Connected Platforms

Governance für No-Code: Wie lassen sich durch Power Apps & Co. erstellte Applikationen im Zaum halten?

Artikel

08.09.2023

Einfach schnell mal eine Anwendung programmieren – mit No-Code-Plattformen können das auch User ohne Programmierkenntnisse, sogenannte Citizen Developer. Die Unternehmens-IT sieht das eher kritisch – vor allem im Hinblick auf Security-, Privacy- und Compliance-Regeln. Was kann ein Unternehmen tun, um den Teams eine angemessene Nutzung dieser Plattformen anzubieten?

Wie meine Kollegin Kristina Dörfl und ich in unserem vorangegangenen Artikel dargelegt haben, ist eine Applikationsentwicklungslösung für Anwender:innen aus den Fachbereichen ein gutes Tool, um die persönliche und teambezogene Produktivität zu steigern: Langwierige Aufträge an die IT erübrigen sich; anstatt Codezeilen zu tippen, können die Citizen Developer mit grafischen Elementen arbeiten. Und sie brauchen nicht auf den Compiler zu warten, um Ergebnisse zu sehen.

Aus Sicht der IT gibt es dagegen viele Probleme: Wenn alle ihre eigenen Anwendungen programmieren, geht der Gesamtüberblick rasch verloren. Das Microsoft-Tool „Power Apps“ beispielsweise hat über 1000 zertifizierte Konnektoren zu anderen Systemen. Dadurch könnten Security-Vorgaben ausgehebelt und sensible Daten plötzlich in die Hände von Unbefugten gelangen.

Last, but not least droht die Gefahr einer Schatten-IT, also von IT-Komponenten, die an der IT vorbei beschafft oder entwickelt werden. So verliert die IT den Überblick darüber, welche Applikationen im Unternehmen existieren. Vor allem aber kann sie nicht nachvollziehen, mit welchen anderen Systemen diese interagieren. Die Konsequenzen dieser „IT-Anarchie“ reichen von relativ unkritischen Doppelentwicklungen über Zuständigkeitskonflikte bis hin zu ernsthaften Security- und Privacy-Verletzungen.

Verwaltung – Überwachung – Warnung

Was hier fehlt, ist eine umfassende Governance, welche auch die vom Citizen Developer entwickelten Applikationen einschließt. Auf eine kurze Formel gebracht, empfehlen wir: verwalten, überwachen und warnen.

Zunächst geht es darum, die Umgebung zu verstehen und eine unternehmensspezifische Strategie zu entwickeln. Es muss zum Beispiel dafür gesorgt sein, dass die Umgebung nicht ausufert. Zum Komplex „Verwalten“ gehört auch ein rollenbasiertes Berechtigungskonzept. Hier wird festgelegt, welche Personen welche Daten nutzen dürfen. Entsprechend müssen bestimmte Konnektoren, etwa zu den HR-Systemen, für die Applikationen ausgeschaltet werden.

Ergänzend kann die Governance, also diejenigen Mitarbeiter:innen, die für die Verwaltung von eigenen Applikationen zuständig und meist in der IT angesiedelt sind, Regeln für den Umgang mit bestimmten Datentypen definieren. Vielleicht beschließt sie aber auch, kritische Daten nicht in der Microsoft-eigenen Datenplattform „Dataverse“, sondern zum Beispiel in einer gesonderten SQL-Datenbank zu halten. Ein weiterer Punkt betrifft die Bereitstellungsumgebungen (etwa DEV, TEST oder PROD). Inwieweit muss die gemeinsame Nutzung derselben Entwicklungsumgebung eventuell eingeschränkt werden? Gleichzeitig kann auf einer Testumgebung dem Citizen Developer mehr Freiraum gegeben werden.

Nutzungsrichtlinien, mit denen Sicherheits- und Compliance-Maßnahmen durchgesetzt werden sollen, sind selbstverständlich nur dann sinnvoll, wenn ihre Berücksichtigung auch überwacht wird. Die Einhaltung einiger Regeln lässt sich mit technischen Mitteln sicherstellen, beispielsweise durch das Ausschalten von Konnektoren. Compliance-Regeln werden hingegen oft unwissentlich verletzt. In diesem Fall sollte die Governance umgehend eine Warnung erhalten. Solche Alerts lassen sich für die übergeordnete IT einrichten.

