COBOL und RPG: Alterssicherung für Software
Veracode
Die Programmiersprachen COBOL und RPG sind seit Jahrzehnten in Banken, Versicherungen und anderen Unternehmen im Einsatz. An IT-Sicherheit dachte bei ihrer Einführung jedoch noch kaum jemand. Die nachträgliche Absicherung stellt nun eine immense Herausforderung dar.
von Julian Totzek-Hallhuber, Solution Architekt, Veracode
Sage und schreibe 58 Jahre ist RPG mittlerweile alt, COBOL entstand nur ein paar Monate später. Als die beiden Programmiersprachen das Licht der Welt erblickten, war Konrad Adenauer noch Bundeskanzler. Im Einsatz sind sie bis heute: In den 1970er und 1980er Jahren entwickelten viele Großbanken und Versicherungen ihre Kernanwendungen – COBOL und RPG waren damals Industriestandard. Die Anwendungen wurden über die Jahrzehnte zwar selbstverständlich weiterentwickelt, aber in den seltensten Fällen komplett ausgetauscht.Oft hängen sämtliche kritischen Geschäftsprozesse an der Software; ein Austausch wäre deshalb nur unter Inkaufnahme immenser Kosten und Störungen im Betriebsablauf zu realisieren.”
Die Dinosaurier-Anwendungen sind Fluch und Segen zugleich
Einerseits laufen sie in der Regel sehr stabil und sind perfekt auf die Anforderungen des Unternehmens zugeschnitten. Andererseits ist es nicht immer einfach, Entwickler zu finden, die sich noch mit den alten Sprachen auskennen.
Kaum ein Studienabgänger hat heute Lust, sich mit Technologien auseinanderzusetzen, die älter sind als die eigenen Eltern.”
Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Totzek-Hallhuber hat bei Projekten von www.webappsec.org (wie zum Beispiel WAFEC) mitgewirkt.80er-Jahre: Sicherheit – da kommt doch niemand außer uns ran …
Zum Entstehungszeitpunkt der meisten COBOL- und RPG-Anwendungen spielten Sicherheitserwägungen in der Entwicklung noch keine Rolle. Die Systeme wurden vornehmlich intern betrieben und hatten oft gar keinen externen Zugang, über den sie gehackt werden konnten. Es gab zu diesem Zeitpunkt auch noch keine großen Angriffe oder Angriffe in der Masse, wie wir sie heute über Cross-Site-Scripting oder SQL-Injections sehen. Zudem gab es selten Aufzeichnungen und Handbücher, was heute die Fehlerbehebung erheblich erschwert.
Im digitalen Zeitalter sind solche Anwendungen für Angreifer deshalb ein willkommenes Ziel.”
Die mangelnde Absicherung dieser Kernanwendungen steht dabei oft im groben Gegensatz zu ihrer zentralen Bedeutung im Unternehmen. Bei der Weiterentwicklung muss auf Sicherheit somit ein Hauptaugenmerk liegen. Gerade das Bankwesen ist vom COBOL-Einsatz immer noch stark betroffen und muss hier aktiv werden. Denn gerade in einer Branche, in der der sensible Umgang mit Daten so wichtig ist, spielt Sicherheit eine enorme Rolle.
Was ist nun zu tun?
Zwei Maßnahmen sind sinnvoll: Erstens ist es wie auch bei modernen Programmiersprachen sinnvoll, den Code systematisch auf Schwachstellen zu untersuchen. Sogenannte statische Analysen stellen sicher, dass Entwickler Coding-Standards eingehalten haben, vor allem aber werden Schwachstellen in der Anwendung automatisch erkannt. Zweitens sollten Unternehmen, die nicht selbst über entsprechende Expertise verfügen, die Hilfe von externen Beratern in Anspruch nehmen. Sie können bei der Beseitigung von Schwachstellen helfen und Inhouse-Entwicklern aufzeigen, wie ihr COBOL- und RPG-Code gestaltet sein muss, um den stetig steigenden Sicherheitsanforderungen gerecht zu werden.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/49515
Schreiben Sie einen Kommentar