IT-Sicherheit: Das Cobol-Risiko

-
19. April 2017
-
Stefan Hirschmann

Durch die Digitalisierung des Bankgeschäfts, etwa wenn Mobile-Banking-Apps zum Einsatz kommen, ist es enorm wichtig, dass die neuen Apps, die in modernen Programmiersprachen geschrieben werden, mit den alten Systemen harmonisieren. Alte Core-Applikationen, die in den 1970er und 80er Jahren entstanden sind, können dabei ein Risiko darstellen.

Cobol – eine sehr alte Programmiersprache – ist immer noch im aktiven Einsatz. Und das öfter als man denkt. Aus großen Banken, Großunternehmen und öffentlichen bzw. Regierungseinrichtungen ist die Programmiersprache nicht wegzudenken. Die Computersysteme, die sich dort im Einsatz befinden, wurden bereits vor 40 bis 50 Jahren eingerichtet und niemals ganz ersetzt. Mittlerweile sind die Altsysteme überholt. Was oftmals jedoch nicht hinlänglich berücksichtigt wird, ist der Sicherheitsaspekt. „Banken und Versicherungen haben nicht nur ein Problem damit, Mitarbeiter für alte Programmiersprachen wie Cobol oder RPG zu finden. Sie vernachlässigen in den meisten Fällen auch den Sicherheitsaspekt, wenn es um die Weiterentwicklung oder den Betrieb von Applikationen in diesen Sprachen geht – und das kann zu einem viel größeren Problem werden“, weiß Julian Totzek-Hallhuber (Foto unten), Softwareexperte bei Veracode.

Als diese Core-Applikationen in den Instituten in den 1970er und 80er Jahren entstanden sind, war Softwaresicherheit noch kein großes Thema, mit dem man sich weithin auseinandergesetzt hat. Zudem existierten selten Aufzeichnungen und Handbücher, was heute die Fehlerbehebung erheblich erschwert. „Vor allem das Bankwesen ist vom Cobol-Einsatz immer noch stark betroffen. In Zeiten der Digitalisierung des Bankgeschäfts, beispielsweise wenn Mobile-Banking-Apps zum Einsatz kommen, ist es enorm wichtig, dass die neuen Apps, die in modernen Programmiersprachen geschrieben werden, mit den alten Systemen harmonisieren. Denn gerade in einer Branche, in der der sensible Umgang mit Daten so wichtig ist, spielt Sicherheit eine enorme Rolle“, sagt Totzek-Hallhuber.

Umso bedeutender ist es heute auch, die schwer ersetzbaren, alten Cobol-Applikationen auf Schwachstellen zu testen und Fehler zu beheben. Statische Analysen sowie der Service von Remedierungs-Calls, also der Unterstützung bei der Schwachstellenbeseitigung für Sprachen wie Cobol oder RPG, können dabei helfen.

 

Bildquelle: Fotolia.com/Konstantin Hermann (1), Hotwire PR (1)