Zwei Varianten des Umgangs mit No-Code

Im Prinzip gibt es zwei prototypische Vorgehensweisen für den Umgang mit No-Code-Entwicklungen: Entweder das Unternehmen erlaubt erst einmal alles und schränkt die Freiheit ein, sobald es Probleme gibt. Oder das Unternehmen untersagt zunächst alles und gibt dann Schritt für Schritt – nach sorgfältiger Risiko-Nutzen-Abwägung – bestimmte Anwendungsbereiche unter Auflagen frei. Große Unternehmen werden vermutlich eher die zweite Variante wählen, während Start-ups zur ersten tendieren. Unsere Erfahrungen zeigen auch, dass es schwieriger ist die Privilegien über Zeit zu entziehen, anstatt bedarfsorientiert Funktionen freizuschalten.

Wie strikt die Governance gehandhabt wird, hängt ebenfalls von Art und Größe des Unternehmens ab.

  • Unternehmen aus dem nicht-kritischen Umfeld verhalten sich hier vermutlich eher liberal. Das gilt insbesondere, wenn es sich um kleine Personal-Productivity-Tools für einen überschaubaren Anwenderkreis handelt.
  • In Unternehmen, die stärker durch Aufsichtsgremien reguliert sind, sieht das sicher anders aus. Hier muss meist die Firmen-IT-Strategie verfolgt werden, damit die App beispielsweise eine Bezeichnung nach den unternehmensweiten Namenskonventionen erhält und den unternehmensweiten Security- und Compliance-Regeln entspricht.
  • Enterprise Applications, also Software, die für die Nutzung durch ganze Unternehmen und nicht einzelne User konzipiert ist und meist mehrere Programme umfasst, sind ein Thema für sich. In den meisten Fällen erfordern sie eine Projektplanung, die Themen wie Datensicherheit, Privacy und Compliance berücksichtigt. Von daher wird diese Art der Anwendungen eher selten mit No-Code-Tools erstellt, obwohl das mit der entsprechenden Governance durchaus möglich wäre.

Ein effektives Mittel, um Governance durchzusetzen, ist ein Center of Excellence (CoE). Dazu finden Sie mehr in diesem Artikel.

Quelle Titelbild: AdobeStock/lexiconimages

Verwandte Einträge

Implizites Wissen mit Low-Code explizit erfassen

Low-Code-Entwicklung eignet sich nur für kleine Apps im Bereich der persönlichen Produktivität? Ein Vorurteil, das wir nicht bestätigen können. Unsere Kunden nutzen Low-Code-A...

Mehr erfahren

Mit Analytics lässt sich Digital Adoption zielgerichtet einsetzen

Wie ich in einem vorhergehenden Artikel zeige, bringt es Unternehmen voran, wenn die User Unterstützung bei der persönlichen Einarbeitung in ihre digitalen Arbeitswerkzeuge erhal...

Mehr erfahren

Center of Excellence als Katalysator für die Nutzung von No-Code-Plattformen

Auch mit No-Code-Lösungen entwickelte Anwendungen müssen den unternehmensweiten Anforderungen an Security, Privacy und Compliance genügen. Ein Center of Excellence (CoE) kann di...

Mehr erfahren

Welche Ziele verfolgt der AI Act?

Seit einigen Jahren fokussieren sich die Gesetzgeber in der Europäischen Union (EU) auf die Regulierung der künstlichen Intelligenz (KI). Aktuell wird der AI ACT in den EU-Gremie...

Mehr erfahren

Digital Adoption spart Aufwand für Training und Support

Arbeitszeitverluste von mehreren Stunden bis zu einem vollen Arbeitstag pro Woche gehen auf das Konto der immer komplexeren und kaum noch beherrschbaren Tool-Umgebungen. Schon desh...

Mehr erfahren

Die Transformationskraft von IT: Wie ich mir die Zukunft im Jahr 2014 vorgestellt habe – und wie die Welt heute wirklich ist

Wie wird die Zukunft aussehen? Mit dieser Frage beschäftige ich mich als metafinanz-CEO ständig. Bereits vor zehn Jahren bin ich dazu eine Wette eingegangen und habe meine Vision...

Mehr erfahren