Sicherheitsaudits Banking Software

 
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Sicherheitsaudits Banking Software

 ·  Gepostet: 28.01.2023 - 15:14 Uhr  ·  #1
Gibt es eigentlich Sicherheitsaudits von Banking Software

Und falls gibt es welche die Public sind.

Oder irgendwelche Leute, die evtl. mal ein Reverse Engineering machen von einer Banking Software.

Weiss darüber jemand was.

beste grüsse
Nemo
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 442
Dabei seit: 09 / 2004
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 09:54 Uhr  ·  #2
Für einige gewerblich genutzte ZV-Programme haben die jeweiligen Hersteller ein Audit machen lassen. Die daraus resultierenden Zertifikate kann man vom Lizenzgeber anfordern.
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7312
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 10:17 Uhr  ·  #3
was bringt eine sichere Software, wenn der User (bzw. manche Banken) auf Komfort setzt?
... oder der User generell das Problem ist, weil er Daten in den Browser oä. eingibt. (entweder aus Geiz für eine Software oder phishing usw. und umgeleitet wird)

das Thema hattest du doch auch bereits hier ähnlich angesprochen: forum/topic.php?p=164658#real164658 bzw. ff
wo bspw. das "Unterschrift auf papiergebundenen Aufträgen" als eines der weiteren Probleme angesprochen wurde.

jeweils Diskussionen mit dem gleichen/ähnlichen Inhalt zu starten, bringt nichts
zumal das Thema schon x-mal durchgenudelt wurde
es kommt nicht nur auf einen Punkt (hier Software) an, sondern grundsätzlich sind es viele (!).
subsembly
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4566
Dabei seit: 11 / 2004
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 13:13 Uhr  ·  #4
Hallo,
wir haben für White-Label Projekte schon zwei solche Audits bei verschiedenen Institutionen machen lassen.
Ergebnis: Vergiss es. Wenn es nicht ein absolut offensichtliches Sicherheitsproblem gibt, wird es in so einem Audit auch nicht gefunden. Da wird nichts kritisch hinterfragt oder gar der Quellcode untersucht. Meist diskutiert man mit den Sicherheitsexperten nur um die Länge und Qualität des Passworts.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6195
Dabei seit: 02 / 2003
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 13:44 Uhr  ·  #5
Zitat geschrieben von subsembly

wir haben für White-Label Projekte schon zwei solche Audits bei verschiedenen Institutionen machen lassen.
Ergebnis: Vergiss es. Wenn es nicht ein absolut offensichtliches Sicherheitsproblem gibt, wird es in so einem Audit auch nicht gefunden. Da wird nichts kritisch hinterfragt oder gar der Quellcode untersucht. Meist diskutiert man mit den Sicherheitsexperten nur um die Länge und Qualität des Passworts.

Das sind aber Extrembeispiele für richtig schlechte Audits, auch wenn ich solche Audits grundsätzlich eher schwierig finde. Aber wenn die nur über die Länge und die Qualität eine Passwortes reden, würde es mich interessieren auf welcher Basis die dann Sicherheitsexperten sind....
Aber wer Lücken finden will, wird diese finden. Da sollte man sich keiner Illusion hingeben. Die Frage ist halt immer wie Praxisrelevant sind diese.
Vor Jahren gab es mal einen Artikel in der ct zum Thema Sicherheit von Signaturkarten. Forschern war es gelungen mit einem Röntgengerät, die geheimen privaten Schlüssel zu ermitteln und meinten, wenn die Röntgengeräte in die Hosentasche passen, sind die Signaturkarten nicht mehr sicher.......
Nemo
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 442
Dabei seit: 09 / 2004
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 13:49 Uhr  ·  #6
Es gibt nun mal keine absolute Sicherheit. Ich lege mit einem guten Programm bzw. einem guten Sicherheitsmedium nur die Latte für potentielle Angreifer höher.
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10780
Dabei seit: 03 / 2005
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 14:25 Uhr  ·  #7
Es ist allerdings in der Tat so, dass es einen Markt für solche Zertifizierungen gibt, in dem sich gut Geld verdienen lässt. Sowohl für das durchführende Unternehmen als auch den Auftraggeber, da er danach ein schönes buntes Siegel auf seinen Produktkarton machen kann.
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7312
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 15:35 Uhr  ·  #8
@Nemo
+ die User/Anwender sehen es als Einladung fahrlässiger zu werden


@all
Starmoney verwendet ja bspw. das PromonShield - https://promon.co/
Des Weiteren wird auf der Starmoney Homepage bspw. mit TÜV Prüfung geworben
... jedoch sind die Formulierung "schwammig", weil was konkret wurde hier geprüft bzw. wie sind die Ergebnisse:
Zitat
GRUNDLAGE / STANDARD TEK0300PD
Die Prüfungen umfassen die Sicherheit der Kommunikationswege und die Speicherung von Daten innerhalb einer geeigneten Sicherheitsarchitektur. Hierzu werden kompromittierte Endgeräte herangezogen, die den Zugriff auf geschützte Bereiche der App gestatten.
Die Prüfgrundlagen basieren in Auszügen auf anerkannten technischen Standards, wie z.B. dem BSI IT-Grundschutz und der ISO/IEC 27001.

https://tuev-saar.de/starfinanz
subsembly
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4566
Dabei seit: 11 / 2004
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 30.01.2023 - 16:14 Uhr  ·  #9
Das ist genau so ein Test, der mir bekannt vorkommt. Prinzipiell wird nur nachgesehen ob die Daten überhaupt verschlüsselt sind. Das haben Sie natürlich auch bei uns gemacht. Was aber nicht kam:

* Gezielte Untersuchungen zur verwendeten Verschlüsselungsimplementierung.

* Gezielte Fragen nach bekannten Sicherheitslücken und entsprechenden Angriffen.

* Gezielte Analyse des Zufallsgenerators für die Schlüsselerzeugung.

* Einblick in den Quellcode für die verschlüsselte Speicherung.

Also nichts, was irgendwie in die Tiefe geht. Durchgefallen wäre man bei diesem Test nur, wenn die Daten tatsächlich im Klartext gespeichert wären.
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: Sicherheitsaudits Banking Software

 ·  Gepostet: 03.02.2023 - 23:52 Uhr  ·  #10
Mein eigentliche Intention zu diesem Thread, war ein älterer Post in diesem Forum wo behauptet wurde, das AlfBanco jahrelang ihre interne Datenbank in der Software fehleranfällig war und aber immer rumgepatched wurde anstatt das ganze neu zu durchdenken und aufzusetzen.
Kann aber auch sein, dass es nur einer wütender Endnutzer war.

Zitat

Da wird nichts kritisch hinterfragt oder gar der Quellcode untersucht. Meist diskutiert man mit den Sicherheitsexperten nur um die Länge und Qualität des Passworts.


Ist das Usus in der Branche solche Methoden als reale Zertifizierung zu Validieren ?
Klingt echt bescheiden.
Hätte ich nicht gedacht. Ist das nur in der Fintech Branche so oder geht das durch die Bank ( zB. bei Messenger Audits) durch.
Gewählte Zitate für Mehrfachzitierung:   0