Ein Viertel aller Anwendungen in der Tech-Branche enthält „schwerwiegende“ Sicherheitslücken

Die Tech-Branche ist jedoch führend bei der Behebung von Sicherheitslücken, sobald diese entdeckt werden. [...]

Foto: NenadMaric/Pixabay

Laut dem zwölften State of Software Security (SoSS) Report von Veracode weisen 24 Prozent der Anwendungen im Technologiebereich Sicherheitslücken auf, die als „schwerwiegend“ eingestuft werden – im Falle eines Cyber-Angriffs würden sie damit ein kritisches Problem darstellen.

Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports analysierte Veracode 20 Millionen Scans von einer halben Million Anwendungen in den folgenden Branchen: Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden.

Im direkten Branchenvergleich weist die Technologiebranche mit 79 Prozent den zweithöchsten Anteil an Anwendungen mit Sicherheitslücken auf und ist damit geringfügig besser als der öffentliche Sektor mit 82 Prozent. Was den Anteil der behobenen Schwachstellen angeht, landet die Tech-Branche im Mittelfeld.

Technologieunternehmen beheben Software-Sicherheitslücken vergleichsweise schnell

Erfreulich ist, dass Tech-Unternehmen vergleichsweise schnell bei der Behebung von Schwachstellen sind, sobald diese in ihren Anwendungen entdeckt werden. Tatsächlich rühmt sich die Branche mit führenden Fehlerbehebungszeiten, die durch statische Analyse-Sicherheitstests (SAST) und Software Composition Analysis (SCA) entdeckt wurden.

Obwohl dies eine lobenswerte Leistung ist, benötigt die Branche trotzdem bis zu 363 Tage, um 50 Prozent der Schwachstellen zu beheben. Hier gibt es noch reichlich Raum für Verbesserungen.

Da der Anteil der Anwendungen mit Sicherheitslücken höher ist als in anderen Branchen, würden Technologieunternehmen davon profitieren, ihren Developer-Teams verbesserte Trainings- und Schulungsangebote für sicheres Kodieren anzubieten.

Chris Eng, Chief Research Officer bei Veracode, sagt: „Indem wir Entwicklern eine echte hands-on Erfahrung davon vermitteln, wie eine Schwachstelle im Code erkannt und ausgenutzt werden kann – und wie sie sich auf die Anwendung auswirken kann -, schaffen wir den Kontext und das Verständnis, um ihr Gespür für Software-Sicherheit zu entwickeln.

Unsere Untersuchungen haben ergeben, dass Unternehmen, deren Entwickler nur eine Lektion in unseren Security Labs-Schulungsprogramm absolviert hatten, 50 Prozent der Schwachstellen zwei Monate schneller behoben haben als Unternehmen ohne eine solche Schulung.“

Serverkonfiguration, unsichere Abhängigkeiten und Informationslecks sind die häufigsten Schwachstellen, die bei der dynamischen Analyse von Technologieanwendungen entdeckt werden, was im Großen und Ganzen einem ähnlichen Muster wie in anderen Branchen folgt.

Umgekehrt weist der Sektor die größte Abweichung vom Branchendurchschnitt bei kryptografischen Problemen und Informationslecks auf, was vielleicht darauf hindeutet, dass die Entwickler in der Technologiebranche mit den Herausforderungen des Datenschutzes besser vertraut sind.

Eng fügt hinzu:

„Die Zero-Day-Schachstelle Log4j im vergangenen Dezember war für viele Unternehmen ein Weckruf. Es folgten Maßnahmen der Regierung in Form von Leitlinien des Office of Management and Budget (OMB) und des European Cyber Resilience Act, die beide einen Schwerpunkt auf die Lieferkette legen. Um die Leistung im kommenden Jahr zu verbessern, sollten Technologieunternehmen nicht nur Strategien in Betracht ziehen, die Entwicklern dabei helfen, die Rate der in den Code eingebrachten Fehler zu reduzieren, sondern auch einen größeren Schwerpunkt auf die Automatisierung von Sicherheitstests in der Continuous Integration/Continuous Delivery (CI/CD)-Pipeline legen, um die Effizienz zu steigern.“

Der Veracode State of Software Security v12 Technology Snapshot kann hier heruntergeladen werden.
Der vollständige Bericht ist hier verfügbar.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*