:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e0/0fe07289005f621ddc10ae0aca97bc18/0110449467.jpeg "„Gut gepflegter und effizienter Code kann sehr viel mehr zum Energiesparen beitragen, als es auf den ersten Blick scheint“, meint Avision-CEO Nadine Riederer. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/92/9e/929ebd787f23abe1aa1f9154660004bc/0110551740.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/63/48636b30e2851005f306fb7910e0c322/0109499300.jpeg "Neben Fortschritten bei der Künstlichen Intelligenz hält das Jahr 2023 noch andere Development-Trends bereit. (© Weissblick – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/8d/dc8d9b3e23bc5bb6a8323b67991445df/0110203970.jpeg "Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/12/3f/123ff52f1eedeb7a255fd95297f8b9ff/0110061064.jpeg "Die SaaS-Plattform SolarWinds Observability steht ab sofort mehr Kunden rund um den Globus zur Verfügung. (Bild: © – jayzynism – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/96/fb96a60a4f2eeba26d699b57f8c4d817/0109733675.jpeg "Alles in allem ist die Cloud Computing Foundation (CNCF) eine erfolgreiche Non-Profit-Organisation, Heimat für innovative Open-Source-Projekte, selbst wenn angesagte Highflyer auch einmal abstürzen. (Bild: Cmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/ac/6b/ac6b0777cd253f63f18205150e9f1ba4/0110057213.jpeg "Als Plug-in für VS Code und die klassische Visual-Studio-IDE macht IntelliCode Vorschläge, hilft beim Ausbessern von Fehlern und beim Verwalten ganzer Pojekte. (Bild: <a href=https://visualstudio.microsoft.com/de/services/intellicode/>Microsoft</a>)")
:quality(80)/p7i.vogel.de/wcms/fe/87/fe87e275bdad6b264f059938465da19f/0109787723.jpeg "Einstieg in Microsoft Graph mit dem Graph-Explorer. (Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02a26f4ed2857373b2e5d90113ca38/0110506169.jpeg "Unternehmen sollten wissen, wie sie das Beste aus ihren Low-Code- oder No-Code-Plattformen herausholen können. (© bsd studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Datensicherheit und Compliance bewahren Keine Angst vor Citizen Developers
Mit den neuen Cloud-, Low-Code- und No-Code-Plattformen kann quasi jedermann im Unternehmen eine App entwickeln. Doch Citizen Development ist nur auf den ersten Blick eine Win-Win-Situation. Dieser Beitrag befasst sich mit den Risiken und möglichen Gegenmaßnahmen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Heutzutage kann praktisch jeder ein Coder sein. Und in Zeiten, da der Hunger der Unternehmen nach immer neuen Anwendungen quasi unstillbar ist, verheißt das ja nicht zwingend etwas Schlechtes. Die Arbeit der Citizen Developer kann für Unternehmen allein schon deshalb von Vorteil sein, weil sie hausinterne Software-Development-Teams entlasten.
Man sollte sich aber im Klaren darüber sein, dass mit Hobby-Entwicklern bedeutende Sicherheitsrisiken für Unternehmen einhergehen. Dass Citizen Developer wirklich eine Bereicherung darstellen, kann nur gelingen, wenn sie Wertschätzung erfahren und die richtigen Sicherheits-Tools im Einsatz sind. Dann besteht auch keine Notwendigkeit mehr, „Wild-Entwicklungen“ zu unterdrücken oder gar zu verbieten.
Im Folgenden schauen wir uns an, welche Schritte Organisationen unternehmen können, damit Hobby-Entwickler ihr Werk erfolgreich und trotzdem sicher ausführen und Unternehmen dabei von der gesteigerten Produktivität und Kreativität ihrer Mitarbeiter profitieren. Aber beginnen wir erst einmal mit den Hintergründen.
Citizen Developer – Herausforderung und Chance zugleich
Die Unersättlichkeit moderner Unternehmen in puncto Software ist sprichwörtlich. Eine typische Firma betreibt bereits heute hunderte von Anwendungen – vielleicht sogar tausende, wenn es sich um ein global agierendes Unternehmen handelt. Und mit dem rasant fortschreitenden Prozess der Digitalisierung wird die Menge der Software-Lösungen, die in den Firmen im Einsatz sind, eher noch zunehmen.
Der Bedarf an Software wird in den meisten Organisationen so hoch sein, dass die vorhandenen Entwicklerteams nicht mehr hinterherkommen. Nun ist es aber so, dass sich innerhalb vieler Unternehmen zunehmend andere finden, die sich dieser besonderen Herausforderung gerne annehmen. Das allerdings ist vielfach der Punkt, an dem möglicherweise Ungemach droht.
In der Vergangenheit wurde Unternehmenssoftware - insbesondere unternehmenskritische Programme oder kundenorientierte Anwendungen – vollumfänglich im Rahmen der formalen Zuständigkeit der IT-Abteilung verwaltet. Das ist heute anders: Dank der Cloud, Rapid Development Plattformen und noch neueren, sogenannten „No Code“-Entwicklungsplattformen kann fast jeder in- oder außerhalb eines Unternehmens in Eigenregie eine Anwendung entwickeln.
Die vorgenannten Tools sind mittlerweile unkompliziert und ausgereift. Beispielsweise kann jemand in Marketing-, Vertriebs- oder Finanzabteilungen, der noch nie eine Zeile Softwarecode geschrieben hat, damit eine funktionierende App entwickeln.
Der Bedarf an Software ist groß, die Ressourcen knapp
Im Hinblick auf die Produktivität ist das natürlich begrüßenswert, denn Unternehmen benötigen mehr von schlichtweg allem: mehr mobile Anwendungen, mehr Softwaretools zur Verwaltung von immer mehr Geräten, mehr Software zur Zusammenarbeit mit Kunden auf einer ständig wachsenden Liste von Kommunikationskanälen und schließlich immer mehr Software-Applikationen zur effektiven Verwaltung aller von ihnen erfassten und generierten Daten.
Wenn Benutzer also eine Anwendung benötigen, gehen sie mit diesem Anliegen in der Regel zur IT. Allerdings sollten sie in diesem Fall auch gleich ein gerüttelt Maß an Geduld mitbringen und lange Wartezeiten einplanen. Mit einem Heer von Jedermanns-Entwickler lassen sich diese Wartezeiten natürlich verringern.
Wie so oft hat allerdings auch diese Medaille zwei Seiten: Die kürzeren Entwicklungszeiten, die dem Phänomen geschuldet sind, dass heute nahezu jeder ein Coder ist, erzeugen ein deutlich höheres Risiko. Obwohl es sich in diesem Fall nicht um eine bösartige Angriffsart oder etwa eine Bedrohung durch einen externen Feind handelt, ist es nichts desto trotz ein internes Risiko aus dem Inneren des Unternehmens selbst – ein Insider Threat also, den die Security-Teams in den Organisationen tunlichst nicht ignorieren sollten.
Mittelweg zwischen Software-Wildwuchs und Kahlschlag
Es gibt zwei Arten, wie die Firmen mit diesem speziellen Risiko umgehen können. Sie können versuchen, die Ergebnisse der Laienentwickler in ihren Unternehmen zu verbieten. Infolge dessen müssten sie jedes Mal, wenn sie solche „wild entwickelten“ Anwendungen entdecken, diese schließen und einen formalen Prozess unter der Aufsicht der IT-Abteilung anstoßen.
Das Problem dabei ist, dass die professionellen Developer eine höchst wertvolle Personal-Ressource sind und dies wahrscheinlich noch lange so bleiben wird. Nach Angaben des U.S. Bureau of Labor Statistics wird die Zahl der Arbeitsplätze für Softwareentwickler voraussichtlich um 24 Prozent steigen, deutlich schneller als das durchschnittliche Beschäftigungswachstum. Diese Tendenz lässt sich sicherlich auch auf den europäischen Markt übertragen.
Die zweite Herangehensweise wäre, dieses spezielle Risiko schlicht und einfach zu verwalten. Und das ist ganz eindeutig die bessere und realistischere Vorgehensweise. Der Siegeszug der Citizen Developer wird wohl nicht mehr aufzuhalten sein. Wenn die Sicherheit in Bezug auf diese Hobby-Coder nicht richtig verwaltet wird, führt das für die Unternehmen zu ernsthaften Problemen mit der Datensicherheit und der Compliance.
Ein zweifellos kluger Schachzug ist es also, die Citizen Developer nicht auszubremsen, sondern vielmehr solche Tools einzuführen, mit denen sich sicherstellen lässt, dass die Arbeit der Laienentwickler den unternehmenseigenen Sicherheitsanforderungen entspricht. Ist dafür gesorgt, dass die so entstandenen Apps den erforderlichen Sicherheitsperimetern des Unternehmens unterliegen, besteht auch keine Notwenigkeit mehr, das Phänomen zu unterbinden.
So kommen beide Seiten der sprichwörtlichen Medaille zu ihrem Recht: Die Unternehmen profitieren von der Produktivität ihrer Gelegenheits-Entwickler und entlasten dabei das Software-Entwicklungsteam – und auch die Security-Abteilung ist zufrieden.
Man könnte nun einwenden: Wir sprechen von Entwicklern, die kleine Apps entwerfen – sie arbeiten nicht etwa mit großen Programmen oder Backend Enterprise-Anwendungen. Das ist sicherlich korrekt, allerdings können gerade die Hobby-Entwickler, so wohlmeinend sie auch sind, ernsthafte Sicherheitsprobleme verursachen. Die so entstandenen Risiken können beispielsweise darin bestehen, dass zu schwache Authentifizierungsverfahren gefordert werden bis hin zur (unbeabsichtigten) Offenlegung regulierter oder vertraulicher Daten.
Möglicherweise schleichen sich Fehler in der erstellten Webanwendungs-Software ein, die externe Angreifer dann nur allzu leicht ausnutzen können. Oder die Citizen Developer sind sich über bestimmte regulatorische Vorschriften nicht im Klaren und setzen ein Unternehmen so versehentlich dem Risiko aus, Ärger mit den Aufsichtsbehörden zu bekommen. Das kann niemand wollen.
Citizen Development den Schrecken nehmen
Es gibt eine Reihe von Maßnahmen, die Unternehmen ergreifen können, um diese Risiken zu minimieren. Die erste besteht darin, das Bewusstsein für Sicherheitsanforderungen zu stärken. Da die Hobby-Entwickler immer zahlreicher werden, ist es umso wichtiger, bei diesen Mitarbeitern ein Verständnis für die Gefahren zu schaffen, die sich aus ihrem Tun für das Unternehmen ergeben können und ihnen klar zu machen, dass sie – aller guten Absichten zum Trotz – ein Insider-Risiko darstellen können.
Unternehmen mit Hobby-Codern in ihrer Belegschaft sind zudem gut beraten, ihnen die richtigen Werkzeuge und Schulungen an die Hand zu geben. Es muss jederzeit klar sein, welche Art von Daten reguliert und vertraulich sind, damit die Security-Abteilung nach Fertigstellung der jeweiligen App dafür sorgen kann, dass die richtigen Kontrollmechanismen vorhanden sind.
Darüber hinaus können Unternehmen auch Schritt-für-Schritt-Anleitungen zur Verfügung stellen, aus denen hervorgeht, wie man sicher kodiert. Die hierfür erforderlichen Informationen finden sich oftmals bei den Anbietern von Low-Code-Plattformen und können dann im Laufe der Zeit um die spezifischen Sicherheitsanforderungen der jeweiligen Organisationen ergänzt werden.
Es ist im Übrigen nicht nötig, Sicherheits- oder IT-Experten aus den Citizen Developern zu machen. Es geht vielmehr darum, diese Mitarbeiter auf die möglichen Probleme aufmerksam zu machen, damit sie Anfängerfehler vermeiden können.
Schatten-IT ohne Schattenseite
Standard sollte außerdem sein, dass die Hobby-Entwickler die IT-Abteilung über die von ihnen erstellten Anwendungen informieren. Nur so ist gewährleistet, dass die damit erzeugten oder verarbeiteten Daten ordnungsgemäß verwaltet, gesichert, und sowohl in Backup- wie auch Disaster Recovery-Prozesse aufgenommen werden können. Das ist unabdingbar, denn andernfalls drohen wirklich unerfreuliche Szenarien.
Ein Unternehmen beispielsweise, das unter einem Ausfall leidet oder schlimmer noch, – aufgrund irgendeiner Katastrophe – sich plötzlich mit Anwendungen auseinandersetzen muss, die fehlerhaft gebaut wurden und nicht Backup-gesichert sind, obwohl sie durchaus unternehmenskritisch sind. Wenn sich alle Parteien zeitnah austauschen und die transparent handeln, müssen solche Dinge nicht erst passieren.
Gefahr erkannt, Gefahr gebannt – das ist die Quintessenz beim Umgang mit den Citizen Developern. So profitieren die Unternehmen von der erhöhten Produktivität und Kreativität ihrer Mitarbeiter, können ihre Entwickler-Teams entlasten und sich gleichzeitig darauf verlassen, dass die Sicherheitsrisiken überschaubar bleiben.
Rob Juncker ist Senior Vice President of Research & Development and Operations bei Code42.
(ID:45995498)
:quality(80)/images.vogel.de/vogelonline/bdb/1927200/1927232/original.jpg "Wer Fachangestellte in die Digitalisierungsstrategie mit einbeziehen möchte, sollte sich über das Wie genau Gedanken machen. (sigmund)")
:quality(80)/images.vogel.de/vogelonline/bdb/1921200/1921285/original.jpg "Philipp Erdkönig: „2022 steht unter dem Zeichen der Prozessautomatisierung – sie wird bei keiner Organisation mehr wegzudenken sein.“ (WEBCON)")