Geschwindigkeit sowie Sicherheit in Einklang bringen und dabei digitale Innovation nachhaltig im Unternehmen verankern

„Schatten-IT“, Low-Code-Plattformen und KI-generierte Mitarbeiter-Software sind eine zunehmende Herausforderung für Unternehmen – Dr. Johann Sell erörtert, wie diese die Kontrolle zurückgewinnen können

[datensicherheit.de, 14.03.2026] „Low-Code- und No-Code-Plattformen haben die Art und Weise, wie Software entsteht, grundlegend verändert. Fachabteilungen können heute selbst Anwendungen entwickeln, Prozesse automatisieren und digitale Lösungen schaffen – oft ohne klassische Programmierkenntnisse“, erläutert Dr. Johann Sell, „Software Development Team Lead“ bei der mip Consult GmbH, in seiner aktuellen Stellungnahme. Er beleuchtet die Herausforderungen für Unternehmen in Bezug auf digitale Anwendungen ohne klassische Programmierung: „Das steigert Geschwindigkeit und Innovationskraft enorm. Gleichzeitig steigt das Risiko eines unkontrollierten Wildwuchses solcher Eigenentwicklungen in Organisationen.“ Die Folge wäre demnach eine neue Form der „Schatten-IT“, welche erhebliche Bedrohung für Sicherheit, Datenschutz und „Compliance“ berge.

Foto: mip Consult GmbH

Dr. Johann Sell: Low-Code ist kein Risiko, sondern ein Werkzeug. Die Frage ist nicht, ob Unternehmen es nutzen sollten, sondern wie.

Unternehmen mit massiven Angriffsflächen sowohl für Cyberattacken als auch regulatorische Verstöße

Das Kernproblem sei fehlende Transparenz: „Existiert etwa eine Vielzahl selbstentwickelter ,Tools’, von denen die zentrale IT keine Kenntnis hat, kommt es zu Problemen. Niemand weiß dann genau, welche Daten verarbeitet werden, ob sie verschlüsselt sind, wo sie gespeichert werden oder wer Zugriff darauf hat.“

• Besonders kritisch würde es, wenn personenbezogene Daten, vertrauliche Kundeninformationen oder Geschäftsgeheimnisse in solchen Anwendungen landeten.

Ohne technische Schutzmaßnahmen, Dokumentation und klare Verantwortlichkeiten entstünden so massive Angriffsflächen, sowohl für Cyberattacken als auch für regulatorische Verstöße.

Verzahnung elementar zur Integration mit bereits bestehender Unternehmenssoftware

Hinzu komme die Gefahr von Abhängigkeiten: „Werden beispielsweise Low-Code-Lösungen von einzelnen Mitarbeitenden erstellt, ohne saubere Übergabe oder Wartungskonzept, treten schnell Probleme auf. Verlässt diese Person dann das Unternehmen, bleibt eine geschäftskritische Anwendung zurück, die niemand versteht. Technische Schulden, Sicherheitslücken und Betriebsrisiken sind die Folge.“

• Zudem trete das Risiko auf, dass Integrationen mit anderer bestehender Unternehmenssoftware – etwa einer zentralen „Consent-and-Preference-Management-Platform“ (CPMP) – nicht mitgedacht oder aufgrund der Komplexität bewusst missachtet werde.

„Gerade beispielsweise CPMP müssen stark integriert sein, um die geforderte Einwilligungsdokumentation korrekt durchzuführen!“ Verbote seien jedoch keine Lösung. Sell gibt zu bedenken: „Wer Low-Code-Plattformen pauschal untersagt, fördert ,Schatten-IT’ nur weiter, denn die fachlichen Anforderungen bleiben bestehen. Stattdessen braucht es einen strukturierten Ansatz: Unternehmen müssen klare Rahmenbedingungen schaffen, die Innovation ermöglichen und gleichzeitig Sicherheit gewährleisten!“

Unternehmen sollten Mitarbeiter befähigen, sichere und regelkonforme Anwendungen zu entwickeln

Dazu gehörten verbindliche „Governance“-Modelle, definierte Freigabeprozesse, Sicherheitsstandards und dokumentierte Entwicklungsrichtlinien für Fachabteilungen sowie ein technisches „Framework“, welches zentral bereitgestellt wird und Integration ermöglicht und vereinfacht.

