Scotiabank wegen „Sicherheit auf Muppet-Niveau“ gerügt

Obskure Vorgänge bei kanadischer Großbank

Nachdem sowohl interner Quellcode von Anwendungen als auch die Anmeldeinformationen in das offene Internet gelangt waren, wurde die Scotiabank wegen „Sicherheit auf Muppet-Niveau“ heftig gerüffelt. Mitarbeiter dieser kanadischen Großbank hatten offenbar Pläne für mobile Apps und Datenbankstrukturen so in das Github-Repository gestellt, dass sie öffentlich einsehbar waren – und das sogar inklusive gültiger Login-Kennungen.

Bildquelle: Bank of Nova Scotia

Banken sollten im Zeitalter des Cybercrime besonders sorgfältig mit den Daten ihrer Kunden umgehen. Das ist allen Beteiligten klar – und doch klappt das nicht immer. So jüngst bei der renommierten Großbank Nova Scotia, auch Scotiabank genannt. Ein IT-Berater schlug Mitte September Alarm und behauptete, er habe in dem bei Software-Entwicklern beliebten Online-Repository Github (2018 von Microsoft für umgerechnet 6,4 Mrd. Euro gekauft) sensiblen Software-Code der Scotiabank gefunden.

Bank of Nova Scotia leakt sich selbst

Besonders pikant dabei: Die 1832 gegründete Bank of Nova Scotia, Kanadas drittgrößtes Bankinstitut mit mehr als 88.000 Mitarbeitern in über 3.000 Filialen, ist ein langjähriger AS/400-Anwender. Der Vorgang macht deutlich: Man kann den sichersten Server der Welt einsetzen – sobald damit leichtsinnig oder grob fahrlässig umgegangen wird, nutzen auch die besten Schutzmaßmaßnahmen nichts. Und es gibt eine zweite Verbindung zur IBM: Wie der Dinosaurier der IT-Branche zahlt auch das Urgestein in der globalen Bankenwelt seit über hundert Jahren ununterbrochen eine Dividende an seine Aktionäre.

Doch weder ein absolut zuverlässiger Server noch eine lange Erfolgshistorie schützt vor Lücken in der IT-Sicherheit, betont der kanadische Whistle-Blower Jason Coulls. Er hat bei einer Suche in Github, die Quellcodes und Zugriffsschlüssel für einige bankinterne Systeme bei der Bank of Nova Scotia gefunden. Die Entdeckung wurde vergangene Woche zuerst von der britischen Website „The Register“ gemeldet und seither von diversen Medien aufgegriffen. Die bewussten Repositories enthielten u. a. Software-Entwürfe und Zugriffsschlüssel für ein Wechselkurssystem, Code für mobile Apps und Anmeldeinformationen für Dienste und Datenbankinstanzen.

Coulls teilte CBC News am Freitag mit, dass er keinen Versuch unternommen habe, auf die Bankinformationen zuzugreifen, nachdem er den Code aufgedeckt habe. Er sagte jedoch, dass der Code, den er gefunden habe, zur Analyse verschiedener Zahlungsverarbeitungssysteme diene.

„Dazu muss auf die Transaktionsdaten des Kunden zugegriffen werden“, sagte Coulls. Dies bedeute, dass auf Kundennamen, Kontonummern und andere identifizierende Daten zugegriffen werden könne. Zwar habe die Bank inzwischen die meisten Daten entfernt, seit er das Leck ans Licht gebracht habe, aber sie wären für jeden, der wusste, wo er suchen musste, monatelang zugreifbar gewesen.

In einer Erklärung gegenüber CBC News teilte die Bank mit, dass ihre technischen Teams „daran arbeiten, die Informationen aus dem Internet zu entfernen“, betonte aber auch, dass die Daten der 25 Millionen Kunden der Bank sicher seien. „Die Informationen, die in einem Online-Datenrepository veröffentlicht wurden, enthalten keine Informationen, die unsere Kunden, Mitarbeiter und Partner gefährden würden“, behauptete die Bank.

Sicherheit in Muppet-Qualität

Laut Coulls ist diese Panne aber keine Premiere dafür, dass die Scotiabank interne Geheimnisse online preisgibt. „Meiner Erfahrung nach ist diese Art von Sicherheit in Muppet-Qualität für die Scotiabank völlig normal, weil sie im Durchschnitt alle drei Wochen Informationen preisgibt“, zog Coulls gegenüber den Kollegen von The Register ein vernichtendes Fazit. Die Bank arbeite mit IBM i und DB2-Instanzen, deren Anmelde- und Verbindungsinformationen nun öffentlich seien. „Sie lassen regelmäßig den Quellcode für alles mögliche nach außen durchsickern, von kundenorientierten mobilen Apps bis zu serverseitigen REST-APIs“, so Coulls weiter. „Außerdem werden ihre Kundendaten publik.“

Github ist eine Website, die eine auch mit IBM i nutzbare Software-Suite zur Versionskontrolle namens Git hostet, mit der die Zusammenarbeit der Programmierer bei der Entwicklung von IT-Anwendungen erleichtert wird. IT-Chefs, die ihren Leuten die Verwendung von Git erlauben, müssen sicherstellen, dass die genutzten Repositorys kennwortgeschützt sind und der Zugriff darauf eine starke Authentifizierung erfordert. Github hat sogar eigens eine Seite mit Ratschlägen und Tools zum Schutz der Arbeit und des geistigen Eigentums veröffentlicht, inklusive Teamzugriffskontrollen. Es ist nicht bekannt, ob die verwendeten Repositories von einem einzelnen Entwickler, einem ganzen Team oder einem Manager der Scotiabank verwendet wurden; mit dem Open-Source-Projekt Plato war die Bank im vergangenen Jahr in die Öffentlichkeit gegangen, um ihre Innovationskraft zu unterstreichen.

Öffentliche Code-Repositorys schützen

Öffentliche Code-Repositorys können DevSecOps-Projekte durch den Austausch von Code und Daten erheblich erleichtern und so die agile Software-Entwicklung beschleunigen. Sie bergen jedoch auch das Risiko von Datenlecks. Die können nicht nur durch Fehler in der Software oder unzureichende Sicherheitsmechanismen entstehen, sondern wie in diesem Fall versehentlich, durch Unachtsamkeit oder Leichtsinn der firmeneigenen Software-Entwickler oder von externen Experten, die unter hohem Zeitdruck arbeiten oder unzureichend in Sachen Sicherheit geschult wurden.

Einige Entwickler machen sich das Leben einfach und teilen ohne Rücksicht auf Verluste Passwörter von Produktionssystemen und öffnen so Tür und Tor für Cyberkriminelle, die diesen Leichtsinn kennen und daher ständig öffentlich zugängliche Datenquellen vertraulichem Quellcode, Anmeldeinformationen und API-Schlüsseln durchsuchen. Solche Eindringlinge bleiben häufig sogar unentdeckt, weil ja praktisch keine abnormalen Aktivitäten stattfinden. Das ist dann besonders gefährlich.

Bildquelle: Bank of Nova Scotia

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok