bn Frankfurt – Während manche Akteure im Bankensektor Verständnis für die momentane Welle an IT-Prüfungen durch die Aufsicht zeigen, gilt sie andernorts als übertrieben und unverhältnismäßig. Als besondere Herausforderung für die Banken entpuppt sich dabei die unabhängige “Code Review”, welche die Prüfer mancherorts Bank verlangen. “Code Review” bedeutet nichts anderes, als dass eine unabhängige Instanz jeden in einer Programmiersprache geschriebenen Text (Code) in einer Bank, den ein Entwickler verfasst hat, auf Fehler, Sicherheitslücken und Hintertüren untersuchen soll. Der Wunsch ist verständlich, hatten doch vor Jahren Berichte für Aufsehen gesorgt, wonach der US-Geheimdienst NSA solche versteckten Zugänge in Standard-Router unter anderem von Cisco eingebaut hatte.Das Unterfangen einer “Code Review” aber ist ambitioniert, haben größere Banken doch durchaus 2 Milliarden solcher Codes. Zwar existieren Programme, die bei der Überprüfung von Codes helfen, auch etablieren sich als Gutachter zunehmend entsprechende Dienstleister, die Codes auf bestimmte Merkmale untersuchen. Dennoch aber hält nicht jeder Beobachter solche Tests für realistisch. Im Falle bankeigener Entwicklungen möge dies noch möglich sein, bei Standardsoftware hingegen nicht: “Erklären Sie mal einer SAP, dass sie für aufsichtliche Zwecke ihre Software offenlegen soll”, heißt es. “Niemals werden Sie Einblick in den Quellcode von Anwendungen bekommen.”Anbieter von Standardsoftware hüteten ihre Geschäftsgeheimnisse, und Kunden erhielten Zugriff allein auf entsprechende Schnittstellen. Selbst kleinere Häuser wären damit nicht allzu freigebig. Allenfalls hinterlegten sie ihre Quellcodes bei Notaren, um sicherzustellen, dass eine Pleite des Unternehmens nicht den Zugriff auf die Software gefährde.