Beitrag

IT Sicherheit in Softwaresysteme durch Code Mining

Legacy Systeme und das Thema Compliance – das Code Mining als Lösungsansatz

ltsysteme, die auch als Legacy Plattformen bezeichnet werden, befinden sich in vielen Unternehmen im Einsatz. Sie sind das Ergebnis von Softwarestrukturen, die über viele Jahre gewachsen sind. Oftmals erfolgte zudem ein schrittweiser Ausbau dieser Plattformen. Schnittstellen, Module, Erweiterungen und APIs haben aus diesen Softwarelösungen komplexe Systeme gemacht, deren gesamtes Funktionsspektrum kaum noch zu überblicken ist.

Im Hinblick auf die Compliance sorgt dies für Probleme. Es ist möglich, dass unentdeckte Sicherheitslücken vorhanden sind oder die Systeme auf Wegen kommunizieren, die nicht bekannt sind. Sind vertrauliche Daten in solchen Systemen gespeichert, sind solche Verhaltensmuster inakzeptabel. Sie verletzen eventuell auch die Europäische Datenschutzgrundverordnung (DSGVO). Sysparency stellt mit dem Code Mining eine praktische Lösung für solche Situationen bereit.

Warum sind Legacy Systeme nach wie vor im Einsatz?

Bei solchen komplexen Altsystemen handelt es sich oftmals um stufenweise gewachsene Plattformen mit speziellen Funktionen. Die Entwicklung fand mitunter individuell statt, um einem Unternehmen exakt die IT-Umgebung bereitzustellen, die für das Tagesgeschäft benötigt wird. Über die Jahre wurde diese Plattform dann ausgebaut und erweitert.

Ein Wechsel auf eine neue Plattform ist deshalb nicht ohne Weiteres möglich. Moderne Standardlösungen sind nicht immer erhältlich oder bieten nicht alle erforderlichen Funktionen. Der Wechsel ist außerdem problematisch, da Verknüpfungen zu anderen Systemen bestehen. Solche Altsysteme sind oft tief in den IT-Strukturen des Unternehmens verankert. Die genauen Verbindungen lassen sich teilweise gar nicht mehr überblicken. Ein weiteres Problem ist der Aufwand, den ein solcher Plattformwechsel mit sich bringt. Je umfangreicher die Systeme und je größer die Unternehmensstrukturen sind, umso höher der Aufwand.

In Großkonzernen erreichen Projekte im Bereich der Digitalisierung schnell Volumina von mehreren hundert Millionen Euro. Dementsprechend schwer tun sich die Entscheidungsträger mit einem solchen Plattformwechsel. Sind die Softwarelösungen tief in der Infrastruktur des Unternehmens verankert, ziehen solche Wechsel zudem weitere Aufgaben im Bereich der Feinabstimmung mit sich.

 Welche Gefahr geht von alter Infrastruktur für die IT Sicherheit aus?

Altsysteme bringen eine Vielzahl an potenziellen Problemen mit sich. Gerade im Bereich Compliance drohen hier Gefahren, die schwer zu überblicken sind. Agieren die Systeme unkontrolliert oder weisen Sicherheitslücken auf, dann sind dies Compliance-Verstöße.

Dies beginnt bei der fehlenden Dokumentation dieser Softwaresysteme. In vielen Fällen sind die Entscheidungsträger und IT-Verantwortlichen, die ursprünglich an der Einführung dieser alten Systeme beteiligt waren, nicht mehr im Unternehmen beschäftigt. Damit ist oftmals auch Hintergrundwissen über diese Softwaresysteme verloren gegangen.

Eine weitere Bedrohung geht von unentdeckten Sicherheitslücken aus. Legacy Systeme bestehen oftmals aus einer Sammlung unterschiedlichster einzelner Softwareprodukte. Diese wiederum basieren auf Bibliotheken verschiedenster Quellen, darunter möglicherweise auch Open Source. Weder bei den Softwarekomponenten noch den Bibliotheken lässt sich sicherstellen, ob es hier noch Sicherheitsupdates gibt. Erschwerend kommt hinzu, dass sich nicht feststellen lässt, aus welchen Komponenten genau diese Softwaresysteme bestehen. Dementsprechend ist es möglich, dass unentdeckte Sicherheitslücken in einer oder sogar mehrere dieser Softwarekomponenten vorhanden sind. Von solchen Zero-Day-Lücken geht ein enormes Schadenspotenzial aus. Kennen Angreifer die Lücken, haben sie die Möglichkeit, diese auszunutzen. So verschaffen sich Unbefugte möglicherweise Zugang zu den Systemen, ohne dass dies der IT Sicherheit auffällt. Somit sind Daten und eventuell sogar das gesamte Netzwerk in Gefahr.

Ein weiteres Problem stellen Schnittstellen für die Kommunikation dar. Komplexe Altsysteme wurden in vielen Fällen um Schnittstellen erweitert. Andere kommunizieren automatisch über Schnittstellen, die längst in Vergessenheit geraten sind. Diese und ähnliche Situationen erzeugen eine Plattform, die faktisch unkontrolliert agiert. Es gibt keine wirkliche Kontrolle darüber, welche Schnittstellen vorhanden sind und wie diese angesprochen werden.

Compliance und Legacy Systeme – was bedeutet das konkret?

Compliance-Richtlinien stellen eine Art Verhaltenscodex für Unternehmen dar. Sie sind zum einen ein internes Regelwerk, das gleichbleibende Standards bei den Leistungen und der Außendarstellung gewährleistet. Zum anderen fließen jedoch auch gesetzliche Regularien in die Compliance-Richtlinien mit ein. Das Ziel ist es, über ein solches Regelwerk Verstöße gegen eigene Richtlinien und Gesetze zu verhindern.

Compliance-Richtlinien betreffen einerseits das Verhalten der Mitarbeiter. Andererseits betrifft dies selbstverständlich auch Softwareplattformen. Diese müssen die gesetzlichen Vorgaben sowie die eigenen Standards ebenfalls erfüllen. Besonders wichtig ist dies bei Systemen, die Daten von Kunden verwalten sowie für Unternehmen, die speziellen Regularien unterliegen. Dies ist beispielsweise bei Finanzdienstleistern und Banken der Fall.

Altsysteme sind in dem Sinne problematisch, als dass sie nicht auf die modernen Compliance-Regeln ausgerichtet sind. Entsprechende Funktionen für den Datenschutz beispielsweise sind unter Umständen nicht vorhanden. Dies kann auch die Kommunikation oder die Auswertung von Informationen betreffen. Seit der Einführung der Europäischen Datenschutzgrundverordnung ist die Verarbeitung von Kundendaten nur eingeschränkt und mit Zustimmung des Dateninhabers möglich. Dies bezieht sich nicht nur auf die Weitergabe von Informationen, sondern auch auf die interne Verarbeitung. Hiervon sind alle Unternehmen in Europa betroffen, nicht nur Banken und Finanzdienstleister. Aus diesem Grund ist es für jedes Unternehmen wichtig, die Funktionen der eigenen Legacy Systeme genau zu überprüfen. Unentdeckte Schnittstellen mit anderen Systemen sind potenzielle Quellen für Verletzungen der Compliance-Richtlinien oder geltender Gesetze.

Ein wichtiger Schritt dabei ist es, alle Funktionen einer Software zu kennen. Nur wenn alle Schnittstellen, Funktionen und Wege der Datenverarbeitung bekannt sind, lässt sich die Einhaltung von Regeln bestätigen. Eine solche Plattform gilt dann als compliance-konform.

 Was ist Code Mining?

Bei dem Code Mining handelt es sich um eine Methode, die bei der Analyse der Funktionen einer Softwareplattform hilft. Das Mining bezieht sich auf den Quellcode der Software. In diesem Quellcode sind alle Funktionen einer Software festgehalten. Sie bildet die Grundlage für alle Berechnungen, Funktionen und Eigenschaften einer Software. Der Quellcode ist dementsprechend umfangreich. Gerade in gewachsenen Legacy Systemen ist der Quellcode oftmals ausgeufert. Dies liegt an den zahlreichen Veränderungen und Zusätzen, die über die Jahre vorgenommen wurden. Nicht selten haben verschiedene Dienstleister, Programmierer und Verantwortliche Veränderungen an der Software vorgenommen.

Sysparency hat einen speziellen Softwareanalyse-Algorithmus entwickelt, der in der Lage ist, die Funktionsweisen von Softwaresystemen zu dokumentieren. Die Technik basiert auf dem Konzept des Reverse Engineerings. Wie beim Reverse Engineering auch, wird beim Mining anhand der Funktionen sowie einer Analyse des Quellcodes dokumentiert, wie das System aufgebaut ist. Die Lösung von Sysparency arbeitet weitestgehend automatisiert. Dies ist ein zentraler Vorteil, denn ohne automatisierte Prozesse würde eine solche Dokumentation enorme Ressourcen in Anspruch nehmen. Dies ist sowohl zeitlich als auch aus Sicht des Kosten-Nutzen-Aspekts nicht praktikabel.

Über das Code Mining werden die technischen Funktionsweisen in allen Details dokumentiert. Dazu gehören alle Kommunikationsschnittstellen. Auch die Identifizierung der eingesetzten Programmiersprachen ist auf diesem Weg möglich. So lässt sich präzise herausfinden, auf welcher Programmiersprache die alte Plattform basiert. Hier finden sich häufig sogar sehr alte Varianten wie etwa COBOL, Natural oder PL/I. Mit diesen Eigenschaften hilft das Mining dabei, vorhandene Softwaresysteme transparent zu machen.

