Gibt es eigentlich Sicherheitsaudits von Banking Software

Und falls gibt es welche die Public sind.

Oder irgendwelche Leute, die evtl. mal ein Reverse Engineering machen von einer Banking Software.

Weiss darüber jemand was.

beste grüsse

Für einige gewerblich genutzte ZV-Programme haben die jeweiligen Hersteller ein Audit machen lassen. Die daraus resultierenden Zertifikate kann man vom Lizenzgeber anfordern.

was bringt eine sichere Software, wenn der User (bzw. manche Banken) auf Komfort setzt?
... oder der User generell das Problem ist, weil er Daten in den Browser oä. eingibt. (entweder aus Geiz für eine Software oder phishing usw. und umgeleitet wird)

das Thema hattest du doch auch bereits hier ähnlich angesprochen: forum/topic.php?p=164658#real164658 bzw. ff
wo bspw. das "Unterschrift auf papiergebundenen Aufträgen" als eines der weiteren Probleme angesprochen wurde.

jeweils Diskussionen mit dem gleichen/ähnlichen Inhalt zu starten, bringt nichts
zumal das Thema schon x-mal durchgenudelt wurde
es kommt nicht nur auf einen Punkt (hier Software) an, sondern grundsätzlich sind es viele (!).

Hallo,
wir haben für White-Label Projekte schon zwei solche Audits bei verschiedenen Institutionen machen lassen.
Ergebnis: Vergiss es. Wenn es nicht ein absolut offensichtliches Sicherheitsproblem gibt, wird es in so einem Audit auch nicht gefunden. Da wird nichts kritisch hinterfragt oder gar der Quellcode untersucht. Meist diskutiert man mit den Sicherheitsexperten nur um die Länge und Qualität des Passworts.

Das sind aber Extrembeispiele für richtig schlechte Audits, auch wenn ich solche Audits grundsätzlich eher schwierig finde. Aber wenn die nur über die Länge und die Qualität eine Passwortes reden, würde es mich interessieren auf welcher Basis die dann Sicherheitsexperten sind....
Aber wer Lücken finden will, wird diese finden. Da sollte man sich keiner Illusion hingeben. Die Frage ist halt immer wie Praxisrelevant sind diese.
Vor Jahren gab es mal einen Artikel in der ct zum Thema Sicherheit von Signaturkarten. Forschern war es gelungen mit einem Röntgengerät, die geheimen privaten Schlüssel zu ermitteln und meinten, wenn die Röntgengeräte in die Hosentasche passen, sind die Signaturkarten nicht mehr sicher.......

Es gibt nun mal keine absolute Sicherheit. Ich lege mit einem guten Programm bzw. einem guten Sicherheitsmedium nur die Latte für potentielle Angreifer höher.

Es ist allerdings in der Tat so, dass es einen Markt für solche Zertifizierungen gibt, in dem sich gut Geld verdienen lässt. Sowohl für das durchführende Unternehmen als auch den Auftraggeber, da er danach ein schönes buntes Siegel auf seinen Produktkarton machen kann.

@Nemo
+ die User/Anwender sehen es als Einladung fahrlässiger zu werden


@all
Starmoney verwendet ja bspw. das PromonShield - https://promon.co/
Des Weiteren wird auf der Starmoney Homepage bspw. mit TÜV Prüfung geworben
... jedoch sind die Formulierung "schwammig", weil was konkret wurde hier geprüft bzw. wie sind die Ergebnisse:

https://tuev-saar.de/starfinanz

Das ist genau so ein Test, der mir bekannt vorkommt. Prinzipiell wird nur nachgesehen ob die Daten überhaupt verschlüsselt sind. Das haben Sie natürlich auch bei uns gemacht. Was aber nicht kam:

* Gezielte Untersuchungen zur verwendeten Verschlüsselungsimplementierung.

* Gezielte Fragen nach bekannten Sicherheitslücken und entsprechenden Angriffen.

* Gezielte Analyse des Zufallsgenerators für die Schlüsselerzeugung.

* Einblick in den Quellcode für die verschlüsselte Speicherung.

Also nichts, was irgendwie in die Tiefe geht. Durchgefallen wäre man bei diesem Test nur, wenn die Daten tatsächlich im Klartext gespeichert wären.

Mein eigentliche Intention zu diesem Thread, war ein älterer Post in diesem Forum wo behauptet wurde, das AlfBanco jahrelang ihre interne Datenbank in der Software fehleranfällig war und aber immer rumgepatched wurde anstatt das ganze neu zu durchdenken und aufzusetzen.
Kann aber auch sein, dass es nur einer wütender Endnutzer war.



Ist das Usus in der Branche solche Methoden als reale Zertifizierung zu Validieren ?
Klingt echt bescheiden.
Hätte ich nicht gedacht. Ist das nur in der Fintech Branche so oder geht das durch die Bank ( zB. bei Messenger Audits) durch.