Im Januar 2023 wurde die britische Royal Mail von einem Ransomware-Angriff betroffen. Das Unternehmen musste daraufhin den Versand von Briefen und Paketen ins Ausland einstellen. Dieser Vorfall wurde zwar durch einen Phishing-Angriff ausgelöst. Er hätte jedoch vermieden werden können, wenn das Unternehmen für alle seine Dienste robuste Authentifizierungs- und Cybersicherheitsmaßnahmen eingeführt hätte. Stattdessen wurden jedoch Altsysteme verwendet - und nichts ist anfälliger als Altsysteme. Dies verdeutlicht die wachsenden Risiken für die Cyber-Sicherheit im Zusammenhang mit veralteten Systemen und den Bedarf an proaktiven Strategien.
Jedes Unternehmen, ob groß oder klein, steht heute vor Sicherheitsherausforderungen. Ihren Mitarbeitern beizubringen, vorsichtig zu sein und nicht auf verdächtige Links zu klicken, reicht nicht aus, um diese Herausforderungen zu meistern. Sicherheit muss ein integraler Bestandteil Ihres Secure SDLC (Software Development Lifecycle) sein.
In diesem Artikel erklären wir, was ein sicherer SDLC ist. Außerdem stellen wir Ihnen 6 bewährte Sicherheitspraktiken anhand von Beispielen aus unserer Erfahrung vor.
Bei dem Secure Software Development Lifecycle (SDLC) handelt es sich um einen systematischen Ansatz zur Integration von Sicherheit in den Software-Entwicklungsprozess, der häufig durch die Einführung einer Security-by-Design-Praxis erreicht wird. Im Bankensektor ist dieser Ansatz aufgrund der Anfälligkeit des Sektors für verschiedene Arten von Angriffen aus dem Internet von entscheidender Bedeutung. Die Entwicklungsteams verfolgen einen proaktiven Ansatz und integrieren die Sicherheit von Anfang an, anstatt sie in späteren Phasen als Zusatz zu behandeln.
Entwicklungsteams können die Wahrscheinlichkeit von Sicherheitslücken und Verstößen im Endprodukt verringern, indem sie Sicherheitsrisiken frühzeitig im Entwicklungsprozess identifizieren und mindern.
Im Bankensektor ist Cybersicherheit von größter Bedeutung, da der Schutz sensibler Daten und die Aufrechterhaltung der finanziellen Stabilität eine ständige Wachsamkeit gegenüber sich entwickelnden Cyberbedrohungen erfordern.
Um die Daten unserer Kunden zu schützen und Reputationsrisiken zu vermeiden, beginnen wir bei Modeso unseren Entwicklungsprozess mit dem Sicherheitsgedanken, d.h. wir definieren Sicherheitsrisiken bereits in der Anforderungsphase. Wie unsere jüngsten Projekte zeigen, entwickeln wir auf diese Weise Software, die belastbar und sicher ist.
Aber warum ist ein sicherer SDLC für Unternehmen so wichtig? Lassen Sie uns die Dinge klären.
SDLC ist, wie bereits kurz erwähnt, ein Schlüsselaspekt der Cybersicherheit im Bankensektor. Dabei geht es um die Integration von Sicherheit in jede Phase des Software-Entwicklungsprozesses - von der Konzeption bis hin zur Bereitstellung. Dieser Ansatz hilft Finanzinstituten bei der frühzeitigen Erkennung und Behebung potenzieller Sicherheitsschwachstellen und damit bei der Verringerung des Risikos von Datenschutzverletzungen und Cyberangriffen.
Ein sicheres SDLC ist ein Garant dafür, dass bei der Entwicklung von Softwareanwendungen Sicherheitsaspekte berücksichtigt werden, so dass es für Cyberkriminelle schwieriger wird, Schwachstellen auszunutzen. Dies ist besonders wichtig im Bankensektor, wo sensible Kundendaten und Finanzinformationen gefährdet sind.
