40 Prozent der Unternehmen setzten bereits bei der Software-Entwicklung auf Sicherheitstests. Das ist ein Ergebnis einer Umfrage von Veracode unter Entwicklern und IT-Führungskräften aus Deutschland, UK und den Vereinigten Staaten. Die Studie zeigt, wie wichtig es im Zeitalter von DevOps ist, Entwickler bei Sicherheitsthemen mit einzubeziehen und dass Anwendungssicherheit verstärkt in den Fokus von Unternehmen rückt. [...]
Es lässt sich laut der Studie klar ein Trend zu früheren und regelmäßigen Sicherheitstests während der Softwareentwicklung erkennen. Dennoch zeigt die Untersuchung auch, dass es noch immer Hürden gibt, die Entwicklungs- und IT-Sicherheitsteams überwinden müssen, um gemeinsam an sicherer Software zu arbeiten.
Frühere Tests und bessere Fehlererkennung
21 Prozent der Befragten gaben an, dass Sicherheitstests in ihrem Unternehmen schon in der Entwicklungsphase durchgeführt werden. Das hat handfeste Vorteile, denn Fehler, die bei Tests früh im Entwicklungsprozess gefunden werden, lassen sich mit dem geringsten Kostenaufwand fixen. 38,6 Prozent der Entwickler erklärten zudem, dass die Absicherung von Anwendungen gegen Cyber-Angriffe und Datenschutzverletzungen ganz oben auf ihrer Prioritätenliste steht. Das zeigt, welchen Stellenwert IT-Sicherheit inzwischen in Unternehmen hat. Traditionell lagen Sicherheitsthemen nämlich nicht im Fokus der Entwickler. So lässt sich auch der Trend zu immer früheren Sicherheitstests während der Entwicklung erklären.
21 Prozent der Befragten gaben an, dass Sicherheitstests in ihrem Unternehmen schon in der Entwicklungsphase durchgeführt werden. Das hat handfeste Vorteile, denn Fehler, die bei Tests früh im Entwicklungsprozess gefunden werden, lassen sich mit dem geringsten Kostenaufwand fixen. 38,6 Prozent der Entwickler erklärten zudem, dass die Absicherung von Anwendungen gegen Cyber-Angriffe und Datenschutzverletzungen ganz oben auf ihrer Prioritätenliste steht. Das zeigt, welchen Stellenwert IT-Sicherheit inzwischen in Unternehmen hat. Traditionell lagen Sicherheitsthemen nämlich nicht im Fokus der Entwickler. So lässt sich auch der Trend zu immer früheren Sicherheitstests während der Entwicklung erklären.
Verbesserungen für die Zukunft
Trotz der gestiegenen Relevanz von Sicherheit im Entwicklungsprozess müssen die befragten Software-Entwickler oft mit IT-Sicherheitsprogrammen kämpfen, die ihre tägliche Arbeit beeinträchtigen. So monierten ganze 52 Prozent, dass Sicherheitstests von Anwendungen die Entwicklung verlangsamen und es für sie schwieriger machen, Deadlines einzuhalten. Außerdem gaben weniger als 25 Prozent der Befragten an, entscheidungsbefugt zu sein, was die Anwendungssicherheit angeht. Dieser Mangel an Verantwortlichkeit und die Auswirkungen auf Entwicklungs-Timelines sind ernsthafte Gefahren für die weitere Verbesserung von Anwendungssicherheit und ihre Einbeziehung in den Entwicklungsprozess.
Trotz der gestiegenen Relevanz von Sicherheit im Entwicklungsprozess müssen die befragten Software-Entwickler oft mit IT-Sicherheitsprogrammen kämpfen, die ihre tägliche Arbeit beeinträchtigen. So monierten ganze 52 Prozent, dass Sicherheitstests von Anwendungen die Entwicklung verlangsamen und es für sie schwieriger machen, Deadlines einzuhalten. Außerdem gaben weniger als 25 Prozent der Befragten an, entscheidungsbefugt zu sein, was die Anwendungssicherheit angeht. Dieser Mangel an Verantwortlichkeit und die Auswirkungen auf Entwicklungs-Timelines sind ernsthafte Gefahren für die weitere Verbesserung von Anwendungssicherheit und ihre Einbeziehung in den Entwicklungsprozess.
„Sicherheitstests dürfen die Anwendungsentwicklung nicht behindern oder verlangsamen – vor allem nicht in der heutigen Zeit, in der die beständige Weiterentwicklung von Applikationen und neue Innovationen kritische Erfolgsfaktoren für Unternehmen sind“, erklärt Julian Totzek-Hallhuber, Solution Architect bei Veracode. „Die Branche hat jetzt, da DevOps zum Standard in der Software-Entwicklung wird, die Chance, auch Sicherheitsfragen direkt in den Entwicklungsprozess zu integrieren. Das ist der beste Weg, um zukünftig immer sichere Anwendungen bieten zu können.“
Weitere Ergebnisse der Befragung sind:
- Große Furcht vor dem Verlust sensibler Daten: 52 Prozent der befragten Entwickler und Führungskräfte erklärten, große Furcht vor dem Verlust sensibler Daten zu haben. Darunter fallen neben Login-Daten auch Daten mit Bezug zur Privatsphäre, wie zum Beispiel Patientendaten in der Gesundheitsbranche. Fehlerhafte Authentifizierung und Session Management liegen mit 37 Prozent an zweiter Stelle.
- Regionale Unterschiede: In Deutschland und dem Vereinigten Königreich gaben 40 Prozent der Entwickler und 38 Prozent der Führungskräfte an, dass die Vermeidung schädlicher Cyber-Attacken und Sicherheitslücken für sie oberste Priorität habe. In den Vereinigten Staaten hingegen waren die Verhältnisse umgekehrt. Hier gaben dies 42 Prozent der Führungskräfte aber nur 34 Prozent der Entwickler selbst an.
- Budget- und Zeitpläne: In Deutschland lag die Top-Priorität von 26 Prozent der Führungskräfte auf dem Einhalten von Budget- und Zeitplänen, in den Vereinigten Staaten haben allerdings nur 18 Prozent der Führungskräfte diesen Punkt auf ihrer Prioritätenliste.
- Compliance in der Gesundheitsbranche: Für Entwickler und Führungskräfte in der Gesundheitsbranche war das Einhalten von Kunden- und regulatorischen Vorgaben die absolute Top-Priorität.
- Keine Angst vor Open-Source: Veracodes kürzlich erschienener Bericht zum Status der Software Sicherheit (SOSS) zeigte, dass 97 Prozent aller Java-Anwendungen mindestens eine Komponente mit einer bekannten Sicherheitslücke besaßen. Dennoch ergibt die aktuelle Umfrage, dass nur 28 Prozent der Befragten der Ansicht waren, die Verwendung solcher Komponenten sei ein wichtiges Problem.
- Finanzbranche und herstellende Industrie sind spät dran: 11 Prozent der Befragten aus der Finanzbranche und 16 Prozent aus der herstellenden Industrie sagten, sie implementierten Sicherheitsüberprüfungen erst später im Entwicklungsprozess.
Be the first to comment