In vielen Unternehmen entstehen heute Anwendungen außerhalb der IT-Abteilungen – schnell, pragmatisch und oft ohne ausreichende Kontrolle. So haben No-Code- und Low-Code-Plattformen die Art und Weise, wie Software entsteht, grundlegend verändert. Fachabteilungen können heute selbst Anwendungen entwickeln, Prozesse automatisieren und digitale Lösungen schaffen, ohne dass sie klassische Programmierkenntnisse besitzen. Das steigert Geschwindigkeit und Innovationskraft enorm.
„Mit dieser Entwicklung steigt jedoch auch das Risiko eines unkontrollierten Wildwuchses solcher Eigenentwicklungen in Organisationen. Daraus resultiert eine neue Form der Schatten-IT, die erhebliche Risiken für Sicherheit, Datenschutz und Compliance birgt. Das Kernproblem ist fehlende Transparenz. Wenn eine Vielzahl selbstentwickelter Tools existiert, von denen die zentrale IT keine Kenntnis hat, kommt es oft zu Problemen: Dann ist unklar, welche Daten verarbeitet werden, wo sie gespeichert sind und wer Zugriff hat“, weiss Dr. Johann Sell von mip Consult.
Besonders kritisch wird es, wenn personenbezogene Daten, vertrauliche Kundeninformationen oder Geschäftsgeheimnisse in solchen Anwendungen landen. Ohne technische Schutzmaßnahmen, Dokumentation und klare Verantwortlichkeiten entstehen dann massive Angriffsflächen – sowohl für Cyberangriffe als auch für regulatorische Verstöße.
Wenn Anwendungen niemandem gehören
Hinzu kommt die Gefahr von Abhängigkeiten: Werden beispielsweise Low-Code-Plattformen von einzelnen Mitarbeitenden genutzt, ohne saubere Übergabe oder Wartungskonzept, treten schnell Probleme auf. Verlässt diese Person das Unternehmen, bleibt eine geschäftskritische Anwendung zurück, die niemand versteht. Technische Schulden, Sicherheitslücken und Betriebsrisiken sind so vorprogrammiert.
Zudem besteht das Risiko, dass Integrationen mit bestehender Unternehmenssoftware nicht mitgedacht werden. Gerade zentrale Systeme für Einwilligungs- und Präferenzmanagement müssen sauber integriert sein, um regulatorische Anforderungen zu erfüllen. Fehlt diese Verzahnung, entstehen Medienbrüche und Inkonsistenzen.
Warum ein Verbot von Low-Code-Plattformen das Problem nur verschärft
Verbote sind hier leider kontraproduktiv. Wer Low-Code-Plattformen pauschal untersagt, fördert Schatten-IT nur weiter, denn die fachlichen Anforderungen bleiben weiter bestehen. Schatten-IT entsteht nicht aus Trotz, sondern aus Bedarf.
Stattdessen braucht es einen strukturierten Ansatz: Unternehmen müssen klare Rahmenbedingungen schaffen, die Innovation ermöglichen und gleichzeitig Sicherheit gewährleisten. Dazu gehören verbindliche Governance-Modelle, definierte Freigabeprozesse, Sicherheitsstandards und dokumentierte Entwicklungsrichtlinien für Fachabteilungen sowie ein technisches Framework, das zentral bereitgestellt wird und Integration erleichtert.
Ein wichtiger Erfolgsfaktor ist die enge Zusammenarbeit zwischen IT, Datenschutz und Fachbereichen. Die IT sollte nicht als Gatekeeper auftreten, sondern als Enabler. Das Ziel muss es sein, geprüfte und in die bestehende Systemlandschaft integrierte Plattformen bereitzustellen, Schulungen anzubieten und Beratung zu leisten. So können Mitarbeitende befähigt werden, sichere und regelkonforme Anwendungen zu entwickeln, statt im Verborgenen eigene Lösungen zu bauen.
Kontrolle durch Transparenz statt durch Restriktion
Auch Datenschutz muss von Anfang an mitgedacht werden. Privacy-by-Design, Datenminimierung und klare Zweckbindungen dürfen nicht erst im Nachhinein betrachtet werden. So sollte jede Low-Code-Anwendung dokumentiert, bewertet und regelmäßig überprüft werden. Datenschutz-Folgenabschätzungen helfen, Risiken frühzeitig zu erkennen und gezielt gegenzusteuern.
Letztlich geht es um einen kulturellen Wandel. Unternehmen müssen lernen, Kontrolle nicht durch Verbote, sondern durch Transparenz und Zusammenarbeit zu gewinnen. Wenn Fachabteilungen und IT auf Augenhöhe arbeiten, sinkt die Motivation für Schatten-IT deutlich. So gelingt es, Geschwindigkeit und Sicherheit in Einklang zu bringen und digitale Innovation nachhaltig im Unternehmen zu verankern. Low-Code-Plattformen sind dabei kein Risiko, sondern ein Werkzeug. Die entscheidende Frage ist nicht, ob Unternehmen es nutzen – sondern wie sie es nutzen. Wer klare Strukturen schafft, Verantwortlichkeiten definiert und Sicherheit konsequent integriert, kann das volle Potenzial ausschöpfen, ohne die Kontrolle zu verlieren.