Low-Code – Sicherheit und Zukunft: Das prognostizieren fünf Experten (Teil 2)

 von Dunja Koelwel

Meine Herren, Sicherheitslücken bei IoT-Anwendungen sind leider keine Seltenheit. Um die IoT-Sicherheit zu erhöhen, werden mehr Fachkräfte für die IoT-Entwicklung benötigt. Alternativ können Low-Code-Plattformen die App-Entwicklung erleichtern und für Security by Design in den IoT-Apps sorgen. Dazu müssen aber die Low-Code-Lösungen selbst Sicherheitsanforderungen erfüllen. Woran hakt es besonders oft?

Paul Higgins: Zu den häufigsten Schwachstellen zählen fehlerhaft konfigurierte Zugriffskontrollen, schwache Authentifizierungsmechanismen, unsichere Drittanbieter-Komponenten und fehlende Audit Trails. Diese Mängel können sensible Daten offenlegen und das Vertrauen untergraben.

Ein zentrales Problemfeld ist der Zugriff und die Authentifizierung. Schwächen bei Benutzerberechtigungen oder im Single-Sign-On (SSO) können dazu führen, dass sensible Finanzdaten offengelegt werden oder Compliance-Verstöße auftreten. Ein weiteres Risiko betrifft die Integrität von Komponenten und Daten.

Der Einsatz unsicherer Drittanbieter- oder Marketplace-Module, unsachgemäßer Umgang mit Daten sowie fehlende Audit-Trails können Datenlecks oder regulatorische Sanktionen nach sich ziehen.”

Bedrohungsschutz und Compliance sind weitere zentrale Aspekte sicherer Low-Code-Entwicklung. Ohne automatisierte Updates und Schutzmechanismen während der Laufzeit sind Anwendungen anfällig für Bedrohungen wie Injection-Angriffe, Cross-Site-Scripting oder veraltete Plattform-Patches. Neben der Anwendungssicherheit gefährdet dies auch den Compliance-Status.

Volker Seyboldt

Volker Seyboldt ist Director Solution Consulting bei ServiceNow (Webseite) und leitet ein Team von Lösungsberatern, das auf selbstentwickelte Applikationen und die Integration in andere Systeme mittels Low-Code spezialisiert ist. Er ist seit über 25 Jahren in der IT Branche aktiv und hat Erfahrung im Cloud- und Saas-Business sowie in der Einführung der Cloud Dienste.

Volker Seyboldt: IoT-Anwendungen im Finanzbereich sind besonders sicherheitsrelevant. Eine der größten Herausforderungen besteht darin, dass viele Nutzer von Low-Code-Plattformen zwar fachlich versiert sind, jedoch wenig Erfahrung im Bereich IT-Sicherheit mitbringen. Dadurch entstehen Anwendungen, die funktional korrekt, aber nicht ausreichend abgesichert sind.

Moderne Low-Code-Plattformen setzen daher auf integrierte Sicherheitsmechanismen. Dazu zählen rollenbasierte Zugriffskontrollen, zentrale Freigabeprozesse und Governance-Vorgaben, die bereits während der Entwicklung greifen. Plattformen wie ServiceNow integrieren diese Anforderungen direkt, sodass Sicherheit nicht nachträglich ergänzt werden muss, sondern von Anfang an Teil des Entwicklungsprozesses ist.

Wichtig ist außerdem, dass Low-Code-Projekte über den gesamten Lebenszyklus hinweg begleitet werden. Von der Planung über die Entwicklung bis zum Betrieb und zur eventuellen Abschaltung müssen Sicherheitsaspekte kontinuierlich mitgedacht werden, denn nur ein ganzheitlicher Lebenszyklusansatz gewährleistet ein dauerhaft hohes Sicherheitsniveau.

Michael Baldauf

Michael Baldauf ist Industry Principal Financial Services Senior Director bei Pegasystems (Webseite). Als Fit & Proper zertifizierter Banker arbeitete er lange als Transformationsmanager in einer genossenschaftlichen Bankengruppe. Davor war er als Management Consultant in diversen Geschäftsleistungen sowie Delivery Director Banking für EMEA Central Region tätig.

Bei Low-Code fehlen oft rubuste Compliance Features

Michael Baldauf: Viele Low-Code-Plattformen vernachlässigen eine durchgängige Sicherheitsbetrachtung. Ihre Anbieter konzentrieren sich auf die Anwendungsentwicklung und übersehen dabei die Notwendigkeit robuster Compliance-Features und einer kontinuierlichen Sicherheitsüberwachung.

Um grundlegend sichere IoT-Anwendungen zu gewährleisten muss eine Plattform aber selbst dem Security-by-Design-Ansatz folgen. Sie benötigt konfigurierbare Sicherheitsfeatures für Authentifizierung, Autorisierung und Auditing, die von Grund auf integriert sind. Dann ist sie nicht auf benutzerdefinierten Code angewiesen, der von Entwicklern erstellt wird, die keine Sicherheitsexperten sind. Wenn die Low-Code-Plattform selbst höchste Sicherheitsanforderungen erfüllt und multiple Authentifizierungsprotokolle unterstützt, ermöglicht sie auch regulierten Branchen wie dem Bankwesen die Erstellung sicherer IoT-Anwendungen.

Bei Low Code erwarten viele Experten schon bald dramatische Veränderungen, denn mit GenKI lassen sich Programme aufgrund natürlicher Spracheingabe automatisch erstellen. Und damit können Anwender ihre Programme einfach per Spracheingabe selbst erstellen. Wo sind die Grenzen?

Karsten Noack

Karsten Noack ist der Gründer und war lange Zeit CEO von  Scopeland Technology (Webseite). Als Visionär entwickelte und forcierte er bereits Mitte der neunziger Jahre jene Technologie, die heute als ,Low Code‘ bekannt ist. Karsten Noack ist Vorstandsvorsitzender der Low Code Association, Mitglied des Hauptvorstands des BITKOM, mehrerer Arbeitsgruppen des BITKOM und des SIBB und wurde als Entrepreneur des Jahres 1999 (Finalist) ausgezeichnet. Als Chief Visionary Officer (CVO) prägt er bis heute die strategische Ausrichtung des Unternehmens mit.

Karsten Noack: Die Grenzen sind heute noch nicht wirklich abschätzbar, aber es zeigt sich zumindest, dass KI-generierter Programmcode das händische Programmieren weitgehend ablösen wird. Das bedeutet aber nicht, dass damit Low-Code überflüssig würde, denn Low-Code ist viel mächtiger und effizienter darin, sehr schnell komplexe Anwendungen aus vorgefertigter Funktionalität zusammenzusetzen, ohne alles bis ins Detail einer KI erklären zu müssen, wie es denn genau werden soll.

Low-Code und KI Hand in Hand – das könnte die Zukunft der (Software)-Entwicklung sein.”

Mit Low-Code schnell und supereffizient das Grundgerüst einer Anwendung aufsetzen, und mittels KI die verbleibenden Lücken schließen (AI-aided Low-Code Development). Und auch andersrum: mittels Low-Code KI-Anwendungen entwickeln (AI-enabled Low-Code Applications).

Aus diesem Grund sollte man nicht nur nach einer Low-Code Plattform im engeren Sinn des Wortes Ausschau halten, sondern eher auf umfassende, leistungsfähige Digitalisierungsplattformen, die KI-Methoden und Low-Code miteinander kombinieren.

Paul Higgns: Angesichts der rasanten technologischen Entwicklung ist es schwer, die zukünftigen Grenzen von KI vorherzusagen – vor allem, wenn man bedenkt, wie viele Dinge sie inzwischen beherrscht, von denen man früher glaubte, sie seien unmöglich.

Bei Low-Code nicht den Software-Lebenszyklus vergessen

Paul Higgins

Paul Higgins ist seit 2021 bei Mendix, ein Siemens-Unternehmen (Webseite). Zuerst als Industrial Principal für den Sektor Banking & Financial Services, inzwischen als Strategic Business Director. Zuvor war er fünf Jahre in verschiedenen Funktionen bei der Commerzbank tätig.

