Unsichere Kernbanken-Systeme

26. Oktober 2012, 11:56
  • rechenzentrum
  • sicherheit
  • avaloq
  • security
image

Die Hersteller halten ihre Kernbanken-Lösungen für sehr sicher. Eine Untersuchung widerspricht.

Die Hersteller halten ihre Kernbanken-Lösungen für sehr sicher. Eine Untersuchung widerspricht.
Der österreichische IT-Security-Spezialist SEC Consult hat zusammen mit Capgemini die Sicherheit von acht modernen Kernbankenlösungen untersucht. Für die Studie analysiert wurden: Das Kernbankenprodukt von Avaloq, Profile von FIS bzw. K-CORE24 von FIS Kordoba, Finacle von Infosys, von Misys die Anwendung BankFusion Midas, Flexcube von Oracle, Ambit CBS von Sungard sowie TCS BaNCS von TCS Financial Solutions. Nicht angefragt wurden offenbar Finnova, Olympic von ERI bancaire und Ibis 3G.
Und vier der angefragten Hersteller von Kernbanken-Systemen wollten nicht mitmachen, nämlich Callataÿ & Wouters, Delta Informatique, SAP und Temenos.
Praxistests unerwünscht
SEC Consult wollte die Untersuchung der Bankensysteme in zwei Phasen durchführen. In der ersten Phase legte man den Software-Herstellern 52 Fragen vor und wertete die Antworten aus. In der zweiten Phase wollte das Beratungshaus dann die Lösungen einem "Crash Test" von aussen - ohne Zugriff auf den Quellcode unterziehen.
Dieses Ansinnen stiess aber nicht auf Gegenliebe der genannten Hersteller. Sie verweigerten allesamt Security-Tests durch SEC Consult auf einem ihrer Testsysteme.
Viele Sicherheitslöcher im Praxistest
SEC Consult konnte allerdings drei bei Banken installierte und laufende Kernbanken-Systeme - welche werden nicht genannt - testen. Die Resultate zeigen eine frappante Diskrepanz zwischen der Selbstwahrnehmung der Software-Hersteller und der Realität auf. Alle der befragten Hersteller betonten nämlich, ihre Lösungspakete seien in Sachen Sicherheit technisch auf der Höhe der Zeit.
Im Praxistest fand SEC Consult dann eine ganze Reihe von Sicherheitslücken, die schwere Angriffe auf eine Bank erlauben könnten. Hier die Liste:
- Identitätsdiebstahl mittels Cross Site Scripting
- Ergattern von Privilegien mit einfacher Manipulation von Parametern
- Schwache Verschlüsselung
- Angriff mittels SQL Injection
- Direkte Ausführung von Befehlen auf Betriebssystemebene, die mit einem Skript eingeschleust wurden.
Eine kurze Zusammenfassung der Studie sowie Bestellinformationen gibt es hier. (hc)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3