Finanzdienstleister haben gute Gründe, dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die durch den Verlust personenbezogener Daten, Bereinigungskosten, Geldstrafen und Entschädigungen sowie die Schädigung des Rufs eines Unternehmens sehr kostspielig sein kann. Ein weiterer Grund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.
Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie mit dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen die Unternehmen eine Reihe von Vorschriften und Anforderungen erfüllen.
Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Vorschriften zum Schutz von Karteninhaberdaten bekannt. Die Anforderungen des Sarbanes-Oxely Act regeln die Verwaltung von Finanzunterlagen. International tätige Unternehmen kennen den Digital Operational Resilience Act (DORA), einen verbindlichen Rahmen für das Risikomanagement, und die globalen Standards für Überweisungen, die von der Society for Worldwide Interbank Financial Telecommunication(Swift) festgelegt wurden.
Und Gesetze wie der California Consumer Privacy Act (CCPA) und die Allgemeine Datenschutzverordnung der EU (GDPR) stellen Anforderungen an den Schutz der Privatsphäre und der persönlichen Daten der Kunden. Es gibt noch weitere, wie die Vorschriften des U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB).
Als wäre das nicht genug, heißt es in der Nationalen Cybersicherheitsstrategie unter anderem, dass Softwarehersteller für unzureichende Software-Sicherheit verantwortlich gemacht werden sollten. Und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern einen Leitfaden zu Secure-By-Design-Prinzipien für die Softwareentwicklung herausgegeben.
Ein gemeinsamer Nenner für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass die Sicherheit bereits zu Beginn des Entwicklungsprozesses auf den Code angewendet wird.
Ein Beispiel dafür, wie das funktioniert, ist die neueste Version des PCI DSS.
Sichere Kodierung (und Entwicklerschulung) ist das Kernstück von PCI DSS 4.0
PCI DSS 4.0, der ab dem 1. April 2024 verbindlich ist, enthält mehrere wesentliche Aktualisierungen gegenüber PCI DSS 3.2.1 - nicht zuletzt die Betonung der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.
PCI hat die Bedeutung von sicherer Software in der Vergangenheit schon lange erkannt. Version 2.0, die 2017 veröffentlicht wurde, enthielt Leitlinien für Entwickler zur Gewährleistung sicherer Transaktionen auf mobilen Geräten. Der Leitfaden in Version 4.0 betont nun die Anwendung bewährter Sicherheitspraktiken bei der Softwareentwicklung und enthält einige spezifische Hinweise zur Entwicklerschulung.
Die Anforderungen sind oft sehr allgemein gehalten, obwohl die Unternehmen vielleicht einen gründlicheren Ansatz verfolgen wollen.
Eine Anforderung der Version 4.0 besagt zum Beispiel, dass die "Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden". Eine gute Möglichkeit, dies zu gewährleisten, besteht darin, dass die Entwickler in den von ihnen verwendeten Programmiersprachen und Frameworks genau geschult werden, um eventuelle Wissenslücken zu schließen.
Eine weitere Vorschrift besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens einmal alle 12 Monate an einer Schulung teilnehmen müssen, die folgende Themen umfasst:
- Softwaresicherheit, die für ihre Tätigkeit und Entwicklungssprachen relevant ist.
- Sichere Softwareentwurfs- und -kodierungstechniken.
- Wie man Sicherheitstest-Tools - sofern sie verwendet werden - einsetzt, um Schwachstellen in Software zu erkennen.
In der Realität ist eine Schulung pro Jahr jedoch nicht häufig genug, um grundlegende Sicherheitsprobleme anzugehen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich erfolgen und gemessen werden, mit einem Verfahren zur Überprüfung der Fähigkeiten, um sicherzustellen, dass sie sinnvoll genutzt wird.
PCI DSS 4.0 enthält mehr als ein halbes Dutzend weiterer Anforderungen, die sich mit Bereichen wie der Verhinderung und Abschwächung verschiedener Arten von Angriffen, der Dokumentation von Softwarekomponenten von Drittanbietern, der Identifizierung und Verwaltung von Schwachstellen und anderen Sicherheitsmaßnahmen befassen. In jedem Fall ist es ratsam, dass Unternehmen diese Maßnahmen gründlich verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht nur einmal im Jahr stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Schwachstellen sind, sollten mit Hilfe eines Software Bill of Materials (SBOM) Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für die Verwaltung von Schwachstellen haben.
Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung der Anforderungen, da der Schwerpunkt auf den Ergebnissen und nicht auf dem Ankreuzen von Kästchen liegt, während gleichzeitig neue Anforderungen für Authentifizierungskontrollen, Passwortlängen, gemeinsam genutzte Konten und andere Faktoren hinzugefügt werden.
Compliance beginnt am Anfang des SDLC
Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche zu setzen. Und wie im Fall der neuesten PCI DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die National Cybersecurity Strategy und die Secure by Design-Prinzipien der CISA legen die Verantwortung für die Sicherheit auch bei den Softwareherstellern fest - und zwar noch vor der Auslieferung -, so dass auch Unternehmen, die nicht direkt den Finanzdienstleistungsvorschriften unterliegen, diese einhalten müssen.
Unternehmen müssen die Kluft zwischen DevOps-Teams (die sich auf die Entwicklungsgeschwindigkeit konzentrieren) und AppSec-Teams (die es eilig haben, die Sicherheit in den Prozess einzubringen) überbrücken, indem sie Entwickler darin schulen, die Sicherheit zu einem festen Bestandteil ihres Ansatzes zu machen. Dies erfordert jedoch ein komplexes Bündel an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder standardmäßige, stagnierende Ausbildungsprogramme bieten können. Schulungen sollten kontinuierlich und flexibel sein, die Lernenden mit aktiven, realen Szenarien ansprechen und in kleinen Zeitabschnitten durchgeführt werden, die in ihre Arbeitspläne passen.
Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sich vor Sicherheitsverletzungen zu schützen und um die immer strengeren Vorschriften einzuhalten. Die Kosten der Nichteinhaltung von Vorschriften können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die monetären Kosten genauso schädlich sein wie eine Datenschutzverletzung. Der IBM Cost of a Data Breach Report 2023 hat beispielsweise ergeben, dass Unternehmen mit einem hohen Grad an Nichteinhaltung der Vorschriften im Durchschnitt mit Geldstrafen und anderen Kosten in Höhe von 5,05 Millionen US-Dollar konfrontiert sind - eine halbe Million Dollar mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.
Durch das kontinuierliche Wachstum von Cloud-basierten Umgebungen und digitalen Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was auch durch Vorschriften wie PCI DSS anerkannt wird. Der beste Weg, um sichere Software zu gewährleisten, ist eine sichere Kodierung zu Beginn des SDLC. Und der Weg dorthin führt über eine effektive Schulung der Entwickler in sicheren Kodierungspraktiken.
Einen umfassenden Überblick darüber, wie sichere Kodierung den Erfolg, die Sicherheit und die Gewinne von Finanzdienstleistungsunternehmen gewährleisten kann, finden Sie in dem neu erschienenen E-Book Secure Code Warrior : Der ultimative Leitfaden für Sicherheitstrends im Finanzdienstleistungssektor.
Besuchen Sie die Secure Code Warrior Blog-Seiten, um mehr über Cybersicherheit und die zunehmend gefährliche Bedrohungslage zu erfahren und um zu lernen, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.