Codefreie Entwicklung die Zukunft der Programmierung?

Sind No-Code-Tools sicher? Antworten auf Sicherheitsbedenken

Es scheint ein arbeitsreiches Jahr für die Low-Code- und No-Code-Entwicklung zu werden. Sowohl Anwender als auch berufliche Entwickler können von diesen immer beliebter werdenden Lösungen profitieren. Neue serverlose Optionen beschleunigen die Möglichkeiten zur Planung, Erstellung und Wartung von Systemen für Unternehmen. Die No-Code-Entwicklungsbranche wächst und kommen mit immer mehr Tools auf dem Markt. Appcues hat kürzlich die Finanzierung von 32 Millionen Dollar für No-Code-Tools angekündigt, die das Onboarding verbessern sollen.

Man könnte vermuten, dass solche Plattformen nicht sicher sind, weil man nicht sieht, was sich hinter der benutzerfreundlichen Oberfläche verbirgt, aber das könnte nicht weiter von der Wahrheit entfernt sein. Die beliebtesten codefreien Plattformen Bubble.io, Webflow und Adalo sollten diese Fragen beantworten können. Die Entwickler befolgen die besten Praktiken der Branche, wenn es um Datensicherheit geht und legen dar, welche Sicherheitsstandards sie anwenden und worauf nicht-technische Benutzer achten müssen.

Gibt es Sicherheitsrisiken bei der Verwendung von codefreien Anwendungen?

Es ist verständlich, dass viele Sicherheitsbedenken in Bezug auf No-Code- oder Low-Code-Plattformen haben, da nicht alle von ihnen die Möglichkeit bieten, Code zu exportieren, was technisch versierte Benutzer daran hindert, herkömmliche Maßnahmen wie statische Sicherheitstests anzuwenden. Zudem ist es etwas mysteriös, wie die Plattformen mit sensiblen Daten umgehen. Natürlich ist No-Code keine makellose Softwareentwicklungsmethode und mit gewissen Sicherheitsrisiken verbunden.

Eines der größten Sicherheitsrisiken bei No-Code-Tools sind die Plugins und APIs, die diese Tools verwenden. Das muss erwähnt werden. Gefährliche APIs sind jedoch nicht nur bei No-Code- oder Low-Code-Entwicklungsplattformen zu finden, sondern können auch traditionell entwickelte Software gefährden.

Wenn Sie externe APIs verwenden, die nicht im Umfang des No-Code-Tools inbegriffen sind, gilt ebenfalls Vorsicht. Da Plugins und APIs nicht unbedingt den umfangreichen Tests unterzogen werden, die No-Code- und Low-Code-Plattformen durchlaufen müssen, können sie Sicherheitsrisiken bergen.

Bevor Sie externe APIs vollständig in Ihre No-Code-App integrieren, sollten Sie einige prozeduale Sicherheitsmaßnahmen in Ihren Entwicklungsprozess integrieren: Suchen Sie mit Penetrationstests oder Scannern nach Sicherheitsproblemen, verwenden Sie einen OAuth-basierten API-Token-Austausch, der über einen funktionalen Aktualisierungsmechanismus verfügt. Sobald eine API integriert ist, verbergen Sie sie, indem Sie einen Proxy mit zusätzlicher Authentifizierung einrichten. Diese bewährten Sicherheitspraktiken sollten viele Probleme, die APIs verursachen können, beseitigen.

Sicherheitsstandards bei beliebten Plattformen

Alle gängigen No-Code-Softwareanbieter halten sich an die gängigen Sicherheits- und Compliance-Zertifizierungen, wenn es um Datensicherheit geht. Sie müssen sich keine Gedanken über den Code, die Frameworks und die Arbeitsabläufe in den von Ihnen verwendeten Tools machen. Die Sicherheit Ihrer Daten steht bei No-Code-Entwicklungsplattformen immer an erster Stelle. Im Folgenden werden wir die Sicherheit einiger der beliebtesten Tools auf dem Markt näher beleuchten.

Bubble.io

Bubble.io nutzt Amazon Web Services zum Hosten seiner Plattform, eine der beliebtesten Cloud-Hosting-Lösungen der Welt. Bubble.io verfügt über eine angemessene Sicherheitskontrolle mit Zertifizierungen wie ISO 27001, SOC 2, CSA usw.

