Thought Leadership
Mehr als die Hälfte der Unternehmen beklagt Sicherheitslecks in Webanwendungen. Viele verzichten jedoch bislang auf sichere Programmiertechniken.
Die von Coverity bei Forrester Consulting in Auftrag gegebene Studie untersucht die Bereiche Anwendungssicherheit und Testen. Laut dem Bericht kommt es immer häufiger zu Sicherheitsvorfällen mit Webanwendungen und diese verursachen zunehmend höhere Kosten. So beklagte die Mehrheit der Befragten in den letzten 18 Monaten mindestens ein Sicherheitsleck, das zu Schäden in Höhe von Hunderttausenden, manchmal sogar Millionen US-Dollar führte. Gleichzeitig gab ein Großteil an, noch keine sicheren Programmiertechniken einzusetzen, weil primär die kurze Time-to-Market, geringe Budgets sowie fehlende Technologien für die Entwickler sie an der Implementierung dieser Praktiken hindern.
Insgesamt nahmen 240 Entscheider im Bereich der Softwareentwicklung aus Unternehmen in Europa und Nordamerika teil, die Webanwendungen entwickeln. Die wichtigsten Ergebnisse des Reports auf einen Blick:
- Sicherheitsvorfälle weit verbreitet und teuer: Laut Umfrage entdeckten in den letzten 18 Monaten rund die Hälfte der Befragten (51 Prozent) mindestens eine Webanwendungsschwachstelle. Dabei schätzten 18 Prozent ihre Schäden auf mehr als 500.000 US-Dollar, weitere acht Prozent veranschlagten diese sogar über der Marke von einer Million. Zwei der gemeldeten Fälle meldeten gar einen Verlust von mehr als 10 Millionen US-Dollar.
- Steigende Code-Mengen – Unternehmen benötigen mehr Security: Eine große Mehrheit der Befragten, die bereits Vorfälle verzeichneten (71 Prozent), beklagte mit Blick auf die Entwicklungsphase einen Mangel an erforderlichen Sicherheitstechnologien. Zudem fehlt es an Skalierbarkeit und Budget – die Security-Prozesse können laut 79 Prozent nicht mit der steigenden Zahl des zu produzierenden Codes Schritt halten, während 71 Prozent zu wenig Geld für das Thema Sicherheit zur Verfügung steht. Fast die Hälfte (41 Prozent) sieht sich aufgrund der kurzen Time-to-Market gezwungen, während der Entwicklung das Thema Sicherheit hintenanzustellen.
- Zu Wenige setzen auf sichere Entwicklungsmethoden: Nur 42 Prozent verfolgen Richtlinien für die sichere Codierung, weniger als ein Drittel (28 Prozent) dokumentiert erlaubte und verbotene Funktionen in einer Bibliothek und bloß rund ein Viertel (26 Prozent) setzt Bedrohungsmodelle im Rahmen der Entwicklung ein. Besonders alarmierend: Lediglich 17 Prozent der Befragten testen während der Entwicklung und mehr als die Hälfte verzichtet darauf, den geschriebenen Code vor Start der Integrationstests auf Fehler und Schwachstellen zu überprüfen.
- Entwickler mühen sich mit veralteten Sicherheits-Tools: Befragt nach den drei größten Herausforderungen im Umgang mit Security-Tools für Webanwendungen zählen die Entwickler eine schlechte Integration mit ihren aktuellen Entwicklungsumgebungen, zu viel erforderliches Know-how im Bereich Security sowie die große Anzahl von False Positives auf. