Suchen

Datensicherheit und Compliance bewahren Keine Angst vor Citizen Developers

| Autor / Redakteur: Rob Juncker * / Stephan Augsten

Mit den neuen Cloud-, Low-Code- und No-Code-Plattformen kann quasi jedermann im Unternehmen eine App entwickeln. Doch Citizen Development ist nur auf den ersten Blick eine Win-Win-Situation. Dieser Beitrag befasst sich mit den Risiken und möglichen Gegenmaßnahmen.

Firmen zum Thema

Sollen IT-affine Mitarbeiter aus anderen Abteilungen bei der App-Entwicklung mitwirken, kommt man um Security-Awareness-Trainings nicht herum.
Sollen IT-affine Mitarbeiter aus anderen Abteilungen bei der App-Entwicklung mitwirken, kommt man um Security-Awareness-Trainings nicht herum.
(Bild gemeinfrei: rawpixel.com / Pexels )

Heutzutage kann praktisch jeder ein Coder sein. Und in Zeiten, da der Hunger der Unternehmen nach immer neuen Anwendungen quasi unstillbar ist, verheißt das ja nicht zwingend etwas Schlechtes. Die Arbeit der Citizen Developer kann für Unternehmen allein schon deshalb von Vorteil sein, weil sie hausinterne Software-Development-Teams entlasten.

Man sollte sich aber im Klaren darüber sein, dass mit Hobby-Entwicklern bedeutende Sicherheitsrisiken für Unternehmen einhergehen. Dass Citizen Developer wirklich eine Bereicherung darstellen, kann nur gelingen, wenn sie Wertschätzung erfahren und die richtigen Sicherheits-Tools im Einsatz sind. Dann besteht auch keine Notwendigkeit mehr, „Wild-Entwicklungen“ zu unterdrücken oder gar zu verbieten.

Im Folgenden schauen wir uns an, welche Schritte Organisationen unternehmen können, damit Hobby-Entwickler ihr Werk erfolgreich und trotzdem sicher ausführen und Unternehmen dabei von der gesteigerten Produktivität und Kreativität ihrer Mitarbeiter profitieren. Aber beginnen wir erst einmal mit den Hintergründen.

Citizen Developer – Herausforderung und Chance zugleich

Die Unersättlichkeit moderner Unternehmen in puncto Software ist sprichwörtlich. Eine typische Firma betreibt bereits heute hunderte von Anwendungen – vielleicht sogar tausende, wenn es sich um ein global agierendes Unternehmen handelt. Und mit dem rasant fortschreitenden Prozess der Digitalisierung wird die Menge der Software-Lösungen, die in den Firmen im Einsatz sind, eher noch zunehmen.

Der Bedarf an Software wird in den meisten Organisationen so hoch sein, dass die vorhandenen Entwicklerteams nicht mehr hinterherkommen. Nun ist es aber so, dass sich innerhalb vieler Unternehmen zunehmend andere finden, die sich dieser besonderen Herausforderung gerne annehmen. Das allerdings ist vielfach der Punkt, an dem möglicherweise Ungemach droht.

In der Vergangenheit wurde Unternehmenssoftware - insbesondere unternehmenskritische Programme oder kundenorientierte Anwendungen – vollumfänglich im Rahmen der formalen Zuständigkeit der IT-Abteilung verwaltet. Das ist heute anders: Dank der Cloud, Rapid Development Plattformen und noch neueren, sogenannten „No Code“-Entwicklungsplattformen kann fast jeder in- oder außerhalb eines Unternehmens in Eigenregie eine Anwendung entwickeln.

Die vorgenannten Tools sind mittlerweile unkompliziert und ausgereift. Beispielsweise kann jemand in Marketing-, Vertriebs- oder Finanzabteilungen, der noch nie eine Zeile Softwarecode geschrieben hat, damit eine funktionierende App entwickeln.

