Foto: Foto Wilke
Kreditinstitute sollten Herstellern von Kernbankenprodukten besonders auf die Finger schauen - das ist das Fazit einer aktuellen Studie, in der die Unternehmensberatungen SEC Consult und Capgemini führende, in Europa vertriebene Kernbankensysteme von Drittanbietern genau unter die Lupe genommen haben. Banken sollten Sicherheitsstandards von Softwareherstellern aktiv einfordern, heißt es in der ersten internationalen Studie zur Applikationssicherheit von Kernbankensystemen.
Zwar sprächen alle getesteten Hersteller von state-of-the-art Sicherheitsstandards und stuften den Grad der Applikationssicherheit ihrer Produkte als hoch, vollentwickelt oder fortgeschritten ein, doch ein Crash-Test zeigte andere Ergebnisse. Bei drei überprüften Kernbankenprodukten wurden kritische Sicherheitslücken festgestellt, die in den Sicherheitskontrollen der jeweiligen Anbieter nicht entdeckt worden waren.
"Dass drei getestete Produkte von insgesamt acht Anwendungen aus der Studie den Crash-Test für Applikationssicherheit nicht bestanden haben, lässt zwar keine allgemeingültigen Aussagen zu, ist jedoch ein klares Signal", sagt Markus Robin, General Manager, SEC Consult, in einem Gespräch mit cio.de. Ob ein System sicher ist oder nicht, lasse sich ohne Bezugsgröße zwar nicht mit einem einfachen Ja oder Nein bewerten, so die Studienautoren. Vielmehr gehe es darum, ob ein Produkt in Sachen Applikationssicherheit dem aktuellen Stand der Technik entspreche. Und eben diesen Reifegrad hätten die drei getesteten Produkte nicht aufgewiesen, so Robin.
Analysiert wurden für die Studie das Kernbankenprodukt von Avaloq, Profile von FIS bzw. K-CORE24 von FIS KORDOBA, Finacle von Infosys, von Misys die Anwendung BankFusion Midas, Flexcube von Oracle, Ambit CBS von Sungard sowie TCS BaNCS der TCS Financial Solutions. Welche drei Produkte dem Crash-Test unterzogen wurden, wollen die Studienautoren nicht veröffentlichen.
"Der Stand der Technik für Applikationssicherheit ist bekannt und beispielsweise durch den Standard A7700, das OWASP Projekt oder das BSI definiert. Es ist insofern wichtig, dass Produkte mindestens diesem Standard genügen, da auch potenzielle Angreifer auf diesem Level agieren. Wenn der durch den Hersteller errichtete Zaun nicht hoch genug gebaut ist, kann der Angreifer leicht hinein", veranschaulicht Robin die Ergebnisse der Studie mit dem Kooperationspartner Capgemini.
Fehler hätten in der Qualitätssicherung auffallen müssen
Die drei Systeme, die eindeutige Schwachstellen gezeigt hätten, könnten im Vorfeld nicht ausreichend von den Herstellern getestet worden sein, denn solche Fehler hätten in der Qualitätssicherung auffallen müssen, stellt Robin klar. Das Prekäre daran sei, dass die Anwender sich auf die Qualitätssicherung des Herstellers verlassen und nicht davon ausgehen könnten, dass in ihrer Anwendung "der Zaun nicht hoch genug" sei.
Banken empfiehlt Robin daher, aktiv und klarer als bisher üblich zu formulieren und vertragsverpflichtend zu fixieren, dass sie in Sachen Applikationssicherheit den aktuellen Stand der Technik erwarten. Sicherheit sei dabei mehr als die Summe einzelner Aspekte und Features. "Beim Auto entsteht Sicherheit auch nicht nur durch die Summe einzelner Features wie Airbag, Bremsen und Sicherheitsgurte. Der Stand der Technik insgesamt muss vom Hersteller zugesagt, umgesetzt und durch Experten überprüft worden sein. Und dies gilt heute auch für die Applikationssicherheit von Software und Anwendungen."
Kreditinstitute sollten beim Einsatz neuer Produkte oder bei Release-Wechseln in eigenen Crash-Tests die Sicherheit auch stichpunktartig verifizieren, rät Robin: "Unsere Studie bestätigt, dass diese Crash-Tests jenseits der umfangreichen Hersteller-Tests absolut notwendig sind."
Im Rahmen der Studie waren in einem ersten Schritt die Hersteller zu deren Versprechen, Commitments sowie über die gesetzten Maßnahmen im Bereich Applikationssicherheit befragt worden. Um die Produktversprechen der Hersteller in der Praxis zu überprüfen, wurden im zweiten Schritt reale Angriffe auf die Software von drei ausgewählten Produkten simuliert.
Die Kernbankensysteme wurden nach der sogenannten "Black-Box"-Methode überprüft. Hierbei werden die Tests ohne Kenntnis über die inneren Funktionsweisen der zu testenden Systeme und ohne Zugriff auf den Quellcode durchgeführt. "Black-Box"-Tests liefern der Studie zufolge einen guten ersten Eindruck über den bestehenden Sicherheitsgrad - allerdings fiel dieser negativ aus. Bei allen drei getesteten Kernbankensystemen wurden schwere Sicherheitsmängel aufgedeckt, die den Sicherheitskontrollen der Softwarehersteller entgingen.
Als "hoch, vollentwickelt oder fortgeschritten" schätzen dagegen die befragten Hersteller die Applikationssicherheit ihrer Anwendungen ein - und kommunizieren dies auch so am Markt.
Gravierende Qualitätsunterschiede bei Sicherheitstests
Positiv sei, so hebt die Studie hervor, dass alle Hersteller in die Applikationssicherheit ihrer Produkte investieren. "Threat Modeling", Trainings, "Software Process Improvements" sind hierbei state-of-the-art. Speziell im Bereich der Sicherheitstests, gibt es der Studien zufolge jedoch gravierende Qualitätsunterschiede. Grund dafür sei, dass die Tests von Hersteller zu Hersteller und von Produkt zu Produkt unterschiedlich durchgeführt würden.
Eine Reihe der Hersteller müssten die Qualität ihrer Sicherheitstests signifikant steigern, so das Fazit der Studie. Um Geldinstitute nicht mit toxischer Software zu gefährden, seien professionelle und flächendeckende Applikationssicherheitstests vor einem Produkt-Rollout dringend erforderlich.
Was Core Banking leisten muss
Weitere Informationen zu Kernbankensystemen lesen Sie in der iPad-Ausgabe "Was Core Banking leisten muss", die Sie im CIO Plus-Kiosk kostenlos downloaden können.