IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Stethoscope40 Prozent der Unternehmen setzten schon bei der Software-Entwicklung auf Sicherheitstests. Das ist ein Ergebnis einer aktuellen Umfrage von Veracode unter Entwicklern und IT-Führungskräften aus Deutschland, dem Vereinigten Königreich und den Vereinigten Staaten.

Die Studie unterstreicht, wie wichtig es ist, im Zeitalter von DevOps Entwickler bei Sicherheitsthemen mit einzubeziehen und, dass Anwendungssicherheit verstärkt in den Fokus von Unternehmen rückt. Es lässt sich klar ein Trend zu früheren und regelmäßigen Sicherheitstests während der Softwareentwicklung erkennen. Dennoch zeigt die Untersuchung auch, dass es noch immer Hürden gibt, die Entwicklungs- und IT-Sicherheitsteams überwinden müssen, um gemeinsam an sicherer Software zu arbeiten.

Frühere Tests und bessere Fehlererkennung

21 Prozent der Befragten gaben an, dass Sicherheitstests in ihrem Unternehmen schon in der Entwicklungsphase durchgeführt werden. Das hat handfeste Vorteile, denn Fehler, die bei Tests früh im Entwicklungsprozess gefunden werden, lassen sich mit dem geringsten Kostenaufwand fixen. 38,6 Prozent der Entwickler erklärten zudem, dass die Absicherung von Anwendungen gegen Cyber-Angriffe und Datenschutzverletzungen ganz oben auf ihrer Prioritätenliste steht. Das zeigt, welchen Stellenwert IT-Sicherheit inzwischen in Unternehmen hat. Traditionell lagen Sicherheitsthemen nämlich nicht im Fokus der Entwickler. So lässt sich auch der Trend zu immer früheren Sicherheitstests während der Entwicklung erklären.

Verbesserungen für die Zukunft

Trotz der gestiegenen Relevanz von Sicherheit im Entwicklungsprozess müssen die befragten Software-Entwickler oft mit IT-Sicherheitsprogrammen kämpfen, die ihre tägliche Arbeit beeinträchtigen. So monierten ganze 52 Prozent, dass Sicherheitstests von Anwendungen die Entwicklung verlangsamen und es für sie schwieriger machen, Deadlines einzuhalten. Außerdem gaben weniger als 25 Prozent der Befragten an, entscheidungsbefugt zu sein, was die Anwendungssicherheit angeht. Dieser Mangel an Verantwortlichkeit und die Auswirkungen auf Entwicklungs-Timelines sind ernsthafte Gefahren für die weitere Verbesserung von Anwendungssicherheit und ihre Einbeziehung in den Entwicklungsprozess.

“Sicherheitstests dürfen die Anwendungsentwicklung nicht behindern oder verlangsamen – vor allem nicht in der heutigen Zeit, in der die beständige Weiterentwicklung von Applikationen und neue Innovationen kritische Erfolgsfaktoren für Unternehmen sind“, erklärt Julian Totzek-Hallhuber, Solution Architect bei Veracode. “Die Branche hat jetzt, da DevOps zum Standard in der Software-Entwicklung wird, die Chance, auch Sicherheitsfragen direkt in den Entwicklungsprozess zu integrieren. Das ist der beste Weg, um zukünftig immer sichere Anwendungen bieten zu können.“

Weitere Ergebnisse:

  • Große Furcht vor dem Verlust sensibler Daten: 52 Prozent der befragten Entwickler und Führungskräfte erklärten, große Furcht vor dem Verlust sensibler Daten zu haben. Darunter fallen neben Login-Daten auch Daten mit Bezug zur Privatsphäre, wie zum Beispiel Patientendaten in der Gesundheitsbranche. Fehlerhafte Authentifizierung und Session Management liegen mit 37 Prozent an zweiter Stelle.
     
  • Regionale Unterschiede: In Deutschland und dem Vereinigten Königreich gaben 40 Prozent der Entwickler und 38 Prozent der Führungskräfte an, dass die Vermeidung schädlicher Cyber-Attacken und Sicherheitslücken für sie oberste Priorität habe. In den Vereinigten Staaten hingegen waren die Verhältnisse umgekehrt. Hier gaben dies 42 Prozent der Führungskräfte aber nur 34 Prozent der Entwickler selbst an.
     
  • Budget- und Zeitpläne: In Deutschland lag die Top-Priorität von 26 Prozent der Führungskräfte auf dem Einhalten von Budget- und Zeitplänen, in den Vereinigten Staaten haben allerdings nur 18 Prozent der Führungskräfte diesen Punkt auf ihrer Prioritätenliste.
     
  • Compliance in der Gesundheitsbranche: Für Entwickler und Führungskräfte in der Gesundheitsbranche war das Einhalten von Kunden- und regulatorischen Vorgaben die absolute Top-Priorität.
     
  • Keine Angst vor Open-Source: Veracodes kürzlich erschienener Bericht zum Status der Software Sicherheit (SOSS) zeigte, dass 97 Prozent aller Java-Anwendungen mindestens eine Komponente mit einer bekannten Sicherheitslücke besaßen. Dennoch ergibt die aktuelle Umfrage, dass nur 28 Prozent der Befragten der Ansicht waren, die Verwendung solcher Komponenten sei ein wichtiges Problem.
     
  • Finanzbranche und herstellende Industrie sind spät dran: 11 Prozent der Befragten aus der Finanzbranche und 16 Prozent aus der herstellenden Industrie sagten, sie implementierten Sicherheitsüberprüfungen erst später im Entwicklungsprozess.

Weitere Informationen:

Die vollständige, englischsprachige Studie können Sie hier herunterladen.

Zur Methodik

Die Umfrage wurde im September 2016 im Auftrag von Veracode durchgeführt. Hierzu wurden durch eine unabhängiges Institut Entwickler und IT-Führungskräfte aus verschiedenen Branchen befragt. Der Schwerpunkt lag auf der Finanzbranche, Architektur- und Ingenieurbüros, dem Bildungsbereich, der Gesundheitsbranche und der herstellenden Industrie. Insgesamt wurden 351 Entwickler aus den Vereinigten Staaten, dem Vereinigten Königreich und Deutschland sowie 151 IT-Führungskräfte aus den drei Ländern befragt. Die Befragten kommen aus mittleren und großen Unternehmen mit mindestens 500 Beschäftigten.   
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet