"Giftmüll" in der Banken-Software

Cyber-Angriffe auf Banken-Software: Bei einem Black-Box-Test zeigte jedes der drei getesteten Systeme schwere Sicherheitslücken

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der österreichischer Spezialist für IT-Sicherheit SEC Consulting hatte ein hehres Ziel. Unterstützt von der internationalen Unternehmensberatung Cap Gemini sollten die von den Großbanken eingesetzten Software-Systeme - das "Core Banking System" (CBS) - systematisch auf Sicherheitslücken geprüft werden. Immerhin ist klar, das Cyber-Angriffe auf Banken-Software stetig zunehmen und mittlerweile die verschiedensten Typen von Angreifern auftreten. Von Racheakten, Sabotage, Betriebsspionage bis zu Diebstahl treten alle Varianten auf, wobei die Angreifer längst nicht nur über das Internet in die Computerkerne der Banken eindringen sondern sich auch von innen Zugriff verschaffen.

In der ersten Phase der Studie wurden die sieben wichtigsten Anbieter von Bankensoftware mittels Fragebogen befragt, woran alle auch noch gerne teilgenommen hatten. Und wenig überraschend hatten in ihrer Anfragebeantwortung alle auch angegeben, stets state-of-the-art Anwender-Sicherheitstechnologien einzusetzen. Die meisten hatten nach eigenen Angaben auch eine "Information Security Management System (ISMS)" etabliert, folgten den Standards ISO/IEC 27001 und einige ließen sich diese Standards auch zertifizieren. Die meisten Anbieter gaben zudem an, für jedes CBS-Modul über up-to-date-Bedrohungsmodelle zu verfügen.

Mangelhafte Entwicklungsphase, fehlende Tests

Unzufrieden ist SEC aber schon beim Entwicklungsprozess der Programme, die immerhin zwischen zwei Millionen (Symbols/SunGard) und 18 Millionen (Bankfusion Midas/Misys) Zeilen an Software-Code umfassen. Denn dessen Sicherheit erfordere von Anfang an und auch bei Routinearbeiten eine integrierte, strukturierte Methodologie, welche einige Anbieter jedoch vermissen ließen.

Ganz übel sehe es indes bei den Sicherheits-Tests aus, die die Anbieter vor dem Release ihrer Software durchführen sollten. Hier bestünde laut SEC grundsätzlich die Möglichkeit von "Black-box Tests", bei denen die Tester keinen Zugang zu den Source-Codes haben und die von Experten manuell oder automatisiert durchgeführt werden. Darüber hinaus sollte auch der Code auf Probleme gescannt werden (‘Security Code Scan’) und letztlich wäre noch eine Prüfung des Codes samt dynamischer Validierung durch Experten (‘Security Code Review’) wünschenswert. Einige der befragten Unternehmen führen diese Tests auch weitgehend komplett mit allen drei Ansätzen und weitgehend komplett bei allen Codes durch, andere testen hingegen fast gar nicht oder weniger als der Hälfte ihrer Codes.

Keine "Permission to Attack"

Allerdings dürfte den Anbietern durchaus bewusst gewesen sein, dass ihre Software angreifbar ist. So war trotz anfänglichem Interesse kein einziger bereit, eine "Permission to Attack" zu erteilen, obwohl SEC im Gegenzug eine kostenfreie Qualitätsprüfung der Software angeboten hätte. Damit war das ursprüngliche Ziel eines umfassenden Vergleichs der wichtigsten Programme zwar gescheitert, immerhin waren aber mehrere Banken an einer Kooperation interessiert, von denen sich letztlich drei Banken bereit fanden, die von ihnen bereits eingesetzte Software einer Prüfung zu unterziehen.

Dabei setzten die Banken jeweils eine der in der ersten Phase untersuchten Produkte ein, wobei es sich zwar nicht immer um die jüngste Release handelt, jedoch hatten die Banken stets alle vom Hersteller empfohlenen Sicherheits-Upgrades durchgeführt und sollten sich ihrem Softwareanbieter zufolge sicherheitstechnisch auf dem letzten Stand befinden.

Pro Bank 20-Mann-Tage an Blackbox-Prüfung

SEC führte nun eine Blackbox-Prüfung (d.h. ohne Zugriff auf den Source Code) durch, wobei die Angreifern einen Standard-User-Account mit minimalen Rechten erhielten. Pro Bank wurden nun rund 20-Mann-Tage aufgewendet, wodurch angesichts mehrerer Millionen Code-Zeilen laut SEC kaum ein Prozent der Funktionalitäten der Programme berührt werden konnten.

Die Ergebnisse waren jedenfalls erschütternd. So wurden bei allen Programmen schwere Sicherheitsmängel entdeckt, weshalb SEC auch nicht bekannt geben will, welche der genannten Programme (BankFusion Midas (Misys), FLEXCUBE (Oracle), Avaloq (Avaloq), TCS BaNCS (TCS Financial Solutions), Finacle (Infosys), Profile (FIS), K-CORE24 (FIS KORDOBA), Ambit CBS (SunGard)) nun tatsächlich geprüft werden konnten.

Fünf schwere Problem gefunden

Ohne Anspruch auf Vollständigkeit fanden sich vor allem folgende fünf Typen von Verletzlichkeiten:

  1. Cross Site Scripting (XSS): Identitätsdiebstahl und Ausspionieren eines Users. Zuerst schreibt der Angreifer einem User ein Mail mit einem "malicious" Link das versteckten Script Code enthält. Wenn der User das Link anklickt landet das Script in dessen Browser, wodurch der Angreifer die Kontrolle über den Browser erhält, alle Aktionen des Users aufzeichnen kann und letztlich alles machen kann, wozu auch der User berechtigt ist, etwa die Zielkonten von Überweisungen ändern.
  2. Privilege Escalation - Die Aufwertung des Nutzerstatus: Bei den geprüften Programmen wurden den Nutzer mit geringen Privilegien dieselben Menüs präsentiert, wie jenen mit höheren Berechtigungen, nur waren diesen die Funktionen, zu denen sie keinen Zugang haben sollten, nicht sichtbar. Das ließ sich durch simples Ändern einiger "clear text parameters" (die der Browser zum Server sendet) so verändern, dass die User vollen Zugriff auf die vor ihnen versteckten Funktionalitäten erhielten.
  3. Weak encryption - Passwort-Diebstahl: Der Angreifer verfolgt zuerst den Datenverkehr zwischen CBS Client und CBS Server und kann aufgrund des geringen Verschlüsselungsgrades den Login-Mechanismus umgehen und den Account übernehmen.
  4. Structured Query Language (SQL) Injection- Direktes Auslesen der CBS-Database: Zuerst wird ein Script geschrieben das die erwünschten Befehle enthält, und später in das System geladen werden soll. Das erfolgt über schlecht abgesicherte Dateneingabefelder, in die beispielsweise Suchanfragen oder Euro-Beträge eingegeben werden sollten. Aufgrund einer unzureichenden Input-Validierung der CBS Software umgeht das injizierte Script den Autorisierungsmechanismus und extrahiert nun die Daten, an denen der Angreifer interessiert ist.
  5. Direct Operating System (OS) Command Execution - Fernsteuerung des CBS Servers: Der Angreifer lädt wie zuvor ein Script hoch, diesmal jedoch mit Befehlen für das Operating-System, so dass der Angreifer nicht nur Zugang zur Database, sondern die Kontrolle über das System erhält; er es also nach belieben manipulieren und auch herunterfahren könnte. SEC empfiehlt nun den Banken, bei ihrer Softwarebeschaffung verstärkt darauf zu achten, dass ihre Anbieter tatsächlich State-of-the-Art Entwicklungsprozesse und umfangreiche Testverfahren durchführen. Jedenfalls müssten umgehend bessere Standards gesetzt werden, da es aus Sicht der Bank schon aufgrund der regulativen Vorgaben ein Schlüsselkriterium bei der Auftragsvergabe an einen Softwarepartner sein sollte, sich dahingehend abzusichern.
nach oben