Gleichzeitig ist es wichtig auf einen Aspekt hinzuweisen, der im aktuellen Hype rund um generative KI oft übersehen wird: Die Erstellung der ersten Version einer Anwendung ist nur ein Schritt im gesamten Software-Lebenszyklus. Nach dem initialen Release muss eine App gepflegt und weiterentwickelt werden. Nutzer geben Feedback, der Product Owner hat neue Ideen und möchte Funktionen verbessern.

Darüber hinaus müssen kontinuierliche Wartungsmaßnahmen wie Bugfixes oder Patches durchgeführt werden. Der Versuch, mit generativer KI gezielte Änderungen oder Wartungsarbeiten vorzunehmen, führt in ihrem heutigen Reifegrad häufig dazu, dass ungewollte Nebeneffekte auftreten. In vielen Fällen geht es deshalb schneller, wenn Entwickler die Änderungen selbst vornehmen.

Hinzu kommt die Frage nach den Fähigkeiten des „Entwicklers“ – viele Nicht-Entwickler sind zu 100 Prozent auf das angewiesen, was generative KI leistet. Deshalb liegt ein großer Vorteil in der Kombination aus generativer KI und einer Low-Code-Entwicklungsplattform – und genau das hat Low-Code überhaupt erst interessant gemacht: Der Code ist „menschenlesbar“. Low-Code stellt eine visuelle Entwicklungsumgebung bereit, in der jeder, der ein Prozessdiagramm oder einen Flow lesen kann, auch verstehen kann, wie eine Anwendung funktioniert. Das erleichtert es Entwicklern, die Vorschläge der KI zu überprüfen und bei Bedarf eigenständig einzugreifen.

Michael Baldauf: Diese Veränderung hat schon begonnen. Einige wenige Anbieter von Enterprise-Low-Code-Plattformen haben generative KI bereits in diesem Sinne in ihre Lösungen integriert. Pegasystems etwa bietet die Möglichkeit, mit GenAI das Anwendungs-Design zu automatisieren. Nutzer können in natürlicher Sprache beschreiben, was eine neue Anwendung leisten soll, und die Plattform erzeugt dann daraus automatisch einen ersten Entwurf für das Design der Anwendung mit sämtlichen Workflow-Phasen, Datenmodellen, Objekten und Personas. Damit beschleunigt die Plattform nicht nur die Anwendungsentwicklung dramatisch, sondern demokratisiert sie auch. Fusion Teams aus Business- und IT-Mitarbeitenden erhalten eine visuelle und für alle verständliche Grundlage, mit der sie gemeinsam arbeiten und die Anwendung optimieren können.

Es besteht aber auch die Möglichkeit, sich aus Dateien ein Anwendungs-Design generieren zu lassen. Damit revolutioniert die Plattform die Modernisierung von Legacy-Systemen. Nutzer können Videos, Dokumentationen, Benutzeroberflächen, technische Files oder Quellcode von Alt-Systemen hochladen. Die GenAI analysiert und synthetisiert diese Quellen dann und designt daraus eine optimale Basis für eine neue Anwendung.

Low-Code erlaubt es Finanzinstituten, ihre Legacy-Systeme ohne umfangreiche manuelle Programmierungen in moderne Anwendungen zu überführen.”

Zudem haben Systemintegratoren die Möglichkeit, ihr geistiges Eigentum und ihr Branchen-Know-how in den GenAI-basierten Anwendungs-Designer zu integrieren, indem sie ihn mit ihren Wissensdatenbanken und Field Tools verbinden. Dadurch können sie ihre proprietäre Expertise effektiver einsetzen und sind in der Lage, schnell maßgeschneiderte Lösungen für die individuellen Anforderungen ihrer Kunden zu erstellen.

Trotz aller Fortschritte bleibt aber menschliche Expertise nach wie vor unerlässlich. GenAI kann Fehlinterpretationen unterliegen und komplexe Anforderungen oder Kontexte möglicherweise nicht vollständig verstehen. Ihr Output muss deshalb von Menschen geprüft und verfeinert werden, um ihn an die Geschäftsziele anzupassen und Qualität zu gewährleisten.

