Low- und No-Code bieten viele attraktive Möglichkeiten. Zum Beispiel die deutliche Senkung der Kosten für Anwendungsentwicklungen. Meist ist jedoch nichts über den Quellcode und die gegebenenfalls damit verbundenen Schwachstellen bekannt. Wie lassen sich Risiken mindern?
Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen.
Eine wachsende Zahl von Unternehmen erwägt die Nutzung von Low-Code- und No-Code-Plattformen, um Anwendungsentwicklung und -bereitstellungen zu vereinfachen und zu automatisieren. Umfragen haben ergeben, dass bereits rund 45 Prozent der Unternehmen diese Technologien nutzen. Ein weiteres Fünftel derjenigen, die sie nicht nutzen, wollen die Technologie in den kommenden zwölf Monaten einführen.
Dies ist kaum verwunderlich, da es bei Low-Code und No-Code um sehr schnelle Modelle zur Anwendungsentwicklung handelt. Sie erlauben es, visuelle Methoden wie beispielsweise Drag-and-Drop und interaktive Menüs zu verwenden, um die Code-Generierung zu automatisieren.
Mit Low-Code können die User neben automatisch generiertem Code von einer Plattform auch benutzerdefinierten Code hinzufügen. Bei No-Code-Optionen wird letztendlich nur der automatisch generierte Code der Plattform in die darauffolgende Anwendung einbezogen.
Mögliche Sicherheitsrisiken
Low- und No-Code-Plattformen bieten zwar schnellere Prototyping- und Entwicklungsfunktionen als bisher, können aber auch Ausgangspunkte für Hacker-Angriffe und andere Schwachstellen und Bedrohungen bieten. Dazu gehören folgende Hauptprobleme:
Geringe Transparenz
Der Einsatz von Low-und-No-Code-Plattformen bedeutet zwangsläufig, dass Code verwendet wird, der in einigen Fällen nicht überprüft werden kann. Wenn der Anbieter einer solchen Plattform die Best Practices für IT-Security und sichere Codierung nicht befolgt, kann dies später zu Problemen bei den Anwendern führen.
Die Implementierung von Sicherheitsaudits bei Anbietern gestaltet sich in der Regel als zeitaufwändig bzw. kostspielig und ist für manche möglicherweise gar nicht realisierbar. In vielen Fällen wird kein Einblick in die Sicherheitskontrollen gewährt, die von Plattform-Anbietern verwendet werden. Das bedeutet, dass die Unternehmen sich auf die vorliegenden Sicherheitstools verlassen müssen.
Qualität des Codes
Zu den größten Problemen bei Low- und No-Code-Plattformen gehört die Qualität des Codes selbst. Beide Ansätze umfassen einen Teil des Codes, der vollständig im Kontext einer Plattform eines Anbieters generiert wird. Die Qualität dieser Code-Ausschnitte kann je nach eingesetzten Tools und Services stark variieren.
Jedoch muss bei Entwicklungsprojekten das Thema Sicherheit von Anfang an Priorität eingeräumt werden, unabhängig von Art und Umfang des Projekts. Wenn Codeteile der Plattform von zweifelhafter Qualität sind, stellt dies ein potenzielles Problem dar, insbesondere wenn unsichere Komponenten von unerfahrenen Entwicklern repliziert werden.
Überwachung
Low-Code-Ansätze basieren fast immer darauf, dass Entwicklungsteams Tools verwenden, die von Sicherheitsteams überwacht werden können. Eine vollständige statische Analyse oder dynamisches Testen des Codes ist jedoch in diesem Fall kaum möglich, zumindest nicht für den von der Plattform generierten Code.
Bei No-Code erfolgt möglicherweise nur eine geringe oder gar keine Überwachung der Codeentwicklung und -bereitstellung. Dies kann zu neuen Formen der Schatten-IT führen, die schwer zu erkennen sind, was zu einem Mangel an Transparenz führt.
Fehler in der Geschäftslogik
Ähnlich wie bei Zugriffskontroll-Berechtigungen sollten Geschäftslogik-Berechtigungen und -privilegien in die Funktionalität der Software integriert sein. Wenn dies unterlassen wird, ist es möglich, dass sensible Daten an unbefugte Personen weitergegeben werden.
