Nach einer aktuellen Untersuchung leidet die Finanzindustrie stärker unter IT-bedingten Ausfällen als andere Branchen. Der Grund liegt oft in alten Codes und Zertifikaten, aber auch am fehlenden Fachwissen, erläutert IT-Experte Jens Sabitzer.
CIOs aus der Finanzbranche sind besonders besorgt über die Auswirkungen von zertifizierungsbedingten Ausfällen bei ihren Kunden. In den letzten sechs Monaten erlebten 36 Prozent der befragten Finanzunternehmen einen Ausfall, der sich auf kritische Geschäftsanwendungen oder -dienste auswirkte. Dies liegt zum Teil auch an dem alten Code, der noch immer die Grundlage vieler Services bildet.
Administratoren fehlt Wissen ihrer Vorgänger
Das Problem vieler alter Cobol-Anwendungen in Banken ist, dass sie regelmäßig aktualisiert und analysiert werden müssen, deren Entwickler aber häufig in Rente sind. In einem Fall wussten die Betreiber nicht mehr, für welche Aufgabe die Anwendung überhaupt zuständig war. Aus diesem Grund konnte der alte Code nicht einfach in einer neuen Sprache programmiert werden. Dass er tatsächlich für eine kritische genutzt wurde, war den Administratoren nicht klar. Sie wussten lediglich, dass eine Reihe wichtiger Daten von der Anwendung genutzt und analysiert wurden. Eine Dokumentation fehlte und frühere Administratoren waren bereits im Ruhestand.
Dieses Beispiel beschreibt die Realität in vielen Unternehmen, auch aus der Finanzbranche. In vielen Fällen werden Systeme durch etwas anderes ersetzt. Doch hausgemachte Lösungen lassen sich oft nicht durch ein externes Produkt ersetzen. Denn die alte Software löst spezifische Unternehmensanforderungen, die in einigen Fällen tatsächlich nicht von einem Standardprodukt erfüllt wird. Auch deshalb, weil es zum Zeitpunkt der Entwicklung noch nicht existierte.
Codes haben mehrere Schwachstellen
Dennoch gilt ein Cobol-Code nicht als sichererer vor Hackern: Je öfter Anwendungen verwendet werden, desto öfter sind sie als Standardsoftware ein erster Angriffspunkt. Zwar wird eine alte Software nicht als Einfallstor für eine Infiltration verwendet. Erhalten Cyber-Kriminelle jedoch Zugang zu dieser Art von Code, sind die betroffenen Unternehmen wahrscheinlich völlig blind. Vor allem dann, wenn die Software auch noch verändert wird.
Ein zweites Problem sind Zeitbomben, sogenannte Time Bombs, die Entwickler in Anwendungen einbauen, die niemand kennt. Manchmal geschieht dies sogar unbeabsichtigt, wenn nicht damit zu rechnen war, dass ein Code auch Jahrzehnte nach seiner Erstellung noch läuft. So wurde in einigen Fällen nicht vorhergesehen, das Variablentypen im Hinblick auf ihre Größe irgendwann nicht mehr ausreichen.
Alte Anwendung widerspricht gängiger Sicherheitsarchitektur
Dadurch entsprechen Anwendungen aktuellen gesetzlichen oder unternehmensinternen Anforderungen wie Data-at-Rest- oder Data-in-Motion-Protection-Methoden nicht mehr. Sie sind nicht in der Lage zu überprüfen, ob erhaltene Informationen von einer vertrauenswürdigen Quelle stammen oder ob die von ihnen verarbeiteten Daten sicher an einen anderen Ort übertragen werden können.
Diese Probleme lassen sich zum Teil mit Code Repositories lösen. Mit ihnen lässt sich prüfen, ob ein Code von jemandem geändert wurde. Eine Anwendung muss daher gepflegt werden, ein klares Ende der Lebensdauer haben und das bereits zum Zeitpunkt ihrer Erstellung. Es muss Pläne für die Migration geben und natürlich müssen die Anwendungen eine zeitgemäße sichere Speicherung und Verarbeitung von personenbezogenen Daten unterstützen.
Quantensichere und agile Verschlüsselung
Nicht selten wird die Welt der Kryptographie als statisch mit sehr langsamer Entwicklung wahrgenommen. Jedoch gibt es sehr häufig Ereignisse, welche nicht auf mathematische Schwächen zurückzuführen sind, sondern beispielsweise fehlerhafte Implementierungen, veränderte Anforderungen oder Annahmen, die sich im Nachhinein als nicht zutreffend herausstellen und eigentlich zügiges Handeln erfordern würden.
Jedoch sind Unternehmen sehr häufig nicht darauf vorbereitet und können nur schwer oder gar nicht reagieren. Auch steigende Rechenleistung oder neue mathematische Verfahren können Schwächen in Algorithmen aufdecken und einen Austausch von bisher als sicher angenommen Verfahren erfordern. Häufig werden solche verpasste Anpassungen erst sichtbar, sobald andere Systeme verweigern mit den veralteten Sicherheitsstandards zu sprechen.
Die jüngste Ankündigung von Google beim Quantencomputing einen Sprung gemacht zu haben, mag nur ein weiteres Beispiel dafür sein, dass sich die Krypto-Welt mit enormer Geschwindigkeit wandelt. Viele Expebank itrten sind davon ausgegangen, dass dies noch viele Jahre benötigen würde. Unternehmen müssen heute einen Code erstellen, der krypto-agil ist und die Einhaltung gängiger Best Practices ermöglicht, um Verletzungen in unvorhersehbarem Umfang zu vermeiden.