Cobol: Sicherheitsrisiko, aber nicht tot zu kriegen

In vielen Banken, Regierungseinrichtungen und auch in Firmen laufen noch in Cobol erstellte Anwendungen. Deren Support wird nicht nur immer schwieriger, sondern man sollte sich auch um die Sicherheitsrisiken Gedanken machen.


Anzeige

Nur die älteren meiner Blog-Leser werden möglicherweise etwas mit der, in den sechziger Jahren des letzten Jahrhunderts eingeführten, Programmiersprache Cobol anfangen können. Viele Softwareentwickler nutzten Cobol, um kaufmännische Anwendungen für Großrechner zu schreiben.

Die sehr alte Programmiersprache Cobol ist erstaunlicherweise immer noch im aktiven Einsatz. Und das öfter als man denkt. Aus großen Banken, Großunternehmen und öffentlichen bzw. Regierungs-Einrichtungen ist die Programmiersprache, laut Sicherheitsanbieter Veracode, nicht wegzudenken. Die Computersysteme, die sich dort im Einsatz befinden, wurden bereits vor 40 – 50 Jahren eingerichtet und niemals ganz ersetzt.

Das birgt natürlich Risiken. Um diesen alten Code warten zu können, braucht man Programmierer, die im vorherigen Jahrhundert mit Cobol entwickelt haben. Man sucht also Programmierer, die sich häufig schon in Rente befinden (siehe auch). Das führt erkennbar auf ein, biologisch bedingtes, Ressourcen-Problem hinaus, denn irgendwann wird es keine Cobol-Spezialisten mehr geben.

Was bei diesem Aspekt oftmals auch nicht berücksichtigt wird, ist der Sicherheitsaspekt. Julian Totzek-Hallhuber, Solution Architect bei Veracode, bezieht im Folgenden Stellung dazu:

„Großunternehmen, Banken und Versicherungen haben nicht nur ein Problem damit, Mitarbeiter für "alte" Programmiersprachen wie Cobol oder RPG zu finden. Sie vernachlässigen in den meisten Fällen auch den Sicherheitsaspekt, wenn es um die (Weiter-)Entwicklung oder den Betrieb von Applikationen in diesen Sprachen geht – und das kann zu einem viel größeren Problem werden."

In der Zeit, als diese „Core"-Applikationen in Banken und Versicherungen entstanden sind – also in den 70er und 80er Jahren – war Softwaresicherheit noch kein Thema, mit dem man sich großartig auseinandergesetzt hat. Zudem gab es selten Aufzeichnungen und Handbücher, was heute die Fehlerbehebung erheblich erschwert.

Gerade das Bankwesen ist vom Cobol-Einsatz immer noch stark betroffen. In Zeiten der Digitalisierung des Bankgeschäfts, beispielsweise wenn Mobile-Banking-Apps zum Einsatz kommen, ist es enorm wichtig, dass die neuen Apps, die in modernen Programmiersprachen geschrieben werden, mit den alten Systemen harmonisieren. Denn gerade in einer Branche, in der der sensible Umgang mit Daten so wichtig ist, spielt Sicherheit eine enorme Rolle.

Umso bedeutender ist es aus Sicht des Veracode-Spezialisten heute auch, die schwer ersetzbaren, alten Cobol-Applikationen auf Schwachstellen zu testen und Fehler zu beheben. Statische Analysen sowie der Service von Remedierungs-Calls, also der Unterstützung bei der Schwachstellenbeseitigung für Sprachen wie Cobol oder RPG, können dabei helfen.

Natürlich bietet Veracode entsprechende Dienstleistungen an. Daher auch die ausgesandte Presseinfo, die für mich Aufhänger für diesen Blog-Beitrag war. Was mich mehr interessiert: Ist irgend einer von Euch noch in diese alte Cobol-Geschichte involviert und ist das Problem in Deutschland wirklich so schlimm?


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Cobol: Sicherheitsrisiko, aber nicht tot zu kriegen

  1. Al CiD sagt:

    War auch ein großes Thema bei der Jahrtausendwende, sprich Y2K-Bug, da wurden für die Finanzbranche und Versicherungsbranche jede Menge "alte" Programmierer wieder aktiviert – man war das eine Panik.
    Cobol ist halt eine Programmiersprache mit Tiefgang und Weitblick :-)

  2. hans R sagt:

    … dito PL/1.

  3. Trillian sagt:

    Oh, da werden jetzt Erinnerungen an meine Studienzeit an der TU Berlin wach… letztes Jahrtausend ^^ Cobol, FORTRAN und PL/1 waren damals als höhere Programmiersprachen uniweit im Einsatz. Für ein 2semestriges WiWi-Projekt Systemanalyse hatte ich die Wahl zwischen Pl/1 und Cobol und mich für Letzteres entschieden. Nicht so universell einsetzbar wie Pl/1 aber für die Programmierung betriebswirtschaftlicher Anwendungen top. Wie Al CiD oben schrieb: "…eine Programmiersprache mit Tiefgang und Weitblick"

  4. ralf sagt:

    heise berichtet: 60 jahre cobol.

    bei mir haelt sich die nostalgie-stimmung in grenzen: hab in den fruehen neunziger jahren an der uni noch einen cobol-schein machen muessen – die sprache hab ich spaeter nie gebraucht und bis heute komplett vergessen.

    https://www.heise.de/developer/meldung/60-Jahre-COBOL-Die-Sprache-die-nicht-totzukriegen-ist-4518334.html

    • Günter Born sagt:

      Ja, hab das als Wochenendthema auf dem Radar – ist dieses Jahr Jubiläum. Hab nie Cobol gecoded, meine Frau hatte mal in meinen Studentenzeiten einen Cobol-Kurs zur allgemeinen Ertüchtigung in IT-Dingen vom Arbeitsamt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.