STRATEGIE4. Mai 2017

COBOL und RPG: Alterssicherung für Software

Julian Totzek-Hallhuber, Solution Architekt, VeracodeVeracode

Die Programmiersprachen COBOL und RPG sind seit Jahrzehnten in Banken, Versicherungen und anderen Unternehmen im Einsatz. An IT-Sicherheit dachte bei ihrer Einführung jedoch noch kaum jemand. Die nachträgliche Absicherung stellt nun eine immense Herausforderung dar.

von Julian Totzek-Hallhuber, Solution Architekt, Veracode

Sage und schreibe 58 Jahre ist RPG mittlerweile alt, COBOL entstand nur ein paar Monate später. Als die beiden Programmiersprachen das Licht der Welt erblickten, war Konrad Adenauer noch Bundes­kanzler. Im Einsatz sind sie bis heute: In den 1970er und 1980er Jahren entwickelten viele Großbanken und Versicherungen ihre Kernanwendungen – COBOL und RPG waren damals Industriestandard. Die Anwendungen wurden über die Jahrzehnte zwar selbstverständlich weiterentwickelt, aber in den seltensten Fällen komplett ausgetauscht.

Oft hängen sämtliche kritischen Geschäftsprozesse an der Software; ein Austausch wäre deshalb nur unter Inkaufnahme immenser Kosten und Störungen im Betriebsablauf zu realisieren.”

Die Dinosaurier-Anwendungen sind Fluch und Segen zugleich

Einerseits laufen sie in der Regel sehr stabil und sind perfekt auf die Anforderungen des Unternehmens zugeschnitten. Andererseits ist es nicht immer einfach, Entwickler zu finden, die sich noch mit den alten Sprachen auskennen.

Kaum ein Studienabgänger hat heute Lust, sich mit Technologien auseinanderzusetzen, die älter sind als die eigenen Eltern.”

Autor Julian Totzek-Hallhuber, Solutio Architekt bei Veracode
Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Totzek-Hallhuber hat bei Projekten von www.webappsec.org (wie zum Beispiel WAFEC) mitgewirkt.
Und das vorhandene Personal geht nach und nach in Rente. Es fehlt der alten Garde oft auch an Kenntnissen, die in vernetzten Unternehmen von entscheidender Bedeutung sind – etwa beim Thema IT-Sicherheit.

80er-Jahre: Sicherheit – da kommt doch niemand außer uns ran …

Zum Entstehungszeitpunkt der meisten COBOL- und RPG-Anwendungen spielten Sicherheitserwägungen in der Entwicklung noch keine Rolle. Die Systeme wurden vornehmlich intern betrieben und hatten oft gar keinen externen Zugang, über den sie gehackt werden konnten. Es gab zu diesem Zeitpunkt auch noch keine großen Angriffe oder Angriffe in der Masse, wie wir sie heute über Cross-Site-Scripting oder SQL-Injections sehen. Zudem gab es selten Aufzeichnungen und Handbücher, was heute die Fehlerbehebung erheblich erschwert.

Im digitalen Zeitalter sind solche Anwendungen für Angreifer deshalb ein willkommenes Ziel.”

Die mangelnde Absicherung dieser Kernanwendungen steht dabei oft im groben Gegensatz zu ihrer zentralen Bedeutung im Unternehmen. Bei der Weiterentwicklung muss auf Sicherheit somit ein Hauptaugenmerk liegen. Gerade das Bankwesen ist vom COBOL-Einsatz immer noch stark betroffen und muss hier aktiv werden. Denn gerade in einer Branche, in der der sensible Umgang mit Daten so wichtig ist, spielt Sicherheit eine enorme Rolle.

Veracode
Veracode bietet neben der statischen Analyse für COBOL- und RPG-Anwendungen zudem den Service zur Weiterverarbeitung der Ergebnisse an. Durch jahrelanges Know-how unterstützt Veracode nicht nur bei der Analyse des Codes, sondern zeigt auch auf, warum ein Teil des Programmcodes als Schwachstelle erkannt wurde und hilft den Entwicklern, diese zu fixen. So können auch jüngere Entwicklungsteams, die sich mit COBOL und RPG nicht mehr auskennen, für die entsprechende Sicherheit ihrer Systeme sorgen.

Was ist nun zu tun?

Zwei Maßnahmen sind sinnvoll: Erstens ist es wie auch bei modernen Programmiersprachen sinnvoll, den Code systematisch auf Schwachstellen zu untersuchen. Sogenannte statische Analysen stellen sicher, dass Entwickler Coding-Standards eingehalten haben, vor allem aber werden Schwachstellen in der Anwendung automatisch erkannt. Zweitens sollten Unternehmen, die nicht selbst über entsprechende Expertise verfügen, die Hilfe von externen Beratern in Anspruch nehmen. Sie können bei der Beseitigung von Schwachstellen helfen und Inhouse-Entwicklern aufzeigen, wie ihr COBOL- und RPG-Code gestaltet sein muss, um den stetig steigenden Sicherheitsanforderungen gerecht zu werden.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert