Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Brille

Veracode veröffentlicht die neunte Ausgabe des State of Software Security Report. Der diesjährige Bericht analysiert die Scans von mehr als 2 Billionen Code-Zeilen, die alle über einen Zeitraum von 12 Monaten zwischen dem 1. April 2017 und dem 30. April 2018 durchgeführt wurden.

Daraus lassen sich wertvolle Rückschlüsse über die Sicherheit des Programm-Codes ziehen, den Unternehmen aktuell generieren und auch, wie sie daran arbeiten Schwachstellen zu beseitigen. Die fünf wichtigsten Erkenntnisse aus dem Report sind:

1. Der meiste Code beinhaltet immer noch Schwachstellen

Mehr als 85 Prozent aller Anwendungen weisen mindestens eine Schwachstelle auf; mehr als 13 haben mindestens eine sehr schwerwiegende Schwachstelle. Hier besteht also immer noch viel Handlungsbedarf und Unternehmen müssen sich auf die Anwendungssicherheit konzentrieren.

2. Die Probleme bleiben die selben

Alarmierend ist, dass Jahr für Jahr die gleichen Schwachstellen im Code auftauchen. Die Mehrheit der Anwendungen in diesem Jahr litt unter Informationslecks, kryptographischen Problemen, schlechter Code-Qualität und CRLF-Injektion. Außerdem wurden beispielsweise hochgradig ausnutzbare Cross-Site-Scripting-Fehler in fast 49 Prozent der Anwendungen entdeckt. SQL-Injection tauchte in fast 28 Prozent der getesteten Software auf. Diese Probleme lassen sich zumindest teilweise darauf zurückführen, dass Sicherheit bei der Ausbildung von Entwicklern eine sekundäre Rolle spielt.

3. Zu viel Zeit vergeht, bis Fehler behoben werden

Fehler zu finden ist eine Sache, sie zu beheben die andere: Eine Woche nach der ersten Entdeckung schließen Unternehmen nur etwa 15 Prozent der Schwachstellen. Im ersten Monat erreicht diese Quote knapp 30 Prozent. Nach drei Monaten haben es die Unternehmen noch nicht einmal zur Hälfte geschafft und nur etwas mehr als 45 Prozent aller Lücken geschlossen. Insgesamt ist jede vierte Schwachstelle über ein Jahr nach der ersten Entdeckung noch offen.

Warum ist diese langsame Fix-Rate so gefährlich? Weil Cyberkriminelle schnell sind. Wenn Unternehmen einen Fehler entdeckt haben, ist die Chance groß, dass auch Kriminelle darüber Bescheid wissen. Die Zeit, die Angreifer benötigen, um Exploits für neu entdeckte Schwachstellen zu finden, wird in Stunden oder Tagen gemessen. Ein großes Fenster zwischen Finden und Beheben von Fehlern birgt ein hohes Sicherheitsrisiko.

4. Das Volumen der Schwachstellen bedingt Priorisierung

Offensichtlich enthalten die meisten Codes eine signifikante Anzahl von sicherheitsrelevanten Fehlern, deren Behebung keine einfache oder schnelle Aufgabe ist. Daher gelten heute Priorisierungsregeln für die Anwendungssicherheit. Und die diesjährigen Daten zeigen, dass Unternehmen, obwohl sie ihre Fehler priorisieren, nicht immer alle wichtigen Variablen berücksichtigen. Die meisten priorisieren nach der Schwere des Fehlers, ohne jedoch Kritikalität oder Ausnutzbarkeit zu berücksichtigen.

Schon ein kleiner Fahler kann Hackern ausreichend Systemwissen liefern, das sie anschließend nutzen können, um eine Bresche in die IT-Befestigung zu schlagen. Ein Fehler bei der Verwaltung von Anmeldeinformationen mit geringer Schwere, der möglicherweise nicht als sehr gefährlich angesehen wird, könnte den Angreifern die Schlüssel zu einem Konto geben, mit dem schwerwiegendere Fehler an anderer Stelle in der Software angegriffen werden können. Unternehmen müssen also kritischer werden bei der Prüfung, welche Probleme sie zuerst angehen.

5. DevSecOps-Praktiken forcieren die Anwendungssicherheit

Kunden, die die Vorteile der kontinuierlichen Softwarebereitstellung von DevSecOps nutzen, schließen ihre Lecks schneller als andere Unternehmen. Das ergibt sich aus dem Fokus auf Inkrementalismus in DevOps, der sich stark auf den Einsatz kleiner, häufiger Software-Builds konzentriert. Auf diese Weise wird es einfacher, schrittweise Verbesserungen an einer Anwendung vorzunehmen. Wenn Unternehmen DevSecOps nutzen, integrieren sie Sicherheitsüberprüfungen in diese laufenden Builds und fügen so eine kontinuierliche Verbesserung der Anwendungssicherheit ein.

Wenn Apps weniger als dreimal im Jahr getestet werden, bleiben Fehler mehr als 3,5x länger bestehen, als wenn ein Unternehmen sieben bis zwölf Scans pro Jahr durchführt. Das Risiko lässt sich weiter reduzieren, wenn man die Frequenz noch weiter erhöht. Sobald Unternehmen mehr als 300 Mal im Jahr scannen, können sie die Fehlerbeständigkeit in den Intervallen um das 11,5-fache verkürzen im Vergleich zu Anwendungen, die nur ein bis dreimal im Jahr gescannt werden.

Weitere Informationen:

Den vollständigen Report gibt es hier zum Download.

www.veracode.com
 

GRID LIST
Tb W190 H80 Crop Int 59c0f6503daa36156da927e434e5a40f

Bedrohung durch Cyber-Spionage- und Sabotageangriffe

Ein aktueller Bericht von F-Secure zeigt, dass Cyber-Kriminelle technisch sehr…
Tb W190 H80 Crop Int C85ebcb4ef072ba8aa27f388230b9282

Besorgnis über die ausgehenden Lieferanten-Cyberrisiken

BitSight und das Center for Financial Professionals (CeFPro) geben die Ergebnisse ihrer…
DSGVO

Sicherheit der Firmen-IT wichtiger als Datenschutz

Über 80 Prozent der deutschen Wirtschaft hat die Datenschutz-Grundverordnung (DSGVO) nur…
Weiterbildung Frau

Mitarbeiter bilden sich aus persönlichem Interesse weiter

9 von 10 Arbeitnehmern bilden sich immer wieder weiter. Was sie anspornt, ist die Lust am…
Security Expert

Nach der Cyberattacke: Externe Expertise bei Aufklärung nötig

Deutsche IT-Entscheider sind mehrheitlich (50,7 Prozent) der Meinung, dass…
DSGVO

DSGVO – Unternehmen vernachlässigen technische Datensicherheit

Um den Vorgaben der europäischen Datenschutz-Grundverordnung gerecht zu werden, müssen…