Technologies“ (BOATs) ist grundsätzlich positiv. Der Ansatz, übergreifende Workflows über bestehende Systeme wie SAP, Salesforce oder Data Warehouses hinweg zu automatisieren, ist für Banken und Finanzinstitute sehr relevant. Die Verknüpfung verschiedener Automatisierungs- und Integrationstechnologien – etwa BPA (Business Process Automation), RPA (Robotic Process Automation) und iPaaS – eröffnet neue Möglichkeiten, End-to-End-Prozesse effizient und nutzerzentriert zu gestalten.

Allerdings bringt diese Entwicklung auch neue Herausforderungen mit sich. Besonders die Sicherheits- und Berechtigungskonzepte müssen dabei kritisch hinterfragt werden.

In verteilten Systemen mit unterschiedlichen Zugriffsebenen entstehen schnell Risiken, wenn eine Low Code- oder Orchestrierungsplattform etwa mit Admin-Rechten agiert oder sensible Daten verarbeitet.”

Die Kontrolle über Datenflüsse und Systemgrenzen wird dadurch komplexer.

Interessant ist in diesem Zusammenhang auch das Konzept des Model Context Protocols (MCP), das auf eine standardisierte Schnittstelle zwischen intelligenten Software-Agenten abzielt und damit langfristig grafische Benutzeroberflächen ablösen könnte. Ein solches Protokoll könnte künftig dafür sorgen, dass Chatbots oder andere KI-Systeme direkt und sicher mit unternehmenskritischen Anwendungen kommunizieren ohne Umweg über GUIs oder RPA. Geschäftsprozesse werden so nicht mehr über grafische Tools gesteuert, sondern über semantische Schnittstellen, die menschenähnliche Sprache verstehen. Diese Entwicklung steht zwar noch am Anfang, hat aber das Potenzial, BOATs auf ein ganz neues Level zu heben.

Sicherheitslücken bei IoT-Anwendungen sind leider keine Seltenheit. Um die IoT-Sicherheit zu erhöhen, werden mehr Fachkräfte für die IoT-Entwicklung benötigt. Alternativ können Low Code-Plattformen die App-Entwicklung erleichtern und für Security by Design in den IoT-Apps sorgen. Dazu müssen aber die Low-Code-Lösungen selbst Sicherheitsanforderungen erfüllen. Woran hakt es besonders oft?

Low Code-Plattformen bieten grundsätzlich die Möglichkeit, auch IoT-Anwendungen schnell und unkompliziert zu entwickeln und damit theoretisch auch Sicherheitsmechanismen von Anfang an zu berücksichtigen („Security by Design“). In der Praxis jedoch zeigt sich ein anderes Bild: Viele dieser Plattformen verzichten noch auf etablierte Prozesse der sicheren Softwareentwicklung. Es fehlen strukturierte Phasen wie Code Reviews, Penetrationstests, CI/CD-Prozesse oder Datenschutzprüfungen. Anwendungen entstehen schnell, oft sogar durch Fachanwender, doch die Prüfung sicherheitsrelevanter Aspekte erfolgt sehr spät oder gar nicht.

Gerade im IoT-Umfeld, wo vernetzte Geräte Daten sammeln, übertragen und verarbeiten, ist das riskant. Oft ist unklar, wo und wie die Daten verarbeitet werden, ob verschlüsselt wird oder welche Schnittstellen geöffnet sind. Hinzu kommt, dass viele Plattformen cloudbasiert arbeiten, was zusätzliche Herausforderungen im Hinblick auf Datenschutz, Regulatorik (z. B. DSGVO) und Datensouveränität mit sich bringt.

Zunehmend relevant ist in diesem Kontext auch der Digital Operational Resilience Act (DORA), der für Finanzinstitute klare Anforderungen an die Widerstandsfähigkeit ihrer digitalen Systeme definiert. Low Code-Plattformen, die in produktiven IoT-Umgebungen eingesetzt werden, müssen daher nicht nur technisch sicher, sondern auch regulatorisch auditierbar und kontrollierbar sein.

Dennoch kann Low Code ein Bestandteil sicherer IoT-Strategien sein, wenn die Plattformen entsprechenden Sicherheitsstandards folgen. Aktuell befinden sich viele Anbieter noch am Anfang dieser Entwicklung. Doch mit steigender Marktreife und wachsender regulatorischer Aufmerksamkeit wird der Druck zunehmen, auch hier professionelle, belastbare Lösungen bereitzustellen.

Herr Beck, vielen Dank für das Interview. dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/231412

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert