"Der Stand der Technik für Applikationssicherheit ist bekannt und beispielsweise durch den Standard A7700, das OWASP Projekt oder das BSI definiert. Es ist insofern wichtig, dass Produkte mindestens diesem Standard genügen, da auch potenzielle Angreifer auf diesem Level agieren. Wenn der durch den Hersteller errichtete Zaun nicht hoch genug gebaut ist, kann der Angreifer leicht hinein", veranschaulicht Robin die Ergebnisse der Studie mit dem Kooperationspartner Capgemini.

Fehler hätten in der Qualitätssicherung auffallen müssen

Die drei Systeme, die eindeutige Schwachstellen gezeigt hätten, könnten im Vorfeld nicht ausreichend von den Herstellern getestet worden sein, denn solche Fehler hätten in der Qualitätssicherung auffallen müssen, stellt Robin klar. Das Prekäre daran sei, dass die Anwender sich auf die Qualitätssicherung des Herstellers verlassen und nicht davon ausgehen könnten, dass in ihrer Anwendung "der Zaun nicht hoch genug" sei.

Banken empfiehlt Robin daher, aktiv und klarer als bisher üblich zu formulieren und vertragsverpflichtend zu fixieren, dass sie in Sachen Applikationssicherheit den aktuellen Stand der Technik erwarten. Sicherheit sei dabei mehr als die Summe einzelner Aspekte und Features. "Beim Auto entsteht Sicherheit auch nicht nur durch die Summe einzelner Features wie Airbag, Bremsen und Sicherheitsgurte. Der Stand der Technik insgesamt muss vom Hersteller zugesagt, umgesetzt und durch Experten überprüft worden sein. Und dies gilt heute auch für die Applikationssicherheit von Software und Anwendungen."

Kreditinstitute sollten beim Einsatz neuer Produkte oder bei Release-Wechseln in eigenen Crash-Tests die Sicherheit auch stichpunktartig verifizieren, rät Robin: "Unsere Studie bestätigt, dass diese Crash-Tests jenseits der umfangreichen Hersteller-Tests absolut notwendig sind."