Wenn No-Code zum Anwendungsrisiko wird

Bubble AI, Glide AI, Softr AI, Webflow AI, Wix AI und Framer AI verkürzen den Weg von der Idee bis zur Veröffentlichung, beseitigen jedoch nicht die Anwendungsrisiken. Im Gegenteil: Sie verlagern diese oft in Konfigurationen, Berechtigungen, Sichtbarkeitsregeln, öffentliche Formulare, Workflows und Integrationen. Diese werden oft nicht wie Code behandelt, obwohl sie das gleiche Schadenspotenzial wie eine Sicherheitslücke haben.

Es geht nicht darum, ob KI für die Entwicklung nützlich oder gefährlich ist. Die Frage ist viel praktischer: Welche Kontrollen sind erforderlich, wenn ein durch KI generiertes oder beschleunigtes Ergebnis in ein Produkt, einen Unternehmens-Workflow oder eine Umgebung mit echten Daten einfließt? Dieser Artikel richtet sich an Gründer, CTOs, Entwickler sowie IT- und Security-Teams und konzentriert sich auf fehlerhaft verwaltete Authentifizierung, Berechtigungen auf Datensatzebene (Record-level permissions), öffentliche Formulare, Datei-Uploads, API-Integrationen, Automatisierungen mit personenbezogenen Daten und Shadow IT.

[Callforaction-WAPT]

Warum eine funktionierende App nicht zwangsläufig sicher ist

KI-Tools komprimieren die Zeit, die für die Erstellung von Code, Schnittstellen, Workflows und Konfigurationen benötigt wird. Diese Geschwindigkeit kann jedoch dazu führen, dass Schritte übersprungen werden, die Software zuverlässig machen: Threat Modeling, Reviews, Geheimnisverwaltung (Secret Management), Rollenkontrolle, Eingabevalidierung, Überprüfung von Abhängigkeiten und manuelle Tests kritischer Pfade.

Eine Demo funktioniert mit einem einzigen Benutzer, fiktiven Daten und impliziten Berechtigungen. Dieselbe Logik kann versagen, wenn echte Kunden, mehrere Mandanten (Tenants), verschiedene Rollen, öffentliche APIs, Integrationen, personenbezogene Daten, Zahlungen oder Automatisierungen mit externen Auswirkungen hinzukommen. Deshalb muss die Sicherheit am tatsächlichen Verhalten der App bewertet werden und nicht an dem Versprechen des Tools, das sie generiert hat.

Das Risiko liegt in der Konfiguration, nicht nur im Code

Bei Bubble, Glide, Softr, Webflow, Wix oder Framer liegt das Problem selten in einer einzelnen verwundbaren Codezeile. Häufiger handelt es sich um eine fehlende Zugriffsregel, ein exponiertes Formular, eine Datenbank, die ohne Authentifizierung lesbar ist, eine öffentliche Datei oder eine Automatisierung, die Daten an den falschen Dienst sendet. Diese Elemente erscheinen nicht in einer herkömmlichen Quellcode-Überprüfung, haben aber dieselben Auswirkungen wie eine kritische Schwachstelle.

Shadow IT und personenbezogene Daten

No-Code-Apps entstehen oft im Marketing, im operativen Geschäft oder in Fachabteilungen, außerhalb des IT-Perimeters. Wenn sie personenbezogene Daten, Anhänge, Verträge, Leads oder Kundeninformationen sammeln, müssen sie unter die Governance der IT/Security gestellt werden, auch wenn sie nicht über ein Repository laufen. Das Fehlen von benutzerdefiniertem Code ist nicht gleichbedeutend mit dem Fehlen von Risiko: Es bedeutet lediglich ein Fehlen von Sichtbarkeit.

Wie man eine No-Code-App testet

Die Überprüfung muss Benutzer mit verschiedenen Rollen, Datensätze verschiedener Kunden, öffentliche Links, Uploads, Exporte, Endpunkte, Automatisierungen, Integrationen und Admin-Panels einbeziehen. Ein Blick auf die Schnittstelle allein reicht nicht aus: Viele Schwachstellen treten erst zutage, wenn reale Verhaltensweisen mit unterschiedlichen Anmeldeinformationen simuliert werden oder wenn direkt auf die zugrunde liegenden Endpunkte zugegriffen wird.

Wichtige zu prüfende Risiken

• Fehlende Berechtigungen auf Datensatzebene: Überprüfung der Konfiguration, des Verhaltens zur Laufzeit und der Auswirkungen auf die echten Daten verschiedener Kunden.
• Öffentliche Formulare, die missbraucht werden können oder anfällig für Spam sind: Überprüfung auf Exposition, fehlendes Rate Limiting und die Möglichkeit der unbefugten Dateneingabe.
• Datei-Uploads ohne Kontrollen: Überprüfung von Typ, Größe, Zielort und öffentlicher Zugänglichkeit der hochgeladenen Dateien.
• Geteilte Links, die Daten offenlegen: Überprüfung, ob generierte Links erratbar sind, keine Authentifizierung erfordern oder kein Ablaufdatum haben.
• Workflows, die Daten an Dritte senden: Überprüfung der Empfänger, Aktivierungsbedingungen und der bei jeder Automatisierung übertragenen Daten.
• API-Keys in nicht verwalteten Integrationen: Überprüfung, wo diese gespeichert sind, wer sie lesen kann und ob sie regelmäßig rotiert werden.
• Admin-Rollen für Business-User: Überprüfung, welche Aktionen serverseitig blockiert sind und nicht nur in der Benutzeroberfläche.