Low-Code bedeutet eine Demokratisierung des Zugangs zu Technologie

Frank Böhmer

Frank Böhmer ist Gründer und CEO von Ninox (Webseite), einer Low-Code-Digitalisierungsplattform für den Mittelstand. Er hat das Unternehmen 2013 in Berlin gegründet. Zuvor war Frank über drei Jahre IT-Projektleiter.

Frank Böhmer: Der Erfolg von Low-Code-Plattformen liegt im Wesentlichen in der Demokratisierung des Zugangs zu Technologie. Anstelle umfangreicher Lastenhefte und langwieriger IT-Projekte ermöglicht Low Code Fachanwendern, ihre Expertise direkt in die Entwicklung einzubringen. Dadurch wird die Zusammenarbeit zwischen Fachbereichen und IT nicht nur effizienter, sondern auch deutlich agiler. Prozesse lassen sich schneller digitalisieren, Innovationen entstehen näher am tatsächlichen Bedarf.

Mit  “Vibe Coding” – also der Softwareentwicklung über KI-gestützte Spracheingaben (Prompts) – erreicht dieser Trend eine neue Dimension. Auf Basis natürlicher Sprache können theoretisch ganze Softwarelösungen entstehen. Der Zugang zur Softwareentwicklung wird dadurch nochmals deutlich erleichtert, nicht nur für Citizen Developer, sondern für eine deutlich breitere Nutzergruppe.

Allerdings steht diese Technologie noch am Anfang. Die Meinungen dazu reichen von „reine Tech-Demo“ bis hin zu „die Zukunft der Softwareentwicklung“. Seriöse Prognosen sind aufgrund der hohen Dynamik derzeit kaum möglich. Dennoch lassen sich einige aktuelle Limitierungen klar benennen:

• Kontextbegrenzung: Vibe Coding ist momentan auf kleinere bis mittlere Projekte beschränkt. Umfangreiche Anwendungen überschreiten schnell das Kontextfenster der KI – mit dem Ergebnis, dass wichtige Zusammenhänge verloren gehen.
• Spezifikationsproblem: Natürliche Sprache ist oft zu unpräzise, um komplexe Anforderungen eindeutig und vollständig zu beschreiben. Es besteht ein hohes Risiko von Interpretationsfehlern.
• User Interface: Für viele Aufgaben ist Sprache schlicht nicht das beste Interaktionsmittel. Die Gestaltung eines Formulars per Drag-and-Drop ist intuitiver und effizienter als die Beschreibung in Sprache.

Gleichzeitig ist klar: Die zugrunde liegenden KI-Modelle entwickeln sich rasant weiter. Die Idee des Vibe Codings stößt auf enormes Interesse – und zwar weit über die Entwickler-Community hinaus. Die Produkte stehen gerade erst am Anfang, das Innovationspotenzial ist beträchtlich.

Für Unternehmen stellt sich zunehmend die Frage der Governance: Wie lässt sich sicherstellen, dass ein von der KI generierter Code tatsächlich korrekt und vollständig ist? War der Prompt exakt genug? Wurden Sicherheits- oder Qualitätsstandards eingehalten?

Gerade hier sehen wir eine große Chance in der Kombination von Low Code und KI: Low-Code-Plattformen reduzieren die Komplexität der Codebasis erheblich – ein Vorteil, der sich auch für KI-Systeme auszahlt. Selbst umfangreiche Anwendungen wie eine ERP-Lösung bleiben dadurch im Rahmen des erfassbaren Kontexts. Zudem lassen sich Ergebnisse leichter prüfen und validieren, was die Qualitätssicherung vereinfacht.

Während Vibe Coding aktuell noch klare technische und methodische Grenzen hat, eröffnet die Verbindung mit Low Code einen vielversprechenden Weg: KI-gestützte Softwareentwicklung, die sowohl Geschwindigkeit als auch Qualität vereint.

Meine Herren, vielen Dank für das Gespräch.dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/231163

• teilen 
• teilen 
• teilen 
• teilen 
• teilen 
• RSS-feed 
• E-Mail 
• drucken