Der Bedarf an Software ist groß, die Ressourcen knapp

Im Hinblick auf die Produktivität ist das natürlich begrüßenswert, denn Unternehmen benötigen mehr von schlichtweg allem: mehr mobile Anwendungen, mehr Softwaretools zur Verwaltung von immer mehr Geräten, mehr Software zur Zusammenarbeit mit Kunden auf einer ständig wachsenden Liste von Kommunikationskanälen und schließlich immer mehr Software-Applikationen zur effektiven Verwaltung aller von ihnen erfassten und generierten Daten.

Wenn Benutzer also eine Anwendung benötigen, gehen sie mit diesem Anliegen in der Regel zur IT. Allerdings sollten sie in diesem Fall auch gleich ein gerüttelt Maß an Geduld mitbringen und lange Wartezeiten einplanen. Mit einem Heer von Jedermanns-Entwickler lassen sich diese Wartezeiten natürlich verringern.

Wie so oft hat allerdings auch diese Medaille zwei Seiten: Die kürzeren Entwicklungszeiten, die dem Phänomen geschuldet sind, dass heute nahezu jeder ein Coder ist, erzeugen ein deutlich höheres Risiko. Obwohl es sich in diesem Fall nicht um eine bösartige Angriffsart oder etwa eine Bedrohung durch einen externen Feind handelt, ist es nichts desto trotz ein internes Risiko aus dem Inneren des Unternehmens selbst – ein Insider Threat also, den die Security-Teams in den Organisationen tunlichst nicht ignorieren sollten.

Mittelweg zwischen Software-Wildwuchs und Kahlschlag

Es gibt zwei Arten, wie die Firmen mit diesem speziellen Risiko umgehen können. Sie können versuchen, die Ergebnisse der Laienentwickler in ihren Unternehmen zu verbieten. Infolge dessen müssten sie jedes Mal, wenn sie solche „wild entwickelten“ Anwendungen entdecken, diese schließen und einen formalen Prozess unter der Aufsicht der IT-Abteilung anstoßen.

Das Problem dabei ist, dass die professionellen Developer eine höchst wertvolle Personal-Ressource sind und dies wahrscheinlich noch lange so bleiben wird. Nach Angaben des U.S. Bureau of Labor Statistics wird die Zahl der Arbeitsplätze für Softwareentwickler voraussichtlich um 24 Prozent steigen, deutlich schneller als das durchschnittliche Beschäftigungswachstum. Diese Tendenz lässt sich sicherlich auch auf den europäischen Markt übertragen.

Die zweite Herangehensweise wäre, dieses spezielle Risiko schlicht und einfach zu verwalten. Und das ist ganz eindeutig die bessere und realistischere Vorgehensweise. Der Siegeszug der Citizen Developer wird wohl nicht mehr aufzuhalten sein. Wenn die Sicherheit in Bezug auf diese Hobby-Coder nicht richtig verwaltet wird, führt das für die Unternehmen zu ernsthaften Problemen mit der Datensicherheit und der Compliance.

Ein zweifellos kluger Schachzug ist es also, die Citizen Developer nicht auszubremsen, sondern vielmehr solche Tools einzuführen, mit denen sich sicherstellen lässt, dass die Arbeit der Laienentwickler den unternehmenseigenen Sicherheitsanforderungen entspricht. Ist dafür gesorgt, dass die so entstandenen Apps den erforderlichen Sicherheitsperimetern des Unternehmens unterliegen, besteht auch keine Notwenigkeit mehr, das Phänomen zu unterbinden.

So kommen beide Seiten der sprichwörtlichen Medaille zu ihrem Recht: Die Unternehmen profitieren von der Produktivität ihrer Gelegenheits-Entwickler und entlasten dabei das Software-Entwicklungsteam – und auch die Security-Abteilung ist zufrieden.

Man könnte nun einwenden: Wir sprechen von Entwicklern, die kleine Apps entwerfen – sie arbeiten nicht etwa mit großen Programmen oder Backend Enterprise-Anwendungen. Das ist sicherlich korrekt, allerdings können gerade die Hobby-Entwickler, so wohlmeinend sie auch sind, ernsthafte Sicherheitsprobleme verursachen. Die so entstandenen Risiken können beispielsweise darin bestehen, dass zu schwache Authentifizierungsverfahren gefordert werden bis hin zur (unbeabsichtigten) Offenlegung regulierter oder vertraulicher Daten.

Möglicherweise schleichen sich Fehler in der erstellten Webanwendungs-Software ein, die externe Angreifer dann nur allzu leicht ausnutzen können. Oder die Citizen Developer sind sich über bestimmte regulatorische Vorschriften nicht im Klaren und setzen ein Unternehmen so versehentlich dem Risiko aus, Ärger mit den Aufsichtsbehörden zu bekommen. Das kann niemand wollen.

Citizen Development den Schrecken nehmen

Es gibt eine Reihe von Maßnahmen, die Unternehmen ergreifen können, um diese Risiken zu minimieren. Die erste besteht darin, das Bewusstsein für Sicherheitsanforderungen zu stärken. Da die Hobby-Entwickler immer zahlreicher werden, ist es umso wichtiger, bei diesen Mitarbeitern ein Verständnis für die Gefahren zu schaffen, die sich aus ihrem Tun für das Unternehmen ergeben können und ihnen klar zu machen, dass sie – aller guten Absichten zum Trotz – ein Insider-Risiko darstellen können.

Unternehmen mit Hobby-Codern in ihrer Belegschaft sind zudem gut beraten, ihnen die richtigen Werkzeuge und Schulungen an die Hand zu geben. Es muss jederzeit klar sein, welche Art von Daten reguliert und vertraulich sind, damit die Security-Abteilung nach Fertigstellung der jeweiligen App dafür sorgen kann, dass die richtigen Kontrollmechanismen vorhanden sind.

Darüber hinaus können Unternehmen auch Schritt-für-Schritt-Anleitungen zur Verfügung stellen, aus denen hervorgeht, wie man sicher kodiert. Die hierfür erforderlichen Informationen finden sich oftmals bei den Anbietern von Low-Code-Plattformen und können dann im Laufe der Zeit um die spezifischen Sicherheitsanforderungen der jeweiligen Organisationen ergänzt werden.

Es ist im Übrigen nicht nötig, Sicherheits- oder IT-Experten aus den Citizen Developern zu machen. Es geht vielmehr darum, diese Mitarbeiter auf die möglichen Probleme aufmerksam zu machen, damit sie Anfängerfehler vermeiden können.

Schatten-IT ohne Schattenseite

Standard sollte außerdem sein, dass die Hobby-Entwickler die IT-Abteilung über die von ihnen erstellten Anwendungen informieren. Nur so ist gewährleistet, dass die damit erzeugten oder verarbeiteten Daten ordnungsgemäß verwaltet, gesichert, und sowohl in Backup- wie auch Disaster Recovery-Prozesse aufgenommen werden können. Das ist unabdingbar, denn andernfalls drohen wirklich unerfreuliche Szenarien.

Ein Unternehmen beispielsweise, das unter einem Ausfall leidet oder schlimmer noch, – aufgrund irgendeiner Katastrophe – sich plötzlich mit Anwendungen auseinandersetzen muss, die fehlerhaft gebaut wurden und nicht Backup-gesichert sind, obwohl sie durchaus unternehmenskritisch sind. Wenn sich alle Parteien zeitnah austauschen und die transparent handeln, müssen solche Dinge nicht erst passieren.

Rob Juncker
Rob Juncker
(Bild: Code42)

Gefahr erkannt, Gefahr gebannt – das ist die Quintessenz beim Umgang mit den Citizen Developern. So profitieren die Unternehmen von der erhöhten Produktivität und Kreativität ihrer Mitarbeiter, können ihre Entwickler-Teams entlasten und sich gleichzeitig darauf verlassen, dass die Sicherheitsrisiken überschaubar bleiben.

Rob Juncker ist Senior Vice President of Research & Development and Operations bei Code42.

(ID:46282996)