Wie Low Code Datenschutz & Datensicherheit hilft
Die Forderung der DSGVO nach Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verhallt oft, weil es in der Software-Entwicklung zu wenig Ressourcen gibt. Die Idee, über Low-Code-Plattformen die Softwareentwicklung zu vereinfachen, kann deshalb auch dem Datenschutz dienen.
Keine Zeit für den Datenschutz?
Umfragen unter Sicherheitsverantwortlichen zeigen, warum immer wieder Sicherheits-Schwachstellen und Datenschutz-Mängel in Applikationen auftreten. Und das obwohl den Unternehmen und den Anwendern die Sicherheit und der Datenschutz bei Anwendungen wichtig erscheinen.
Es ist nicht etwa die Unwissenheit über die notwendige IT-Sicherheit. Vielmehr geben einige Security-Experten neue Anwendungen frei, auch wenn sie vermuten, dass sie nicht sicher sind. Der Grund: Es gibt für die notwendigen Prüfungen zu wenige IT-Sicherheitsexperten.
Ähnlich ist es bei den Entwicklern und Testern. Sie kommen oftmals nicht dazu, alle Lücken in der Datensicherheit aufzuspüren. Oder noch besser: gleich bei der Programmierung zu vermeiden.
Beim Datenschutz kommt hinzu, dass für die Entwicklerinnen und Entwickler nicht klar ersichtlich ist, welche Daten wie lange benötigt werden. Das wissen allein die Fachabteilungen. Sie formulieren ihre Anforderungen jedoch häufig so, dass die Entwicklung sie nicht einfach und fehlerfrei umsetzen kann.
Ist der Mangel an Privacy by Design also ein Ressourcen-Problem? Nicht nur, aber auch.
Neue Entwicklungsverfahren für mehr Datenschutz
Schafft man es, die Entwicklung zu entlasten und die Kommunikation zwischen den Fachabteilungen mit ihren Anforderungen und den Programmiererinnen und Programmierern zu verbessern, kann dies dem Ziel Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen helfen.
Was sind Low-Code-Plattformen?
Ein möglicher Ansatz dafür sind sogenannte Low-Code-Plattformen. Darunter versteht man Entwicklungs-Plattformen, die es ermöglichen, Software mit grafischen Tools und Assistenten zu erstellen, ohne in größerem Umfang klassische, manuelle Programmiertechniken anwenden und damit Code schreiben zu müssen. Software entsteht mithilfe eines visuellen Designers wie nach dem Baukastenprinzip.
Dadurch helfen die Fachabteilungen bei der Entwicklung, ohne Programmierkenntnisse haben zu müssen.
- Zum einen erspart dies Aufwände in der Entwicklung.
- Zum anderen bringen die Fachbereiche ihre Anforderungen selbst in die Programme ein. Das verbessert etwa die Datenminimierung und die rechtzeitige Datenlöschung. Denn so bewahrt die Software nicht einfach möglichst viele Daten so lange wie möglich auf, weil die konkreten Vorgaben unklar geblieben sind.
Low Code mit Sicherheits- und Datenschutz-Modulen
Übernehmen die Fachbereiche Teile der Entwicklung, steht zu befürchten, dass die Sicherheit und letztlich der Datenschutz leiden. Denn Security und Datenschutz sind komplexe Themen. Sie erfordern viel Expertise, die selbst die Entwicklerinnen und Entwickler nicht immer haben. Von den Fachbereichen wie Finanzen und Personal lässt sich das sicherlich noch weniger erwarten.
Doch auch hier unterstützen geeignete Low-Code-Plattformen: Je nach Anbieter verfügen sie über Funktionen und Module für Sicherheit und Datenschutz. Sie lassen sich nach Baukasten-Prinzip einfügen.
Unternehmen sollten sich aber nicht darauf verlassen, sondern die Low-Code-Plattform vor dem Einsatz hinterfragen: Die Security-Abteilung und die Datenschutzbeauftragten sollten die Security-Funktionen und Security-Bausteine, die die Low-Code-Plattform anbietet, prüfen. Unterstützt die Plattform tatsächlich Security by Design? Oder fehlen auch bei der Low-Code-Plattform diese wichtigen Funktionen?
Ein Beispiel für integrierte Sicherheit ist AppShield
von OutSystems: AppShield sichert mobile Applikationen gegen Angriffe. Die Analysten von Gartner nehmen an, dass Sicherheitsfehler bei mobilen Apps bis 2022 die größte mobile Bedrohung für Unternehmen darstellen. Durch das automatische Hinzufügen von Sicherheitsschichten während der Erstellung sind die Applikationen widerstandsfähiger gegen Attacken.
Auch Low-Code-Verfahren brauchen Kontrolle
Nun sollte man aber nicht denken, die Entwicklung (und die Datenschutzbeauftragten) könnten nun die Fachbereiche sich selbst überlassen, der Datenschutz sei ja automatisch implementiert.
Prüfungen und Kontrollen sind weiterhin nötig. Insbesondere braucht die Low-Code-Entwicklung ihre Grenzen. So darf es nicht sein, dass die Fachbereiche ohne jede Vorgabe und Kontrolle Software erstellen. Denn das trägt zur gefürchteten Schatten-IT bei, also zu einer IT, die die Nutzer ohne Freigabe und Überwachung einsetzen.
Low-Code-Plattformen helfen also dem Datenschutz und der Datensicherheit. Sie ersetzen sie aber nicht.