Zum Hauptinhalt springen

Sicherheitsaspekte von Low-Code in öffentlichen Verwaltungen

Im Folgenden wird auf einzelne Sicherheitsaspekte von Low-Code/No-Code-Plattformen eingegangen. Dabei werden unter anderem die OWASP Top 10 Low-Code/No-Code-Sicherheitsrisiken miteinbezogen. Die OWASP Stiftung ist eine anerkannte Gruppierung im IT-Sicherheitsumfeld, die es sich zur Aufgabe gemacht hat, Sicherheitsrisiken zu sammeln und zu priorisieren. Im Folgenden werden die Risiken speziell auf die öffentliche Verwaltung projiziert. Eine Herausforderung bei der Verwendung von Low-Code/No-Code-Plattformen in der öffentlichen Verwaltung ist die Nutzer:innenrollenverwaltung. Diese muss den Aufbau in der Behörde widerspiegeln können. Dafür ist eine feingranulare Rechtevergabe bei der Nutzer:innenrollenverwaltung erforderlich, welche nicht von allen Plattformen unterstützt wird. Es ist sinnvoll, ein Konzept für die Rechtevergabe und die Nutzer:innenrollen zu erstellen, damit alle Sonderfälle abgedeckt werden. Eine zu grobe Vergabe der Rechte kann dazu führen, dass Nutzer:innen Daten sehen oder Aktionen ausführen können, obwohl dies nicht gewollt ist. Es ist sinnvoll zu prüfen, ob ein einheitliches Konzept für alle Behörden möglich ist, damit dies zentral erstellt und verwaltet werden kann.

Ein weiteres Sicherheitsrisiko sind "Vulnerable and Untrusted Components". Viele Low-Code/No-Code-Plattformen bieten die Möglichkeit, Komponenten von anderen Nutzer:innen herunterzuladen und zu verwenden. Diese können die Arbeit der Nutzer:innen stark vereinfachen, da es wahrscheinlich mehrere Behörden gibt, die Low-Code/No-Code-Plattformen einsetzen und ähnliche Komponenten benötigen. Diese Komponenten von Dritten können vorsätzlich oder zufälligerweise Schwachstellen enthalten. Deshalb muss sichergestellt werden, dass nur Komponenten verwendet werden, welche von einer vertrauenswürdigen Quelle stammen und einen Sicherheitscheck durchlaufen haben. Beim Einsatz von Low-Code/No-Code-Plattformen in der öffentlichen Verwaltung übernehmen Behördenmitarbeiter:innen die Aufgabe eines Entwicklers oder einer Entwicklerin und können ihre eigene Anwendung erstellen. Durch das fehlende Fachwissen der Behördenmitarbeiter:innen im Bereich der Softwareentwicklung können "Data and Secret Handling Failures" passieren. Dies kann dazu führen, dass sensible Daten, wie z.B. Passwörter unverschlüsselt gespeichert werden.