Durch die Implementierung eines sicheren SDLC können Finanzinstitute:
In diesem Zusammenhang sind einige Best Practices für die Implementierung eines sicheren SDLC im Bankensektor zu nennen:
Durch die Priorisierung dieser Praktiken sind Finanzinstitute in der Lage, robuste und sichere Softwaresysteme zum Schutz von Kundendaten und zur Aufrechterhaltung der Integrität von Finanztransaktionen zu entwickeln und gleichzeitig einige der größten Sicherheitsrisiken zu vermeiden. Aber um welche Risiken geht es?
Unsichere Datenspeicherung, minderwertiger Code, veraltete Infrastruktur und so weiter. Die Art und Weise, in der Ihre Software entwickelt wurde, ist oft ausschlaggebend für das Vorhandensein von Schwachstellen und die Anfälligkeit für Bedrohungen, die das allgemeine Cyber-Risiko erhöhen. Hier sind die häufigsten Sicherheitsrisiken, denen wir bei unserer Arbeit begegnen:
Eine große Sorge ist die Möglichkeit einer Datenpanne, die Betriebskosten, Kundenvertrauensverlust und Rufschädigung nach sich ziehen kann.
Veraltete Technologie, mangelnder Support, unsicherer Code, Compliance-Probleme und eingeschränkte Integration - das ist es, was wir ein klassisches Legacy-Software-System nennen. Dass sie ein leichtes Ziel für Sicherheitsbedrohungen sind, überrascht nicht. Das Gleiche gilt für Software, die nicht regelmäßig gewartet wird - auch solche Systeme sind angreifbar. Diese Schwachstellen müssen durch regelmäßige Updates, die Einhaltung von Best Practices und umfassende Cybersicherheits-Frameworks behoben werden, um die Cybersicherheit von Bankinstituten zu gewährleisten.
Wenn es dem Code an Klarheit, Organisation und Einhaltung bewährter Verfahren wie Eingabevalidierung, Ausgabecodierung, Fehlerbehandlung usw. mangelt, ist er anfälliger für Sicherheitslücken und Schwachstellen.
Durch schwache Authentifizierungspraktiken, wie z. B. unzureichende Passwortrichtlinien oder unsachgemäße Speicherung von Anmeldeinformationen, wird Angreifern der Weg zu unberechtigtem Zugriff auf sensible Daten oder Funktionen geebnet.
Wenn Ihre Software die Integration mit Diensten von Drittanbietern erfordert, müssen Sie prüfen, wie sicher diese Dienste von Drittanbietern sind - insbesondere, wenn es sich um Finanzsysteme handelt. Ihre Schwachstellen könnten Angreifern als Einfallstor für den Zugriff auf Ihre sensiblen Daten dienen.
Wenn Daten unsicher gespeichert werden, sind sie anfällig für unbefugten Zugriff, manipuliert oder gestohlen durch böswillige Akteure. Darüber hinaus kann dies zu Verstößen gegen Datenschutzbestimmungen führen, die empfindliche Strafen, Bußgelder und rechtliche Konsequenzen für ein Unternehmen nach sich ziehen können.
Um die Sicherheitsrisiken für unsere Kunden zu minimieren und ihre sensiblen Daten zu schützen, implementieren wir umfassende Sicherheitslösungen und etablieren einen Secure SDLC, der sich durch die folgenden Vorgehensweisen auszeichnet:
Effektive Risikomanagement-Strategien sind auch entscheidend, um Schwachstellen zu beheben, die durch die Integration von Drittanbietern entstehen, und um die Einhaltung der Standards der Finanzindustrie zu gewährleisten.
Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Stiftung zur Bereitstellung kostenloser Tools und Dokumentationen für die Erstellung und Wartung sicherer Webanwendungen im Finanzdienstleistungssektor. Zu den Ressourcen gehören die OWASP API Security Top 10, ein umfassender Leitfaden zur Unterstützung von Entwicklern und Unternehmen bei der Priorisierung von Sicherheitsmaßnahmen und der Minimierung der wichtigsten Sicherheitsrisiken von Programmierschnittstellen. Hier finden Sie das Update 2023 der OWASP API Security Top 10:
Eines der genannten Risiken - die fehlerhafte Authentifizierung - soll zum besseren Verständnis näher betrachtet werden. OWASP bietet einen umfassenden Überblick über die Schwachstelle selbst, einschließlich Möglichkeiten zu ihrer Vermeidung, Bedrohungsagenten, Sicherheitslücken, Auswirkungen, Beispiel-Angriffsszenarien und vieles mehr. Entwickler können proaktive Maßnahmen ergreifen, um die Auswirkungen während des Entwicklungsprozesses zu mindern, indem sie das Risiko gründlich untersuchen.