Eine API-Konnektivität kann die Angriffsfläche einer Anwendung noch weiter vergrößern. Die Anbieter von Low- und No-Code-Plattformen sind daher angehalten, alle diese Probleme wie bei einer üblichen Softwareentwicklung zu testen und zu bewerten, da sonst die oben genannten Probleme auftreten können.
Anwendungsprobleme
Zusätzlich zu den Risiken, die mit der Erstellung und dem Hosting von No-Code- und Low-Code-Apps einhergehen, ist es möglich, dass diese Plattformen auch schwerwiegende Anwendungsmängel und Schwachstellen wie beispielsweise SQL-Injection, Cross-Site-Scripting, Command-Injection sowie Authentifizierungs- und Autorisierungsfehler auf verursachen können.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Viele herkömmliche Testtools und -methoden – sowohl statische als auch dynamische – lassen sich, wenn überhaupt, nicht einfach in Low-Code- und No-Code-Ansätze integrieren. Und da Low- und No-Code es jemandem mit wenig oder keinem Background als Entwickler sehr einfach machen, Code zu erstellen, kann die Wahrscheinlichkeit für Fehler und Sicherheitsprobleme erheblich zunehmen.
Maßnahmen zur Risikominderung
Trotz der potenziellen Sicherheitsprobleme, die mit Low- und No-Code-Plattformen verbunden sind, gibt es Maßnahmen, die Unternehmen ergreifen können, um die potenziellen Risiken zu mindern. Eine der wichtigsten Maßnahmen besteht darin, Anbieter und Partner sorgfältig auszuwählen und sich für Optionen zu entscheiden, bei denen die Sicherheitsprozesse klar und transparent sind. Die Plattform sollte aus diesen Gründen hohen Sicherheitsstandards genügen. Als Kunde ist es daher sinnvoll, sich Einblicke in den Ansatz für die verwendeten Sicherheitspraktiken zu verschaffen.
Hierzu sind unter anderem folgende Fragen zu klären:
Welcher Tech-Stack wird verwendet?
Kommen SAST-, DAST-, IAST-Scanning und anderen Sicherheitstools zum Einsatz?
Wie viel Wert wird auf das Sicherheitsbewusstsein im gesamten Unternehmen und vor allem im Entwicklungsteam gelegt?
Auf diese Weise lässt sich sicherstellen, dass die Plattform von Menschen entwickelt wurde, die das Thema Sicherheit ernst nehmen. Grundsätzlich zahlt es sich aus, in das Sicherheitsbewusstsein der eigenen Organisation zu investieren, einschließlich sicherheitsqualifizierter, praktischer Entwickler, die für das Aufspüren von Schwachstellen im Einsatz sind.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/8d/e0/8de00bb0c72231bc51fe6baa095aaf82/0128995925v1.jpeg "Von der Ressourcenzuteilung bis zur Finanzverwaltung gestalten KI-Agenten die Zukunft der Unternehmensplanung und optimieren die Zusammenarbeit zwischen Mensch und Maschine. (Bild: © Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/17/40/1740df3260ea9ff0e7e9c8ad4b2b3011/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/a5/bca56318391b40b360df5794c34cd81b/0129324079v1.jpeg "Industrial AI Cloud: Eröffnung der Hochleistungs-KI-Infrastruktur der Deutschen Telekom in München mit massiv skalierbaren Rechen- und Speicherressourcen speziell für das Training und den Betrieb großer KI-Modelle. (Bild: Deutsche Telekom AG / Cindy Albrecht / Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/f2/baf2bd1814e2831c86bf6ef4aec7296b/0129333921v1.jpeg "Ein Klick genügt: Reprompt kapert Copilot-Sitzungen über URL-Parameter. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/dc/c5dc5a70b3b30c72d140b96c300743b7/0129090945v1.jpeg "Nur wenige Unternehmen schaffen den Sprung vom GenAI-Pilotprojekt zum produktiven Einsatz. Entscheidend ist nicht das Modell, sondern eine orchestrierte Architektur. (Bild: © Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/6f/8a/6f8a51c8fbd7c4f7cdedce6a4afac57b/0125393283v1.jpeg "Bei Cloud-Automatisierung geht es um Maximierung von Kontrolle und Effizienz durch intelligente, KI-gestützte Lösungen zur Optimierung dynamischer Cloud-Umgebungen. (Bild: © pkproject - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/c0/7dc03fef56ab6063de64910a4d9a1c02/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")