Low-Code-Plattformen ermöglichen eine schnellere Anwendungsentwicklung als je zuvor – doch sie offenbaren zunehmend gravierende Sicherheitslücken. Die jüngsten Angriffe der Shai Hulud 2-Kampagne zeigen: Die Bedrohungslage entwickelt sich rasant, und herkömmliche Schutzmechanismen greifen nicht mehr. Warum Unternehmen ihre Sicherheitsstrategien für diese Systeme jetzt neu denken müssen.
Low-Code unter Beschuss: Was hinter den Shai Hulud 2-Angriffen steckt
Im Zuge der im Jahr 2025 entdeckten Shai Hulud 2-Kampagne, einer fortgeschrittenen Bedrohung (Advanced Persistent Threat – APT), wurden mehrere Schwachstellen in populären Low-Code/No-Code-Plattformen ausgenutzt. Dabei war insbesondere die Ausnutzung von sogenannten „Service Connectors“ – vorgefertigten Modulen zur Integration externer Dienste – ein zentrales Einfallstor. Angreifer nutzten unzureichend gesicherte OAuth-Implementierungen, um persistente Zugriffstoken zu stehlen und dauerhaft Zugriff auf Unternehmensdaten in Microsoft Power Platform, OutSystems und Mendix zu erhalten.
Der ENISA Threat Landscape Report 2025 nennt erstmals Low-Code-Lösungen explizit als eigenständige Ziele koordinierter Cyberangriffe – mit dem Ranking „High“ in den Kategorien Datenexfiltration, Eskalation von Zugriffsrechten und Supply-Chain-Angriffe.
Mit dem globalen Marktvolumen von Low-Code-Plattformen, das laut Gartner im Jahr 2025 voraussichtlich 26,9 Milliarden USD übersteigen wird, gewinnen diese Systeme weiter an Bedeutung – und geraten deutlicher in den Fokus von Cyberkriminellen.
Warum Low-Code anders geschützt werden muss als klassische Software
Der zentrale Unterschied zwischen Low-Code- und traditioneller Softwareentwicklung liegt im zugrunde liegenden Paradigma: Während klassische Entwicklungsumgebungen ein tiefes technisches Verständnis erfordern und meist in kontrollierten DevSecOps-Pipelines ausgeführt werden, begünstigen Low-Code-Plattformen eine Demokratisierung der Entwicklung. Fachbereiche können Anwendungen oft ohne Unterstützung von IT-Teams erstellen – mit allen Vorteilen und Risiken.
Diese Demokratisierung birgt gleich mehrere sicherheitsrelevante Herausforderungen:
- Unzureichende rollenbasierte Zugriffskontrollen (RBAC): Fachabteilungen erstellen Workflows oder Integrationen mit weitreichenden Rechten, ohne standardisierte Policies.
- Fehlende Sicherheitsüberprüfungen im Entwicklungsprozess: Da viele Plattformen CI/CD umgehen, greifen klassische SAST- oder DAST-Scans häufig nicht.
- Nicht geprüfte Drittanbieter-Module: Apps binden oftmals offene APIs oder externe Services über Integrationsmodule ein – ein beliebter Angriffsvektor.
Ein aktueller Bericht von Forrester Research (Q2/2025) zeigt: 62 % der auditpflichtigen Low-Code-Anwendungen enthalten mindestens eine unsichere Konfiguration oder fehlerhafte Integration, die ausgenutzt werden könnte.
Die typischen Angriffsszenarien auf Low-Code-Systeme
Security-Forscher klassifizieren derzeit insbesondere folgende Angriffsvektoren als kritisch:
- OAuth-Gewaltangriffe: Durch erratbare Redirect-URIs oder unsichere Token-Validierung können Angreifer Zugriff auf jene APIs erlangen, die über Service Connectors autorisiert sind.
- Privilegieneskalation durch interne Benutzeroberflächen: Viele Plattformen erlauben internen Benutzern, Rollen oder API-Schlüssel zu vergeben – bei Fehlkonfiguration mit Root-Rechten.
- Angriffe auf App-Komponenten aus Community Marketplaces: Vermeintlich nützliche Plug-ins oder Formulare können Schadcode enthalten.
Besonders problematisch: Die Angreifer setzen verstärkt auf „Living off the Land“-Techniken, also die missbräuchliche Nutzung legitimer Funktionen etwa zur Datenextraktion. Diese Operationen sind schwer zu erkennen und entgehen klassischen Detektionsmechanismen.
Warum herkömmliche IT-Sicherheitsmaßnahmen nicht ausreichen
Security-Maßnahmen in herkömmlichen IT-Umgebungen – wie Netzwerksegmentierungen, klassische Virenscanner oder Signatur-basierte Firewalls – greifen in Low-Code-Szenarien häufig zu kurz. Die hohe Abstraktion und Plattformbindung erschweren sowohl die technische Analyse als auch die forensische Auswertung.
Hinzu kommt: Viele Low-Code-Plattformen bieten keine native Logging-Funktion auf Prozess- oder API-Ebene. Laut einer Studie von IBM X-Force (Mai 2025) konnten in über 47 % der untersuchten Sicherheitsvorfälle keine vollständigen Logs bereitgestellt werden – was Analyse und Reaktion massiv verzögert.
Daher ist eine Neukalibrierung der Sicherheitsstrategien unverzichtbar, um das Risiko effektiv zu minimieren.
Praktische Empfehlungen: So sichern Sie Ihre Low-Code-Plattform ab
Basierend auf den Erkenntnissen aktueller Vorfälle und Best Practices börsennotierter Unternehmen ergeben sich konkrete Maßnahmen zur Risikominimierung:
- Zentrale Governance etablieren: Legen Sie feste Rollen-, Rechte- und Veröffentlichungsrichtlinien für Low-Code-Anwendungen fest. Ideal sind abgestufte Freigabeprozesse mit automatisierten Sicherheitsprüfungen.
- Security-by-Design integrieren: Schulen Sie Entwicklungsteams und Citizen Developer im sicheren Umgang mit Tokens, Authentifizierungsmodulen, API-Verbindungen und Datenhaltung – auch außerhalb klassischer DevOps.
- Logging und Auditing aktivieren: Nutzen Sie alle verfügbaren Audit- und Export-Funktionen der Plattform – idealerweise mit SIEM-Integration zur Echtzeitüberwachung.
Zusätzlich sollten Organisationen konsequent manuelle und automatische Prüfungen (z. B. per Policy-as-Code oder Static Code Analysis) auch auf Plattformebene etablieren, selbst wenn dies bisher nicht nativ vorgesehen ist.
Markttrends und regulatorische Implikationen
Mit dem zunehmenden Einsatz von Low-Code-Plattformen steigt auch die regulatorische Aufmerksamkeit. Die EU-Strategie für “Digital Operational Resilience” (DORA), gültig ab Januar 2025, nimmt explizit auch interne Softwareentwicklungen ins Visier – unabhängig der verwendeten Technologie. Unternehmen werden verpflichtet, „alle Anwendungen mit Datenzugriff regelmäßig auf Sicherheitslücken zu prüfen“ – was auch Low-Code-Systeme einschließt.
Darüber hinaus fördert die ISO/IEC 27001:2022 (erweiterte Fassung), die Einbeziehung plattformspezifischer Bedrohungsmuster und Logging-Anforderungen in das ISMS (Information Security Management System). Dies schafft zusätzliche Relevanz für die systematische Absicherung dieser Umgebungen.
Ein wachsender Zweig sind spezialisierte Sicherheitstools für Low- und No-Code-Lösungen: Startups wie BrightSec, Zenity und DopeSecurity entwickeln Module zur Echtzeitanalyse von Komponentenrisiken, rollenbasierten Zugriffen und Autokonfiguration.
Fazit: Agieren statt reagieren
Die zunehmende Popularität von Low-Code-Plattformen ist ein Segen für die Agilität in Unternehmen – aber auch ein Risiko im Hinblick auf IT-Sicherheit. Die Angriffe der Shai Hulud 2-Kampagne haben drastisch vor Augen geführt: Sicherheitsstrategien müssen an die Besonderheiten dieser Systeme angepasst werden, wenn sie künftig Bestand haben sollen.
Organisationen, die heute vorausschauend handeln, statt später Vorfälle teuer zu bereinigen, verschaffen sich einen entscheidenden Vorteil. Low-Code muss nicht unsicher sein – aber sicher gemacht werden.
Welche Erfahrungen haben Sie mit der Absicherung von Low-Code-Plattformen gemacht? Wir laden Sie ein, Ihre Herausforderungen, Insights und Lösungsansätze mit unserer Tech-Community zu teilen!