Werfen wir nun einen Blick auf die Umsetzung der Priorisierung von Sicherheitsstandards im Rahmen unserer Zusammenarbeit mit Würth Financial Services, dem führenden Versicherungsmakler der Schweiz, und TWINT, der beliebtesten Zahlungs-App des Landes.
Wir traten dem Projekt bei, um bei der Entwicklung von Insurhub zu helfen - einer App, die Versicherungsprodukte verschiedener Anbieter bündelt und Privatkunden über die TWINT-App anbietet.
Sicherheit hatte für Insurhub oberste Priorität, da es sich um sensible Zahlungsinformationen und Benutzerdaten handelt. Zum Schutz sensibler Informationen haben wir Verschlüsselung und strenge Zugriffskontrollen eingesetzt, um unbefugten Zugriff zu verhindern, während unsere Code-Änderungen gründlichen Überprüfungsprozessen unterzogen wurden, um die Integrität zu gewährleisten.
Penetrationstests oder einfach Pen-Tests sind Simulationen realer Cyber-Angriffe auf ein Computersystem, ein Netzwerk oder eine Anwendung zur Ermittlung von Schwachstellen und Verwundbarkeiten. Penetrationstests bewerten die Wirksamkeit der in der Software implementierten Sicherheitsmaßnahmen bei der Verringerung von Cyber-Sicherheitsrisiken, Cyber-Bedrohungen und beim Schutz von Datenbeständen, indem sie die in der Software implementierten Sicherheitsmaßnahmen testen.
Nicht alle Projekte erfordern Penetrationstests. In der Finanz- und Medizintechnik, wo sensible Nutzerdaten auf dem Spiel stehen, sind sie eher üblich. In der Regel beauftragen wir einen zuverlässigen externen Partner damit, diese Tests für unsere Kunden durchzuführen, da Penetrationstests spezielles Know-how erfordern.
Als wir mit TWINT an drei weiteren Projekten - Digital Voucher, Super Deals und Storefinder - arbeiteten, gehörten Penetrationstests zu unseren Sicherheitsmaßnahmen. Um potenzielle Sicherheitslücken aufzudecken, führten unsere Partner Tests durch, die eine Reihe von Aspekten abdeckten. Dazu gehörten Netzwerkkonfigurationen, Anwendungsschwachstellen und Benutzerzugangskontrollen.
Es ist wichtig, eine sichere Integrationsstrategie zu wählen, um die Risiken zu minimieren, die mit der Verbindung verschiedener Systeme, Anwendungen oder Netzwerke im Finanzsektor verbunden sind. Sie stellt sicher, dass sensible Daten, die zwischen Systemen übertragen werden, vor unberechtigtem Zugriff oder Abfangen geschützt sind. Unternehmen können durch den Einsatz von Verschlüsselung, Zugangskontrollen und sicheren Kommunikationsprotokollen die Integrität und Vertraulichkeit der Daten schützen.
Wir haben immer vertragliche Verpflichtungen mit Systemen oder Diensten von Drittanbietern, die wir integrieren. Daher ist es unwahrscheinlich, dass solche Integrationen eine Bedrohung darstellen. Darüber hinaus setzen wir zum Schutz wertvoller Daten und zur Sicherung ihrer Übertragung Authentifizierungsmechanismen wie Token-basierte und berechtigungsbasierte Authentifizierung ein. Um Schwachstellen in Abhängigkeiten aufzudecken, verwenden wir Dependabot. Es scannt den Standard-Repository-Zweig auf unsichere Abhängigkeiten und sendet Warnungen, damit ein Paket auf eine sichere Version aktualisiert wird oder durch eine sichere Alternative ersetzt wird.