Was die Plattform selbst betrifft, so zeigt sie ein beeindruckendes Maß an Sicherheitsbewusstsein. Sie verfügt über integrierte Code-Tests, bietet Sicherheitseinstellungen für Benutzer, automatische Aktivitätsprotokolle für erstellte Apps (einschließlich Hintergrundaktivitäten) und eine Datenwiederherstellung. Bubble.io bietet sogar einen Live-Test der Datenverschlüsselungsstärke. Robuste eingebaute Sicherheit, Flexibilität, Leistung und eine Fülle von Plugins sind die Gründe, warum Bubble No-Code das bevorzugte Tool für viele Agenturen in dieser Nische ist.

Adalo

Adalo ist ein einigermaßen sicheres Tool für die Entwicklung von Apps, auch wenn es von den drei Tools am wenigsten transparent in seinen Sicherheitsmaßnahmen ist. Im Januar 2020 war die Plattform nur teilweise DSGVO-konform, da sie keine Server in der EU hatte und nicht das EU-US Privacy Shield nutzte. In Bezug auf andere Aspekte wie Datenverarbeitung, Übermittlung, Recht auf Vergessenwerden, Speicherung und Übermittlung verschlüsselter Daten war die Plattform zu diesem Zeitpunkt konform.

Was die allgemeine Sicherheit betrifft, so verwendet die App eine „branchenführende“ Verschlüsselung für Daten sowohl bei der Speicherung als auch bei der Übermittlung, mit zusätzlichen Sicherheitsmaßnahmen für sensible Kundendaten wie Kreditkarteninformationen und Passwörter. Zum Zeitpunkt des Berichts bot die Plattform noch keine Zwei-Faktor-Authentifizierung oder Face ID in ihren Apps an.

Webflow

Grundsätzlich gilt, dass Webflow eine sehr sichere Plattform ist, was sich insbesondere an der hohen Transparenz zeigt. Webflow ist beispielsweise konform mit den SOC2- und DSGVO-Bestimmungen und seine Daten werden auf dem bereits erwähnten AWS gehostet. Darüber hinaus führt die Plattform Penetrationstests über Drittanbieter aus, bietet Zwei-Faktor-Authentifizierung, Single Sign-On und SSL-Datenverschlüsselung. Das No-Code-Entwicklungstool bietet sogar Tipps, wie man die eigene Webflow-basierte Webseite sicherer machen kann.

Eine sichere No-Code-Anwendung erstellen

Der einzige Bereich, in dem No-Code die Sicherheit nicht gewährleisten kann, sind die eigentlichen Anwendungen, die von Laien erstellt werden – ohne Kenntnisse der richtigen Software-Sicherheitspraktiken kann man noch stets unwissentlich Sicherheitslücken in die eigene Kreation einbauen.

Es gibt zwei Möglichkeiten, dieses Problem zu lösen – entweder man verbringt viel Zeit damit, die Prinzipien der Softwaresicherheit selbst zu erlernen, indem man YouTube-Videos, Webinare und Webseiten zurate zieht, die über No-Code-Tools aufklären, oder man beauftragt eine Agentur, die über professionelle Entwickler verfügt, die die App erstellen und über umfangreiche Erfahrung in Sachen Sicherheit bei codefreien Apps verfügt.

No-Code-Tools wie Bubble.io, Webflow oder Adalo sind sicher in der Anwendung und verwenden die besten Praktiken der Branche, wenn es um die Datensicherheit geht. Für No-Code-Entwickler ist es wichtig, nicht nur alles über die Entwicklung des Tools zu lernen, sondern auch die Grundlagen der Softwaresicherheit, damit sie eine sichere App erstellen können, die die persönlichen Daten ihrer Kunden sichert und vor Cyberangriffen schützt.

Über den Autor
Ugnius Kiguolis
Ugnius Kiguolis - Experte in der Schadsoftwareentfernung

Ugnius Kiguolis ist ein professioneller Schadsoftware-Analytiker und der Gründer und Besitzer von Dieviren.de. Zurzeit übernimmt er die Position des Chefredakteurs.

Ugnius Kiguolis kontaktieren
Über die Firma Esolutions

In anderen Sprachen