Diese Risiken müssen mit dem konkreten Perimeter verknüpft werden. Eine exponierte App erfordert manuelle Anwendungstests; eine kritische Codeänderung erfordert ein Review; ein interner Workflow erfordert die Kontrolle von Berechtigungen und Zugangsdaten. Die richtige Kombination hängt von der Auswirkung ab, nicht vom Namen des Tools.

Mindestkontrollen vor dem Go-Live

• Kartierung von Benutzern, Rollen, echten Daten, Integrationen, Umgebungen und Dienstverantwortlichen.
• Identifizierung der Teile, die mit KI generiert oder modifiziert wurden, und wer diese überprüft hat.
• Überprüfung von serverseitigen Berechtigungen, Mandantentrennung (Tenant Isolation) und administrativen Funktionen.
• Suche nach Geheimnissen (Secrets) in Code, Prompts, Logs, Umgebungsvariablen, Builds und Repository-Historien.
• Überprüfung von Abhängigkeiten, Lizenzen, Paketen, Vorlagen, Plugins und generierten Komponenten.
• Testen von feindlichen Eingaben, Fehlerbehandlung, Logging, Rate Limiting und nicht vorgesehenen Pfaden.
• Trennung von blockierenden Fixes, geplanter Behebung und akzeptiertem Restrisiko.
• Wiederholung des Tests oder Retests nach Korrekturen, die kritische Abläufe betreffen.

Wann ist eine unabhängige Überprüfung erforderlich?

Eine unabhängige Überprüfung ist erforderlich, wenn die App oder der Workflow echte Daten, externe Benutzer, Rollen, APIs, Unternehmensintegrationen, Zahlungen, Speicher, automatische Workflows oder kritischen, durch KI generierten Code verarbeitet. Sie ist auch dann notwendig, wenn das Team nicht nachweisen kann, welche Teile überprüft wurden und welche Kontrollen Regressionen oder Missbrauch verhindern.

Für solche Kontexte umfasst das von ISGroup empfohlene Vorgehen das Vulnerability Assessment, das Web Application Penetration Testing und, wenn der Entwicklungszyklus es erfordert, die Code Review. Das beste Review ist nicht generisch: Es muss reproduzierbare Ergebnisse, Prioritäten für die Behebung, Angaben zum Restrisiko und bei Bedarf Retests nach den Korrekturen liefern.

Operative Fragen für Gründer, CTOs und Security-Teams

• Welche echten Daten gelangen in das System und wo werden sie gespeichert, protokolliert oder versendet?
• Welche Rollen existieren und welche Aktionen sind serverseitig blockiert, nicht nur in der Benutzeroberfläche?
• Welche Geheimnisse, Token, Webhooks oder Zugangsdaten würden den Zugriff auf kritische Systeme ermöglichen?
• Welche Teile wurden von der KI generiert oder modifiziert und welche wurden von einer kompetenten Person überprüft?
• Welche Tests decken Missbrauch, Fehler, verschiedene Rollen und verschiedene Mandanten ab, nicht nur den “Happy Path”?
• Welche Nachweise können Kunden, Audits, dem Einkauf oder der Geschäftsführung vorgelegt werden?

FAQ

• Kann No-Code Anwendungsschwachstellen aufweisen?
• Ja. Berechtigungen, Formulare, Uploads, Integrationen, Daten und Automatisierungen können Informationen offenlegen oder unbefugte Aktionen ermöglichen, unabhängig davon, ob benutzerdefinierter Code vorhanden ist oder nicht.
• Ist ein WAPT erforderlich, wenn kein benutzerdefinierter Code vorhanden ist?
• Ja, wenn die App exponiert ist und echte Daten verarbeitet. Der Test überprüft das Verhalten, die Berechtigungen und die Angriffsflächen, nicht nur den Quellcode.
• Was ist die wichtigste Kontrolle?
• Die Überprüfung der Berechtigungen auf Datensatzebene und der Rollen mit verschiedenen Benutzern, insbesondere bei Kundendaten und administrativen Funktionen.
• Wie verwaltet man Apps, die von Fachabteilungen erstellt wurden?
• Durch ein Inventar, Datenklassifizierung, IT/Security-Freigabe, Regeln für Integrationen und eine dem tatsächlichen Risiko angemessene Bewertung.
• Wann reicht ein VA aus und wann ist ein WAPT notwendig?
• Das VA hilft bei Exposition und Konfigurationen; das WAPT ist notwendig, um Anwendungsabläufe, Rollen, Daten und den Missbrauch von Funktionen zu analysieren.

[Callforaction-WAPT-Footer]

Nützliche weiterführende Informationen

• Durch KI generierte Shadow IT: Wie man KI-Tools erkennt und steuert, die außerhalb des IT-Perimeters des Unternehmens eingeführt wurden.
• Sicherheitskontrollen vor dem Go-Live: Operative Checkliste zur Überprüfung einer KI-App oder eines Workflows vor der Inbetriebnahme.
• Exponierte Datenbanken beim Vibe Coding: Risikoanalyse der spezifischen Datenexposition in Apps, die mit Vibe-Coding-Ansätzen generiert wurden.

Quellen und Referenzen

• OWASP Top 10 2021
• OWASP ASVS
• OWASP Code Review Guide
• NIST SP 800-218 SSDF
• Bubble security
• Glide security