Obwohl Integrationspartner nicht immer eine Bedrohung darstellen, gibt es Situationen, in denen Risiken von den internen Legacy-Systemen des Unternehmens ausgehen können. Dies ist häufig bei Projekten der Fall, in denen bestehende Software modernisiert werden soll. Dabei sollen die notwendigen Integrationen mit den Altsystemen erhalten bleiben.
In unserer Zusammenarbeit mit Albin Kistler, einem bekannten Schweizer Vermögensverwalter, mussten wir beispielsweise die firmeneigene Datenbank in eine moderne Analyseplattform für Anlageportfolios umwandeln. Das bestehende System war auf einer veralteten Infrastruktur aufgebaut, die unter anderem Sicherheitslücken aufwies. Um die Sicherheitsrisiken zu beseitigen, haben wir die Plattform in einer privaten Cloud gehostet. Außerdem haben wir robuste Maßnahmen zur Datenvalidierung eingeführt, als wir die Daten aus dem Altsystem in die neu implementierte Lösung migriert haben.
Beim Schutz vor Datenschutzverletzungen und unberechtigtem Zugriff spielt die gewählte Datenspeicherung insbesondere im Finanzsektor eine entscheidende Rolle. Die Implementierung einer sicheren Datenspeicherung beinhaltet den Einsatz von Verschlüsselungstechniken. Dadurch werden die Daten sowohl im Ruhezustand als auch während der Übertragung geschützt. Um den unbefugten Zugriff auf gespeicherte Daten einzuschränken, sollten Zugriffskontrollen und Authentifizierungsmechanismen eingerichtet werden. Um die Auswirkungen eines möglichen Datenverlusts zu mindern, sollten regelmäßige Datensicherungen und Notfallpläne vorhanden sein.
Die Wahl seriöser Hosting-Anbieter mit robusten Sicherheitsmaßnahmen und Compliance-Zertifizierungen wie AWS und GCP kann den Datenschutz weiter verbessern.
Bei der Wahl des Standorts für das Hosting Ihrer Daten ist es wichtig, dass Sie Standorte wählen, die durch zusätzliche gesetzliche und regulatorische Bestimmungen geschützt sind. Wir wählen in der Regel GCP und AWS als unsere Cloud-Anbieter. Da die meisten unserer Kunden in der Schweiz ansässig sind, speichern wir ihre Daten in Rechenzentren in der Schweiz.
Wenn Sie den Zugriff auf kritische Ressourcen einschränken, können Sie kontrollieren, wer auf sensible Daten oder wichtige Systeme zugreifen kann. Angenommen, Ihr System hat drei Benutzerrollen - einen Administrator, einen Manager und einen Mitarbeiter. Ein Administrator hat vollen Zugriff auf alle Ressourcen, Einstellungen und Funktionen des Systems, während ein Manager nur Zugriff auf die Ressourcen und Daten seiner Abteilung hat. Ein Mitarbeiter wiederum hat nur Zugriff auf die wichtigsten Werkzeuge, Anwendungen und Daten, die er zur Erfüllung seiner unmittelbaren Aufgaben benötigt.
In der Regel verwenden Entwickler Methoden wie Passwörter, biometrische Daten oder Multi-Faktor-Authentifizierung, um die Identität einer Person zu bestätigen, bevor sie Zugang erhält. Auf diese Weise schützen sie die wertvollen Daten und stellen sicher, dass die Daten privat bleiben und nur für die Personen zugänglich sind, die Zugang zu diesen Daten haben sollen.
In fast allen Projekten, an denen wir arbeiten, implementieren wir eine berechtigungsbasierte Zugriffskontrolle. Ein Beispiel ist unsere Zusammenarbeit mit Rietman & Partner, einem Schweizer Wirtschaftsprüfer und Steuerberater.
Für die Rationalisierung der Prüfungsabläufe des Unternehmens mussten wir ein maßgeschneidertes System entwickeln. Die Kernfunktionalität des Systems dreht sich um ein Regelwerk für den Prüfungsprozess. Um den Datenschutz und die Datenintegrität zu gewährleisten, haben wir Zugriffskontrollen eingerichtet, die es ermöglichen, verschiedenen Benutzerrollen, wie z. B. Wirtschaftsprüfern und leitenden Wirtschaftsprüfern, spezifische Sichtbarkeits- und Bearbeitungsrechte zuzuweisen. So stellen wir sicher, dass die Benutzer nur mit den Daten arbeiten, die für ihre Aufgaben relevant sind.
Sie können Sicherheitspraktiken in Ihren DevOps-Workflow integrieren, um die kontinuierliche Bereitstellung sicherer Software zu gewährleisten. Diese Praktiken werden als DevSecOps bezeichnet und sind ein hervorragendes Mittel zur Automatisierung von Sicherheitsprozessen während des gesamten Lebenszyklus Ihrer Softwareentwicklung. Dadurch können Sie Sicherheitsschwachstellen effizienter identifizieren und beheben.
DevSecOps beinhaltet die Integration von Sicherheitsüberprüfungen und -tests in die CI/CD-Pipeline, z.B. statische Codeanalyse, Schwachstellenscans und automatisierte Penetrationstests. Automatisierte Sicherheitswerkzeuge können die Einhaltung von Sicherheitsrichtlinien und -standards erzwingen. Damit wird sichergestellt, dass die Sicherheit während des Entwicklungsprozesses nicht vernachlässigt wird.
Durch die Einführung von DevSecOps-Praktiken werden Softwareentwicklungsteams in die Lage versetzt, Sicherheitsbedenken proaktiv anzugehen und gleichzeitig die Agilität und Geschwindigkeit des DevOps-Ansatzes beizubehalten.
Neben der technischen Seite gibt es jedoch noch einen weiteren Aspekt, den es zu berücksichtigen gilt. In gewisser Weise ist er wichtiger, als über eine robuste Geschäftslösung zu verfügen oder mit zertifizierten Entwicklern zu arbeiten, die alles über Cybersicherheit im Finanzsektor wissen. Die Rede ist von der Schulung und Sensibilisierung der Mitarbeiter.
Die Schulung und Sensibilisierung der Mitarbeiter ist ein wesentlicher Bestandteil der Cyber-Sicherheit im Bankensektor. Finanzinstitute müssen ihre Mitarbeiterinnen und Mitarbeiter über die Bedeutung von Cybersicherheit aufklären. Sie müssen ihnen ihre Rolle beim Schutz sensibler Kundendaten und Finanzinformationen bewusst machen.
Cybersicherheitsschulungen sollten folgende Themen umfassen
Regelmäßige Schulungen und Sensibilisierungsprogramme können den Mitarbeitern helfen
Zu den bewährten Verfahren für die Schulung und Sensibilisierung von Bankmitarbeitern zählen u. a:
Dieser proaktive Ansatz hilft Ihnen nicht nur, sensible Daten zu schützen. Er fördert auch eine Sicherheitskultur im Unternehmen und stellt sicher, dass alle Mitarbeiterinnen und Mitarbeiter wachsam und bereit sind, mit potenziellen Cyber-Bedrohungen umzugehen.
Zusammenfassend lässt sich sagen, dass die Entwicklung sicherer Software, insbesondere im Bereich der Cybersicherheit im Bankwesen, einen ganzheitlichen Ansatz erfordert, der der Sicherheit während des gesamten SDLC Vorrang einräumt. Durch die Einhaltung von Best Practices und die Nutzung unserer Expertise bei Modeso können Sie sicherstellen, dass Ihre Software widerstandsfähig und gegen neue Sicherheitsbedrohungen geschützt ist, wenn Sie daran interessiert sind, skalierbare und sichere kundenspezifische Anwendungen in Übereinstimmung mit Best Practices zu entwickeln.
Datenschutz ist uns wichtig, daher haben Sie die Möglichkeit, bestimmte Speicherarten zu deaktivieren, die für das grundlegende Funktionieren der Website möglicherweise nicht erforderlich sind. Das Blockieren von Kategorien kann sich auf Ihre Erfahrung auf der Website auswirken. Mehr Informationen
