Low-Code/No-Code meets Legacy: Integration sichern und Authentifizierung meistern

Viele Unternehmen in Deutschland stehen bei der Digitalisierung vor einem Dilemma: Einerseits gilt es, neue und flexible Anwendungen mit Low-Code-/No-Code-Plattformen (LC/NC) schnell umzusetzen. Andererseits sind bestehende, oft komplexe Legacy-Systeme (z. B. Mainframes, Alt-ERP, hostbasierte Anwendungen) weiterhin das Rückgrat der Wertschöpfung und nicht einfach abzulösen. Die größte technische und organisatorische Herausforderung: Wie lassen sich LC/NC-Lösungen effektiv mit diesen Bestands-IT-Systemen integrieren - und das bei maximaler Sicherheit und Compliance?

In diesem Beitrag erhalten Enterprise-Architekt:innen, IT-Integratoren und Security-Officer eine strukturierte Anleitung, wie Integration und Authentifizierung auf Enterprise-Niveau gelingen. Praxisbeispiele, Risiken, Lösungswege und ein Ausblick auf zukunftsfähige Architekturen inklusive!

Warum ist die Integration von LC/NC mit Legacy-IT so komplex?

• Vielschichtige Systemlandschaften: Unternehmen betreiben häufig eine Mischung aus modernen Cloud-Anwendungen, webbasierten Lösungen und Jahrzehnte alten on-premises Systemen.
• Proprietäre Schnittstellen: Alte Systeme verfügen selten über gut dokumentierte, standardisierte APIs - oft wird File-basierte Übergabe, Flatfile-Import oder sogar Terminal-Emulation genutzt.
• Sicherheitsrisiken: Alte Verfahren (z. B. Basic Auth, keine MFA) und mangelnde zentrale Authentisierung bedrohen Datenschutz und Compliance, besonders in sensiblen Branchen.
• Hohe Anforderungen der Fachbereiche: Die Erwartungen an Geschwindigkeit, Benutzerfreundlichkeit und neue Features wachsen stetig.

Die Integration ist damit einer der Schlüsselbausteine für nachhaltige digitale Transformation - und oft Stolperstein nr. 1 für LC/NC-Initiativen im Mittelstand und Großunternehmen.

1. Bestandsaufnahme: Welche Legacy-Systeme sind betroffen?

• ERP (z. B. SAP ECC, IBM AS/400, Oracle EBS)
• Mainframe-Anwendungen (Host-Systeme mit 3270 oder VT100 Interfaces)
• Branchenlösungen, Eigenentwicklungen, Alt-Datenbanken
• Identity Management (Alte LDAP/AD-Instanzen, Non-Cloud-SSO)

Tipp: Dokumentieren Sie alle bestehenden Schnittstellen, Eigentümer, Authentifizierungsmechanismen und Datenflüsse als Basis für die nachfolgende Integrationsstrategie!

2. Integrationstechnologien und -ansätze im Überblick

a) API-basiert integrieren

• Best Case: Legacy-Systeme bieten REST/SOAP-Webservices oder können über Middleware (z. B. SAP PI/PO, MuleSoft, Microservices-Layer) angebunden werden.
• LC/NC-Plattformen: Praktisch alle bieten Konnektoren oder Custom-Connector-Builder an, um REST, SOAP oder OData APIs anzusprechen.
• Wichtig: Authentifizierung (Token, OAuth2, SAML, etc.) muss sicher und mit internem Berechtigungskonzept abgestimmt sein.

b) Integration via Middleware & iPaaS

• Einsatz von Integrations-Plattformen (z. B. Microsoft Power Automate, SnapLogic, Boomi, Talend, Tibco), die zwischen LC/NC-Anwendung und Legacy-System vermitteln und Daten transformieren.
• Vorteil: Zentrale Wartung, Monitoring, Security Layer - möglichweise vorhandene Identity Provider-Integration nutzen.

c) Spezialfälle: File-basierte Integration & RPA

• Auch heute nötig: Flatfile-Schnittstellen, CSV/XML-Exporte - mit periodischer Abholung durch die LC/NC-Lösung oder einen Robot Process Automation (RPA)-Bot.
• Für nicht-API-fähige Systeme kann RPA als Brücke dienen. Aber: Höhere Komplexität, Stabilität und Wartungsaufwand einkalkulieren.

d) Terminalemulation und Screen Scraping

• Im Ausnahmefall nutzen manche Unternehmen Terminalemulation oder Scraping, um Daten/Prozesse aus Mainframes für LC/NC-Apps zu "extrahieren".
• Nur als Übergangslösung und mit Vorsicht einzusetzen, da Fehleranfälligkeit und Security-Defizite!

3. Sichere Authentifizierung: Stolperfalle und Erfolgsfaktor zugleich

• Zentrale Nutzerverwaltung (Optimal: Einbindung in bestehende Identity Provider via SAML, OAuth2, ADFS, Azure AD oder OpenID Connect)
• Single Sign-On (SSO): Benutzer nur einmal authentifizieren, LC/NC erhält nachgelagerte, temporäre Tokens für die Zielsysteme.
• Fine-grained Access Control (Rollen, Claims): Wer darf was? Regelbasierte Berechtigungen - auch nach Datenkontext und Use Case differenziert.
• Multi-Faktor-Authentifizierung (MFA): Pflicht in regulierten Branchen (z. B. Finanzdienstleister, Industrie, Healthcare)
• Logging und Audit-Readiness: Lückenlose Protokollierung aller Authentifizierungs- und Integrationsvorgänge.

Best Practice: LC/NC-Plattformen und alle Integrationspunkte sollten zentral angebunden werden und den Identity Provider als "Single Source of Truth" für Nutzerrechte begreifen!

4. Ablauf einer sicheren Integration - Schritt für Schritt

1. Analyse der Zielsysteme: Welche Authentifizierungsverfahren unterstützt jedes System? (Bspw. SAML, OAuth2, API-Key)
2. Mapping des User Lifecycle: Wie werden Nutzer angelegt, gepflegt, entfernt? Synchronisation zwischen Systemen einrichten, automatische Provisionierung (z. B. via SCIM)
3. Absicherung der Kommunikation: Sämtliche Integrationskanäle verschlüsselt (TLS), Mutual Authentication erwägen
4. Prozesssteuerung per Audit-Trails: Jede Aktion zwischen LC/NC und Legacy protokollieren
5. Kontinuierliche Überprüfung: Patch-Management, regelmässige Penetrationstests der Schnittstellen, Überwachung von verdächtigen Anmelde- und Zugriffsversuchen

5. Typische Fehlerquellen in Integrationsprojekten und wie Sie diese vermeiden

• Fehlende Einbindung der IT-Sicherheit: Security by Design statt nachträglich
• Schnittstellen-Dokumentation vernachlässigt: Kein Wissenstransfer bei Personalwechsel
• Überfrachtung durch zu viele parallele Integrationswege: Clusterung, Vereinheitlichung und Reduzierung der Integrationskanäle
• Unsichere Altmechanismen (Shared Accounts, direkte DB-Zugriffe): Schrittweise Ablösung durch moderne, API-basierte Ansätze
• Mangelnde Tests im Realbetrieb: Testumgebungen aufsetzen, Last- und Sicherheitstests durchführen

6. Praxisbeispiel: Versicherung integriert Claims-Portal mit Mainframe

Eine führende Versicherungsgesellschaft setzt für den Neuabschluss und die Bearbeitung von Schadensfällen auf eine moderne No-Code-Plattform. Ziel: Das neue Portal soll mit den Kernsystemen (Mainframe, Policy-Datenbank) lückenlos verbunden werden und den Zugang Mitarbeiter- und Kundenfreundlich per SSO ermöglichen.

Die Lösung:

• Aufbau einer Middleware, die sowohl REST-APIs für die No-Code-App als auch klassische Schnittstellen für den Mainframe bereitstellt
• Anbindung an den bestehenden SAML-basierten Enterprise Identity Provider (Mitarbeiter loggen sich einmal ein, erhalten Token für alle Systeme)
• Vollständige Protokollierung jedes Zugriffs und regelmäßige Audits
• Konsequentes Patch- und Schwachstellenmanagement nach Go-Live

Das Ergebnis: Hohe Nutzerakzeptanz, schnelle Markteinführung neuer Services, deutliche Senkung von Security-Incidents durch den Wegfall von überholten Authentifizierungsverfahren.

7. Ausblick: Zukunftssichere Integrationsarchitektur aufbauen

Wer seine Integration richtig plant und konsequent auf Security & Governance setzt, legt das Fundament für:

• Skalierbare Digitalisierung weiterer Prozesse/Use Cases
• Flexibilität bei Systemwechsel/-modernisierung
• Starke Einhaltung von Datenschutz & Compliance (DSGVO, BAIT, TISAX etc.)
• Weniger Betriebsrisiko & geringere Folgekosten

Unser Angebot: Wir unterstützen Sie ganzheitlich - von der Aufnahme Ihrer Legacy-Systeme, über Architekturberatung und Roadmap-Entwicklung, bis hin zur sicheren operativen Umsetzung mit Ihrem Team.

Jetzt unverbindlich Kontakt aufnehmen und kostenfreie Erstberatung sichern - für Ihre sichere, zukunftsfähige Low-Code/No-Code-Integration!