• Ein wichtiger Erfolgsfaktor sei die enge Zusammenarbeit zwischen IT, Datenschutz und Fachbereichen. „Die IT sollte nicht als ,Gatekeeper’ auftreten, sondern als ,Enabler’!“

Ziel müsse es sein, geprüfte und in die bestehende Systemlandschaft integrierte Plattformen bereitzustellen, Schulungen anzubieten und Beratung zu leisten. So könnten Mitarbeiter befähigt werden, sichere und regelkonforme Anwendungen zu entwickeln, statt im Verborgenen eigene Lösungen zu bauen.

Unternehmen sollten lernen, Kontrolle nicht durch Verbote, sondern durch Transparenz und Zusammenarbeit zu gewinnen

Auch Datenschutz müsse von Anfang an mitgedacht werden. „Privacy-by-Design“, Datenminimierung und klare Zweckbindungen dürften nicht erst im Nachhinein betrachtet werden. Jede Low-Code-Anwendung sollte dokumentiert, bewertet und regelmäßig überprüft werden.

• Datenschutz-Folgenabschätzungen könnten helfen, Risiken frühzeitig zu erkennen und gezielt gegenzusteuern. „Letztlich geht es um einen kulturellen Wandel!“, unterstreicht Sell. Unternehmen müssten lernen, Kontrolle nicht durch Verbote, sondern durch Transparenz und Zusammenarbeit zu gewinnen. „Wenn Fachabteilungen und IT auf Augenhöhe arbeiten, sinkt die Motivation für ,Schatten-IT‘ deutlich.“

So gelinge es, Geschwindigkeit und Sicherheit in Einklang zu bringen und dabei digitale Innovation nachhaltig im Unternehmen zu verankern. Sell erläutert abschließend: „Low-Code ist kein Risiko, sondern ein Werkzeug. Die Frage ist nicht, ob Unternehmen es nutzen sollten, sondern wie. Wer klare Strukturen und Integrationen schafft, Verantwortlichkeiten definiert und Sicherheit konsequent integriert, kann das volle Potenzial ausschöpfen, ohne die Kontrolle zu verlieren. Auch für Nutzer entstehen so Vorteile, indem etwa gut integrierte CPMPs für Informationsübertragungen ohne Zeitverlust sorgen.“

Weitere Informationen zum Thema:

mip Consult GmbH
Wir arbeiten für Ihre Ziele.Ihr Business.Ihren Erfolg.

Linkedin
Dr. Johann Sell / Business Process Support by appropriate Collaboration Software | CSCW Designer | Socio-technical Perspective

datensicherheit.de, 24.09.2025
Workarounds und Schatten-IT: Streben nach Produktivität kann Sicherheitsrisiko erhöhen / Wenn Mitarbeiter Wege finden, Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden diese oftmals „kreative“, gleichwohl potenziell gefährliche Lösungen, um trotzdem weiterarbeiten zu können

datensicherheit.de, 28.05.2024
Schatten-KI und EU AI Act: Unternehmen müssen sich den Herausforderungen zeitnah stellen / Philipp Adamidis nimmt Stellung zu Aspekten der erfolgreichen KI-Transformation

datensicherheit.de, 16.11.2022
Schatten-IT verhindern: Datensicherheit und Nutzerfreundlichkeit in Einklang bringen / Durch geeignete IT-Lösungsangebote für Mitarbeiter die Verwendung illegaler Software reduzieren und die Datensicherheit stärken

datensicherheit.de, 16.12.2021
Schatten-IoT in Unternehmen: Nur höchstens 50 Prozent kennen Anzahl ihrer Assets / Armis rät den Entscheidungsträgern in Unternehmen, auf einfache Gesamtlösungen für ihr Asset-Management zu setzen