Low-Code-Plattformen wie Microsoft Power Apps oder OutSystems sind längst kein Nischenthema mehr. Fachabteilungen bauen damit eigenständig Apps — ohne IT-Abteilung, ohne Freigabeprozess, oft ohne Datenschutz. Was gut gemeint ist, schafft eine neue Dimension der Schatten-IT. Und die ist gefährlicher als ihr Vorgänger.
Die Idee klingt verlockend. Eine Vertriebsmitarbeiterin baut sich in ein paar Stunden eine kleine Tracking-App für Kundentermine. Der Kollege aus der Logistik digitalisiert seinen Lagercheck per Formular-Tool. Die HR-Abteilung automatisiert den Onboarding-Prozess — alles ohne eine einzige Zeile Code, ohne Ticket beim IT-Support, ohne wochenlange Abstimmung. Low-Code und No-Code machen das möglich. Und genau hier liegt das Problem.
Denn hinter der schnellen Lösung lauern Risiken, die in vielen Unternehmen völlig unterschätzt werden. Personenbezogene Daten landen in unkontrollierten Systemen. Verschlüsselung? Fehlt. Wer hat Zugriff auf was? Unklar. Und wenn die Person, die die App gebaut hat, das Unternehmen verlässt, steht eine geschäftskritische Anwendung ohne Wartung und ohne Dokumentation da. Willkommen in der neuen Schatten-IT.
Schatten-IT ist kein neues Phänomen. Schon seit Jahrzehnten nutzen Mitarbeitende Software, die die IT-Abteilung weder kennt noch freigeschaltet hat. Laut einer WatchGuard-Studie sind 65 Prozent der Unternehmen mit Schatten-IT von Datenverlust betroffen, 62 Prozent berichten von mangelnder Transparenz und Kontrolle, 52 Prozent von konkreten Datenschutzverletzungen.
Früher war das meist ein Dropbox-Account für große Dateien oder ein privates Gmail für schnelle Absprachen. Lästig, aber beherrschbar. Low-Code verändert die Dimension grundlegend: Jetzt geht es nicht mehr um einen einzelnen Datei-Upload, sondern um vollständige Geschäftsanwendungen, die Daten speichern, verarbeiten und weitergeben — außerhalb jeder IT-Kontrolle.
Deutschland gilt laut aktuellem Darktrace-Report als Europas Hackerziel Nummer eins — und unbekannte Eigenlösungen in Fachabteilungen vergrößern die Angriffsfläche erheblich.
Dr. Johann Sell, Software Development Team Lead bei der mip Consult GmbH, beschäftigt sich intensiv mit der Frage, wie Unternehmen Low-Code sicher einsetzen können. Sein Befund ist eindeutig:
„Low-Code ist kein Risiko, sondern ein Werkzeug. Die eigentliche Gefahr liegt im fehlenden Governance-Rahmen — nicht in der Technologie selbst.“
Das klingt simpel, hat aber weitreichende Konsequenzen. Denn die meisten Unternehmen haben bisher keine Antwort auf die Frage: Was passiert eigentlich mit den Daten in diesen Apps? Wo werden sie gespeichert? Welche externen Dienste greifen darauf zu? Und: Entspricht das den Anforderungen der DSGVO nach den Grundsätzen der Datenminimierung gemäß Art. 5 DSGVO?
Die Antwort ist in der Praxis häufig: niemand weiß es. Weil niemand gefragt hat. Weil es keinen Prozess gibt, der das sicherstellt.
Gartner schätzt, dass der Low-Code-Markt bis 2029 auf rund 58 Milliarden US-Dollar anwachsen wird — mit einem zweistelligen jährlichen Wachstum. In der DACH-Region verzeichnet die Branche laut Marktbeobachtern ein jährliches Plus von rund 25 Prozent. Der sogenannte „Citizen Developer“ — also der fachliche Mitarbeitende, der selbst Software entwickelt — wird von Plattformanbietern aktiv als Zukunftsmodell vermarktet.
Das Modell funktioniert. Aber es braucht Leitplanken.
Konkret bedeutet das: Wer in seiner Buchhaltungs-App Namen, Kontonummern oder Gehaltsangaben von Kolleginnen und Kollegen verarbeitet, bewegt sich unmittelbar im Geltungsbereich der DSGVO. Ohne Datenschutz-Folgenabschätzung, ohne Verarbeitungsverzeichnis, ohne Löschkonzept. Was das konkret für Unternehmen bedeutet, zeigt sich deutlich im Spannungsfeld zwischen Datenschutz und datenbasierten Dienstleistungen.
Besonders kritisch: Manche Low-Code-Plattformen sind als SaaS-Dienste konzipiert, bei denen Daten auf Servern außerhalb der EU verarbeitet werden. Wer das nicht aktiv prüft, riskiert Bußgelder — und schlimmer noch: einen handfesten Vertrauensverlust bei Kunden und Partnerunternehmen.
