Anzeige

Anzeige

VERANSTALTUNGEN

SAMS 2019
25.02.19 - 26.02.19
In Berlin

Plutex Business-Frühstück
08.03.19 - 08.03.19
In Hermann-Ritter-Str. 108, 28197 Bremen

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

ELO Solution Day Hannover
13.03.19 - 13.03.19
In Schloss Herrenhausen, Hannover

Anzeige

Anzeige

Brille

Veracode veröffentlicht die neunte Ausgabe des State of Software Security Report. Der diesjährige Bericht analysiert die Scans von mehr als 2 Billionen Code-Zeilen, die alle über einen Zeitraum von 12 Monaten zwischen dem 1. April 2017 und dem 30. April 2018 durchgeführt wurden.

Daraus lassen sich wertvolle Rückschlüsse über die Sicherheit des Programm-Codes ziehen, den Unternehmen aktuell generieren und auch, wie sie daran arbeiten Schwachstellen zu beseitigen. Die fünf wichtigsten Erkenntnisse aus dem Report sind:

1. Der meiste Code beinhaltet immer noch Schwachstellen

Mehr als 85 Prozent aller Anwendungen weisen mindestens eine Schwachstelle auf; mehr als 13 haben mindestens eine sehr schwerwiegende Schwachstelle. Hier besteht also immer noch viel Handlungsbedarf und Unternehmen müssen sich auf die Anwendungssicherheit konzentrieren.

2. Die Probleme bleiben die selben

Alarmierend ist, dass Jahr für Jahr die gleichen Schwachstellen im Code auftauchen. Die Mehrheit der Anwendungen in diesem Jahr litt unter Informationslecks, kryptographischen Problemen, schlechter Code-Qualität und CRLF-Injektion. Außerdem wurden beispielsweise hochgradig ausnutzbare Cross-Site-Scripting-Fehler in fast 49 Prozent der Anwendungen entdeckt. SQL-Injection tauchte in fast 28 Prozent der getesteten Software auf. Diese Probleme lassen sich zumindest teilweise darauf zurückführen, dass Sicherheit bei der Ausbildung von Entwicklern eine sekundäre Rolle spielt.

3. Zu viel Zeit vergeht, bis Fehler behoben werden

Fehler zu finden ist eine Sache, sie zu beheben die andere: Eine Woche nach der ersten Entdeckung schließen Unternehmen nur etwa 15 Prozent der Schwachstellen. Im ersten Monat erreicht diese Quote knapp 30 Prozent. Nach drei Monaten haben es die Unternehmen noch nicht einmal zur Hälfte geschafft und nur etwas mehr als 45 Prozent aller Lücken geschlossen. Insgesamt ist jede vierte Schwachstelle über ein Jahr nach der ersten Entdeckung noch offen.

Warum ist diese langsame Fix-Rate so gefährlich? Weil Cyberkriminelle schnell sind. Wenn Unternehmen einen Fehler entdeckt haben, ist die Chance groß, dass auch Kriminelle darüber Bescheid wissen. Die Zeit, die Angreifer benötigen, um Exploits für neu entdeckte Schwachstellen zu finden, wird in Stunden oder Tagen gemessen. Ein großes Fenster zwischen Finden und Beheben von Fehlern birgt ein hohes Sicherheitsrisiko.

4. Das Volumen der Schwachstellen bedingt Priorisierung

Offensichtlich enthalten die meisten Codes eine signifikante Anzahl von sicherheitsrelevanten Fehlern, deren Behebung keine einfache oder schnelle Aufgabe ist. Daher gelten heute Priorisierungsregeln für die Anwendungssicherheit. Und die diesjährigen Daten zeigen, dass Unternehmen, obwohl sie ihre Fehler priorisieren, nicht immer alle wichtigen Variablen berücksichtigen. Die meisten priorisieren nach der Schwere des Fehlers, ohne jedoch Kritikalität oder Ausnutzbarkeit zu berücksichtigen.

Schon ein kleiner Fahler kann Hackern ausreichend Systemwissen liefern, das sie anschließend nutzen können, um eine Bresche in die IT-Befestigung zu schlagen. Ein Fehler bei der Verwaltung von Anmeldeinformationen mit geringer Schwere, der möglicherweise nicht als sehr gefährlich angesehen wird, könnte den Angreifern die Schlüssel zu einem Konto geben, mit dem schwerwiegendere Fehler an anderer Stelle in der Software angegriffen werden können. Unternehmen müssen also kritischer werden bei der Prüfung, welche Probleme sie zuerst angehen.

5. DevSecOps-Praktiken forcieren die Anwendungssicherheit

Kunden, die die Vorteile der kontinuierlichen Softwarebereitstellung von DevSecOps nutzen, schließen ihre Lecks schneller als andere Unternehmen. Das ergibt sich aus dem Fokus auf Inkrementalismus in DevOps, der sich stark auf den Einsatz kleiner, häufiger Software-Builds konzentriert. Auf diese Weise wird es einfacher, schrittweise Verbesserungen an einer Anwendung vorzunehmen. Wenn Unternehmen DevSecOps nutzen, integrieren sie Sicherheitsüberprüfungen in diese laufenden Builds und fügen so eine kontinuierliche Verbesserung der Anwendungssicherheit ein.

Wenn Apps weniger als dreimal im Jahr getestet werden, bleiben Fehler mehr als 3,5x länger bestehen, als wenn ein Unternehmen sieben bis zwölf Scans pro Jahr durchführt. Das Risiko lässt sich weiter reduzieren, wenn man die Frequenz noch weiter erhöht. Sobald Unternehmen mehr als 300 Mal im Jahr scannen, können sie die Fehlerbeständigkeit in den Intervallen um das 11,5-fache verkürzen im Vergleich zu Anwendungen, die nur ein bis dreimal im Jahr gescannt werden.

Weitere Informationen:

Den vollständigen Report gibt es hier zum Download.

www.veracode.com
 

GRID LIST
5G

5G ist ein muss, da sich der Mobil-Verkehr bis 2022 vervierfacht

Von 2017 bis 2022 erhöht sich in Deutschland der mobile Datenverkehr pro Einwohner von…
IIOT Security

Hälfte der Unternehmen erkennt Sicherheitsverletzungen an IoT-Geräten nicht

Gemalto zeigt auf, dass nur rund die Hälfte (48 Prozent) aller Unternehmen in der Lage…
Mobiltelefon

Smartphone-Markt wächst um 3 Prozent auf 34 Milliarden Euro

Größere Displays, bessere Netze und steigender mobiler Datenverkehr: 2019 wächst der…
Digitale Revolution

Digitale Revolution: Risiken bei der Nutzung von Kundendaten

Der Security-Anbieter RSA hat eine Umfrage zur Erhebung und Verwendung von Kundendaten…
Gesundheitswesen

Hochkonjunktur für Identitätsbetrug im Gesundheitswesen

Proofpoint hat seine neue Analyse zur aktuellen Bedrohungslage durch E-Mail-Betrug im…
Vergleich

Digitale Plattformen geben Kunden Überblick

Digitale Plattformen verschaffen den Kunden einen guten Überblick über das Angebot auf…
Smarte News aus der IT-Welt