Prozessautomatisierung · Low-Code · No-Code
Low-Code/No-Code Governance
Strukturiertes Governance-Framework für Low-Code/No-Code-Plattformen: Authentifizierung, SIEM-Integration, sichere Konfiguration und Vulnerability Scans.
Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.
Management-Zusammenfassung
- Low-Code/No-Code-Plattformen erfordern eine eigene Governance mit Authentifizierung, SIEM-Integration und Konfigurationsmanagement.
- Komponenten-Inventar und Vulnerability Scans sind für alle Low-Code-Anwendungen verpflichtend.
- Revisionssichere Dokumentation und Vier-Augen-Prinzip für alle Deployment-Änderungen.
Governance-Register
| Feld | Anforderung | Status |
|---|---|---|
| Authentifizierung | Integration mit zentralem Identity Provider (SSO/SAML/OIDC). Keine lokalen Benutzerkonten. MFA für alle Benutzer mit Schreibzugriff. | Pflicht |
| SIEM-Integration | Alle Plattform-Aktivitäten (Login, Deployment, Konfigurationsänderungen) werden an das zentrale SIEM übertragen. | Pflicht |
| Sichere Konfiguration | Plattform-Konfiguration nach Hersteller-Härtungsleitfaden. Regelmäßige Konfigurationsaudits (90-Tage-Zyklus). | Pflicht |
| Input/Output-Kontrollen | Validierung aller Inputs und Outputs von Low-Code-Anwendungen. Keine ungefilterte Datenweitergabe an externe Systeme. | Pflicht |
| Komponenten-Inventar | Vollständiges Inventar aller verwendeten Komponenten, Plugins und Konnektoren mit Version und Herkunft. | Pflicht |
| Vulnerability Scans | Regelmäßige Vulnerability Scans aller Low-Code-Anwendungen und ihrer Laufzeitumgebungen. Patch-Management nach SLA. | Pflicht |
| Dokumentation | Revisionssichere Dokumentation aller Änderungen, inklusive Genehmigungs-Workflow (Vier-Augen-Prinzip) vor Deployment. | Pflicht |
| Schulung und Training | Low-Code-Entwickler erhalten verpflichtende Sicherheitsschulungen zu Plattform-Härtung, Konfigurationsmanagement und I/O-Kontrollen. | Empfohlen |