Ein Szenario, das in der Praxis immer wieder vorkommt: Eine engagierte Mitarbeiterin baut über Monate hinweg eine komplexe Anwendung für das Qualitätsmanagement. Die App wächst, andere Abteilungen hängen von ihr ab. Dann verlässt die Kollegin das Unternehmen. Was bleibt, ist eine geschäftskritische App, die niemand sonst versteht, deren Logik kaum dokumentiert ist und die in keiner IT-Landschaft offiziell registriert ist.
Das ist nicht Pech. Das ist ein strukturelles Problem. Und es wird durch die Leichtigkeit, mit der Low-Code-Tools Apps erzeugen, aktiv befeuert. Genau deshalb plädiert Dr. Sell für Governance-Modelle, die von Anfang an mitgedacht werden — nicht als Nachbesserung, wenn das Kind schon in den Brunnen gefallen ist.
Zur Governance gehört dabei nicht nur ein Prozess für die Freigabe neuer Anwendungen. Es braucht auch klare Zuständigkeiten für Wartung und Weiterentwicklung, Übergabe-Protokolle bei Personalwechseln und eine Dokumentationspflicht für alle geschäftskritischen Apps, egal wie klein sie wirken.
Ein weiteres Kernthema ist der Datenschutz als Designprinzip. Privacy-by-Design — das Konzept, Datenschutz von Anfang an in die Entwicklung einzubauen statt nachträglich draufzuschrauben — ist seit der DSGVO eigentlich Pflicht. In der Low-Code-Praxis sieht das oft anders aus.
Wer eine App per Drag-and-Drop zusammenklickt, denkt selten als Erstes an Datenminimierung. Welche Felder brauche ich wirklich? Wie lange sollen diese Daten gespeichert werden? Wer soll Zugriff haben, wer nicht? Diese Fragen zu stellen und verbindlich zu beantworten, ist keine Frage der Technologie — sondern der Unternehmenskultur und der vorgelagerten Prozesse.
Für Anwendungen, die Consent-Daten verarbeiten — also Zustimmungen von Nutzern oder Kunden zu bestimmten Datenverarbeitungen — geht Dr. Sell noch einen Schritt weiter: Eine Consent-and-Preference-Management-Platform (CPMP) muss von Anfang an integriert sein. Wer das ignoriert, baut auf tönernem Fundament.
Das eigentlich Interessante an dieser Debatte ist die Frage, warum Schatten-IT überhaupt entsteht. Die ehrliche Antwort: weil die IT-Abteilung zu langsam ist. Oder als Gatekeeper wahrgenommen wird, der mehr verhindert als ermöglicht. Mitarbeitende greifen zu Tools außerhalb des IT-Kosmos, weil der offizielle Weg frustrierend komplex ist.
Verbote helfen hier nicht. Das zeigen jahrelange Erfahrungen mit früheren Schatten-IT-Wellen. Wer Cloud-Dienste oder private Software per Direktive verbietet, verlagert das Problem nur — die Nutzung geht zurück unter die Oberfläche. Transparenz leidet, Risiken steigen.
Auch bei der aktiven Cyberabwehr zeigt sich: Technische Maßnahmen allein greifen zu kurz, wenn die organisatorischen Prozesse nicht stimmen. Dasselbe gilt für Low-Code.
Der Gegenentwurf ist eine IT-Abteilung, die Low-Code aktiv einbindet: freigegebene Plattformen empfiehlt, Templates bereitstellt, Schulungen anbietet und als erste Anlaufstelle für Fragen fungiert — statt auf Anfragen mit monatelangen Evaluierungsprozessen zu reagieren. Enabler statt Gatekeeper, das ist der kulturelle Wandel, den Dr. Sell fordert.
Wie sieht ein funktionierendes Governance-Modell für Low-Code konkret aus? Es braucht nicht viele Seiten Richtlinien. Drei Kernelemente reichen als Ausgangspunkt:
Erstens: eine Liste freigegebener Plattformen. Nicht jede Low-Code-Lösung ist gleich. Manche bieten starke Datenschutzfeatures, EU-Rechenzentren und DSGVO-konforme Datenverarbeitung. Andere nicht. Die IT-Abteilung sollte zwei bis drei empfohlene Tools definieren — und erklären, warum.
Zweitens: ein schlankes Freigabeverfahren. Nicht jede kleine App braucht ein halbjähriges Audit. Aber für Anwendungen, die personenbezogene Daten verarbeiten oder in kritische Prozesse eingreifen, sollte es einen standardisierten Checkprozess geben — idealerweise in wenigen Werktagen abschließbar, nicht in Wochen.
Drittens: Dokumentationspflicht mit Eigentümerkonzept. Jede App braucht einen definierten Eigentümer — und einen Nachfolger, falls der Eigentümer wegfällt. Das klingt bürokratisch, verhindert aber die Abhängigkeitsfalle.
Was die Situation weiter verkompliziert: KI-Tools ermöglichen es inzwischen, aus einer einfachen Beschreibung heraus vollständige Anwendungen zu generieren. Was früher ein paar Stunden Low-Code-Basteln bedeutete, geht heute in Minuten — direkt aus dem Prompt heraus. Werkzeuge wie Claude Code zeigen, wie weit KI-gestützte Entwicklung bereits fortgeschritten ist.
Das Governance-Problem skaliert damit nochmals. Wer heute für freigegebene Low-Code-Plattformen klare Regeln einführt, ist gut aufgestellt für die KI-generierte App-Welle, die bereits rollt. Wer wartet, bis das Problem sichtbar wird, holt dann einen noch längeren Rückstand auf.
Schatten-IT war nie ausschließlich ein technisches Problem. Sie ist vor allem ein kulturelles und organisatorisches. Und genau deshalb ist die Lösung nicht das nächste Sicherheitstool, sondern ein gemeinsames Verständnis davon, wie Eigenentwicklungen sicher und nachhaltig in die IT-Landschaft integriert werden können. IT-Sicherheitsexpertinnen und -experten sind sich einig: Die größten Risiken entstehen nicht durch externe Angreifer allein, sondern durch unkontrollierte interne Systeme.
Low-Code ist ein Werkzeug. Wie jedes Werkzeug kann man es richtig oder falsch einsetzen. Die Entscheidung, wie man es einsetzt, liegt nicht bei der Plattform — sondern bei den Menschen und Prozessen, die dahinterstehen.
Unternehmen, die jetzt handeln, haben einen strategischen Vorteil. Denn Low-Code und KI-gestützte Entwicklung werden nicht verschwinden — sie werden zunehmen. Gartner prognostiziert, dass bis 2026 mehr als 80 Prozent der Unternehmen in irgendeiner Form Low-Code-Plattformen einsetzen werden. Wer dann bereits ein erprobtes Governance-Modell hat, kann die Produktivitätsgewinne mitnehmen, ohne die Sicherheitsrisiken zu tragen.
Wer hingegen wartet, bis der erste DSGVO-Bußgeldbescheid eintrifft oder bis eine kritische App ohne Nachfolger dasteht, zahlt doppelt: einmal für das Versäumnis, einmal für die Nachbesserung unter Zeitdruck.
Der Schlüssel liegt dabei nicht in neuen Tools oder Plattformen. Er liegt in einem gemeinsamen Verständnis zwischen IT und Fachbereichen — darüber, was erlaubt ist, was nicht, und vor allem: warum. Transparenz statt Verbote. Das ist keine Management-Phrase, sondern eine pragmatische Erkenntnis aus der Praxis.
Fachabteilungen, die wissen, welche Plattformen von der IT empfohlen werden und warum, nutzen diese auch. Sie brauchen keine Einzelfalllösungen mehr, die niemand versteht. Und die IT gewinnt Sichtbarkeit über die Systeme im Unternehmen — ohne den Anspruch, jeden Entwicklungsprozess kontrollieren zu müssen.
Das Modell des „IT as a Service“ ist nicht neu, aber im Kontext von Low-Code und Citizen Development bekommt es eine neue Aktualität. Wer es konsequent lebt, wandelt die klassische Schatten-IT von einem Risikofaktor in einen Innovationstreiber. Die Werkzeuge dafür sind da. Was fehlt, ist der Mut zur Veränderung — in der IT-Kultur, nicht in der Technologie.
Die wichtigste Maßnahme ist kein technisches Audit, sondern ein Gespräch. IT-Verantwortliche sollten aktiv auf Fachabteilungen zugehen und fragen: Welche Tools nutzt ihr gerade — offiziell und inoffiziell? Welche Prozesse habt ihr digitalisiert, die wir nicht kennen?
Die Antworten werden überraschend sein. Und das ist gut so. Denn erst wenn die Karten offen auf dem Tisch liegen, kann man gemeinsam entscheiden, welche dieser Lösungen in die offizielle IT-Landschaft überführt werden sollen, welche angepasst werden müssen und welche ersetzt werden können — durch sichere, freigegebene Alternativen.
Schatten-IT entsteht nicht aus bösem Willen. Sie entsteht, weil Mitarbeitende ihre Arbeit erledigen wollen und der offizielle Weg zu aufwändig erscheint. Wer das versteht, hört auf zu verbieten und fängt an zu gestalten. Das ist der einzig nachhaltige Weg — und er beginnt mit einem einfachen Gespräch.