Wie verbessert das Code Mining die Software Sicherheit von Legacy Systemen?

Ein zentrales Ziel des Minings ist die Steigerung der Software Sicherheit. In der aktuellen Zeit spielt das Thema IT Sicherheit eine zentrale Rolle. Die Advanced Persistent Threats (APT) sind eine dauerhafte Bedrohung. Im Fokus der Cyberkriminellen stehen oftmals Unternehmen aus dem Bereich der kritischen Infrastrukturen. Dazu zählen neben Banken und Finanzdienstleistern auch der Energiesektor oder die Verkehrsbranche. Bei solchen Attacken suchen Angreifer gezielt nach Schwachstellen in Netzwerken. Mitunter finden sie diese in Legacy Systemen.

Ein solches potenzielles Einfallstor sind vergessene oder nicht dokumentierte Schnittstellen. Diese lassen sich über das Mining finden und sichern. Gerade bei komplexen Systemen drohen viele solcher versteckten Sicherheitslücken. Diese manuell zu finden, ist eine enorm zeitraubende Aufgabe. Zudem ist nicht garantiert, dass auf diesem Weg tatsächlich alle Schnittstellen identifiziert werden. Deshalb ist ein automatisierter Ansatz über das Mining mit dem Reverse Engineering der richtige Ansatzpunkt, um eine lückenlose Dokumentation zu gewährleisten.

Im Zuge des Code Minings finden sich oft auch veraltete Betriebs- und Entwicklungsumgebungen. Diese basieren auf Plattformen oder Programmiersprachen, die nicht mehr zeitgemäß sind. Erfolgt hier keine Weiterentwicklung seitens der Developer mehr, drohen potenziell unentdeckte Sicherheitslücken. Dies ist ein weiterer Punkt, wie sich die Software Sicherheit verbessern lässt. Die Software Sicherheit alter Plattformen lässt sich ohne Kenntnis über die eingesetzten Lösungen nicht gewährleisten. Teilweise sind Entwickler und Softwarefirmen gar nicht mehr aktiv, sodass keine Patches für Sicherheitslücken mehr erscheinen. Mit dem Mining des Quellcodes lassen sich solche Probleme identifizieren. Dann ist eine Bewertung der Software Sicherheit möglich. In diesem Rahmen wird eingeschätzt, ob der Betrieb eines Altsystems noch sicher ist. Werden bei dem Mining hingegen veraltete und nicht mehr aktualisierte Komponenten oder sogar bekannte Sicherheitslücken entdeckt, ist ein Austausch der Software unbedingt notwendig.

Der Sysparency Algorithmus verbessert die Software Sicherheit auch dadurch, dass Abhängigkeiten zwischen den Systemen erkannt werden. Dies ist ein weiterer Punkt, der ein Potenzial für Sicherheitslücken aufweist. Auf Basis dieser Analyse lassen sich eine Dokumentation sowie grafische Darstellungen der IT-Infrastruktur erstellen. Damit werden selbst komplexe Systeme und Verknüpfungen zwischen den Plattformen nachvollziehbar. Dies ist ein wichtiger Schritt auf dem Weg zu einer transparenten und sicheren IT-Infrastruktur.

Für welche Unternehmen ist die Lösung von Sysparency geeignet?

Die Analyse von Altsystemen ist vor allem für Unternehmen relevant, in denen kritische Daten verarbeitet werden. Dazu gehören persönliche Informationen von Kunden oder Zahlungsinformationen und Bankdaten. Dies betrifft also beispielsweise Banken und Versicherungen. In diesen Bereichen legt die Gesetzgebung einerseits besonders strikte Regeln fest, was den Datenschutz angeht. Andererseits ist es auch im Interesse von Unternehmen aus der Finanzbranche, die absolute Sicherheit der Kundendaten zu garantieren. Gerade in diesen Unternehmen finden sich zudem häufig Altsysteme, die sicherheitstechnisch problematisch sind.

Doch auch Unternehmen aus anderen Branchen profitieren von einer solchen Analyse. Grundsätzlich ist es für jedes Unternehmen mit solchen Legacy Plattformen hilfreich, die Funktionen genau zu ergründen. Basierend auf dem Ergebnis der Analyse lässt sich dann entscheiden, ob die Plattform weiter betrieben werden kann oder an welcher Stelle Nachbesserungen notwendig sind. Somit ist das Mining des Quellcodes der erste Schritt auf dem Weg zur Gewährleistung der Compliance im eigenen Unternehmensbereich.

 In welchen Situationen ist die Lösung von Sysparency sinnvoll?

