Schutz und Kontrolle leicht gemacht

Effektives Risikomanagement für Low-Code/No-Code-Anwendungen

Professionelle Beratung zu Risikomanagement für Low-Code/No-Code-Anwendungen Ihre Lösung von Intero Consulting

Wie Risiken durch nicht-IT gemanagten Anwendungen reduziert werden können

Egal, ob ein Excel-Tool zur Auswertung von Finanzdaten, Automatisierte Prozesse oder ein Dashboard in Power BI, das verschiedene Datenquellen miteinander verbindet Low-Code/No-Code-Anwendungen sind ein fester Bestandteil der täglichen Arbeit.

Jedoch bergen Low-Code/No-Code-Anwendungen erhebliche Risiken, da sie von den Anwendern selbst entwickelt und betrieben werden und nicht, wie Standard-Geschäftsanwendungen, durch die IT-Abteilung verwaltet und überwacht werden. Damit einhergeht das Risiko, dass im Falle einer Störung oder eines Ausfalls einer solchen Anwendung keine geeigneten Schutzmaßnahmen ergriffen wurden, um dies zu verhindern und weitergehende Folgen wie finanzielle Verluste oder Reputationsschäden abzuwenden.

Aus diesem Grund sollte jedes Unternehmen Low-Code/No-Code-Anwendungen identifizieren, um potenzielle Risiken zu identifizieren und angemessen zu managen.

Externer Inhalt - Typeform Umfrage

An dieser Stelle finden Sie Inhalte eines Drittanbieters, die Sie mit einem Klick anzeigen lassen können.

Dadurch können personenbezogene Daten an den Drittanbieter übermittelt werden. Mehr Informationen finden Sie in unseren Datenschutzbestimmungen.

Dies ist ein blau eingefärbtes Bild von Architektur.

Ein Partner hält einen Vortrag vor seinem Team.

Unver- bindlich beraten lassen

Ein kurzer Überblick

Was sind Low-Code/No-Code-Anwendungen?

Low-Code/No-Code-Anwendungen werden mit minimalem oder keinem manuellen Programmieraufwand erstellt. Im Gegensatz zur Standardsoftware, die üblicherweise von der IT-Abteilung entwickelt wird, werden Low-Code/No-Code-Anwendungen direkt von Mitarbeitenden im Fachbereich entwickelt und betrieben. Die Verantwortung für Entwicklung und Betrieb liegt daher vollständig bei den jeweiligen Fachbereichen. Besonders relevant sind solche Anwendungen, die es ermöglichen, Daten mithilfe von Formeln, Skripten und Workflows zu aggregieren, zu manipulieren und/oder zu modellieren.

Beispiele:

Datenanalyse und -verarbeitung durch Excel, Power Bi, Python, etc.
Prozessautomatisierung und Workflows mit Power Automate oder Zapier
Erstellung von Intranet-Portalen und Projektmanagement mit SharePoint
Aufbau von Datenbanken und Schnittstelle
Webdesign, CMS und E-Commerce

Wieso sollten Low-Code/No-Code-Anwendungen gemanaged werden?

Die Nutzung von Low-Code/No-Code-Anwendungen bietet zahlreiche Vorteile und ermöglicht eine schnelle und flexible Entwicklung von Lösungen. Doch gerade im unternehmerischen Kontext können sie auch Risiken mit sich bringen. Insbesondere in Bereichen wie Controlling, Finanzen oder IT stützen sich viele Unternehmen auf Excel-Tools, um Prozesse zu unterstützen oder sogar vollständig abzuwickeln.

Fehler in der Anwendung oder gar der Ausfall einer Anwendung können gravierende Auswirkungen auf Geschäftsprozesse haben, Fehlentscheidungen nach sich ziehen und zu finanziellen Verlusten führen.

Eine kürzlich in Frontiers of Computer Science veröffentlichte Studie zeigt, dass 94 Prozent aller Excel-Kalkulationstabellen, die für geschäftliche Entscheidungen genutzt werden, Fehler aufweisen.

Durch die Überwachung von Low-Code/No-Code-Anwendungen und die Implementierung entsprechender Schutzmaßnahmen können diese Risiken und ihre Auswirkungen deutlich minimiert werden. Gleichzeitig wird die Vertraulichkeit, Verfügbarkeit und Integrität der bearbeiteten Daten erhöht, und Fehler können frühzeitig erkannt werden. Kritische Low-Code/No-Code-Anwendungen können darüber hinaus in standardisierte Geschäftsanwendungen überführt werden.

Für Finanzdienstleister ist ein effektives Risikomanagement von Low-Code/No-Code-Anwendungen unerlässlich, da es durch konkrete regulatorische Vorgaben (DORA/VAIT/BAIT/KAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vorgeschrieben wird. Doch das von Low-Code/No-Code-Anwendungen ausgehende Risiko betrifft nicht nur die Finanzbranche, sondern alle datenverarbeitenden Industrien.

Aus diesem Grund sollte jedes Unternehmen eine robuste Governance-Struktur für Low-Code/No-Code-Anwendungen implementieren, um die damit verbundenen Risiken wirksam zu managen und zu minimieren.

Implementierung & Benefits Wie kann ein Governance-Framework für Low-Code/No-Code-Anwendungen umgesetzt werden?

Erfahren Sie mehr über die Regulatorik in unserem Blogpost dazu

1. Richtlinie erstellen
- Ausarbeitung eines Lifecycles
- Rollen und deren Verantwortlichkeiten innerhalb des Lifecycles festlegen 
- Kriterien für die Risikoklassifizierung und Schutzmaßnahmen festlegen 
Ergebnis: Übergreifende Governance-Struktur inklusive Lifecycle für Anwendungen 
2. Low-Code/No-Code-Anwendungen registrieren und inventarisieren
- Ausarbeitung eines Prozesses, zur Identifizierung bereits bestehender Anwendungen 
- Erstellung eines Registrierungsformulars, um zukünftige Anwendungen bereits vor der Entwicklung zu registrieren 
- Erhebung und Dokumentation aller relevanter Informationen für jede Anwendung.
Ergebnis: Inventar aller Low-Code / No-Code Anwendungen 
3. Schutzbedarfsermittlung
- Erstellung und Individualisierung eines Fragenkatalogs, um den Schutzbedarf der Anwendung anhand verschiedener Parameter zu bewerten (Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität) 
Ergebnis: Kritikalität / Spezifisches Risiko jeder Anwendung
4. Ermittlung von Schutzbedarfsmaßnahmen und Kontrolle
- Erstellung eines Katalogs mit spezifischen Schutzmaßnahmen für Anwendungen
- Bestimmung von Schwellenwerten, bei denen Schutzmaßnahmen umgesetzt werden müssen 
- Prozess zur regelmäßigen Bewertung und Kontrolle der Umsetzung von Schutzmaßnahmen 
Ergebnis: Spezifische Schutzanwendung für jede Nutzung von Low-Code/No-Code-Anwendungen

-> Minimierung von Risiken