Es gibt eine ganze Reihe von Szenarien, in denen das Code Mining eine sinnvolle Lösung für den Umgang mit einer Legacy Plattform ist. In erster Linie geht es hier um die Unterstützung bei der Einhaltung von Richtlinien im Compliance. Unternehmen, die Verstöße im Bereich des Datenschutzrechts begehen, werden seit der Einführung der DSGVO im Jahre 2018 mit empfindlichen Strafen belegt. Zu den Verstößen gehören explizit auch Schwächen in der IT Sicherheit, die Daten von Dritten in Gefahr bringen. Die Einhaltung dieser Richtlinien hat deshalb oberste Priorität. Altsysteme sind hier problematisch, denn sie sind eine Quelle für potenzielle Sicherheitslücken.

Die Compliance ist dafür zuständig, die Einhaltung der DSGVO und anderer Gesetze im Unternehmen zu gewährleisten. Dafür ist es notwendig, eine compliance-konforme Softwaredokumentation zu erstellen. Diese Dokumentation gibt Auskunft über die gesamte Struktur der IT. Das Code Mining ist hier eine gute Methode, um mit wenig Aufwand eine Dokumentation für Softwaresysteme zu erstellen, bei denen diese Informationen fehlen. Wichtig ist dies insbesondere für Banken, Versicherungen und Dienstleister aus dem Finanzsektor. Diese unterliegen den Regularien der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die BaFin erfordert eine Dokumentation über die Software, die Banken und Finanzdienstleister einsetzen. Bereits 2017 wurden Anforderungen an die IT für Unternehmen aus dieser Branche aufgestellt. Dazu gehört auch das Risikomanagement innerhalb der IT. Hier macht die BaFin Vorgaben zur technisch-organisatorischen Ausstattung und legt Standards bezüglich der Anforderungen an die Informationssicherheit fest. Während eine solche Softwaredokumentation für Banken und andere Dienstleister aus der Finanzbranche zur Pflicht gehört, profitieren auch andere Unternehmen von einer lückenlosen Dokumentation der eigenen Softwareplattformen.

Soll weiterhin mit der vorhandenen Plattform gearbeitet werden, muss die IT Sicherheit gewährleistet sein. Über die lückenlose Dokumentation des Verhaltens der Software und der Kommunikation über die Schnittstellen ist eine Kontrolle möglich. Gleichzeitig lässt sich auf Basis dieser Analyse von Sysparency auch eine Nachdokumentation erstellen. Diese ist hilfreich für die Schulung der Mitarbeiter, die mit der Wartung der Plattform betraut sind. Fehlende Dokumentationen sind oftmals ein Problem, wenn neue Mitarbeiter in das Unternehmen gekommen sind, die mit dem alten System nicht vertraut sind. Durch die Nachdokumentation verstehen die IT-Mitarbeiter den Aufbau des Systems und können dieses effektiver sowie sicherer warten. Auch dies ist notwendig, um die strengen Vorgaben der Compliance zu erfüllen.

Gleichzeitig ist das Mining auch ein guter Start für eine Modernisierungsstrategie. In vielen Unternehmen steht ein Wechsel der Plattform früher oder später an. Gerade große Legacy Systeme sorgen hier für Probleme, denn es muss exakt ausgelotet werden, wie diese Plattformen in der eigenen Infrastruktur arbeiten. Auf Basis dieser Analyse ist es dann möglich, eine geordnete Strategie für den Umstieg auf eine neue Plattform zu entwickeln. Oftmals erfolgt der Umstieg auf serviceorientierte Architekturen. Auch hier hilft das Mining dabei, alle Funktionen von Softwaresystemen zu identifizieren, sodass eine neue Lösung nach dem Baukastenprinzip aufgebaut werden kann, die die alte Legacy Plattform schlussendlich komplett ersetzt.

Mit der Lösung von Sysparency lassen sich zudem Abhängigkeiten zwischen Systemen identifizieren. Auch dies ist wichtig, um eine Modernisierungsstrategie zu erstellen. Abhängigkeiten müssen beim Wechsel auf eine neue Plattform oder verschiedene Softwarelösungen berücksichtigt werden. So lassen sich bei Bedarf sichere Schnittstellen schaffen oder die Abhängigkeit wird beendet, indem eine alternative Lösung für die Funktion gefunden wird.

Wenn Sie Unterstützung bei der Softwaredokumentation einer Legacy-Software benötigen, kontaktieren Sie uns und wir vereinbaren einen unverbindlichen Termin!

Interesse oder weitere Fragen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren SYSPARENCY Expertinnen und Experten.

Wir stellen Ihnen unser Produkte vor und beantworten alle Ihre Fragen in einem unkomplizierten Onlinemeeting.

Mit sysparency mehr Wissen

Sie können das Whitepaper hier herunterladen: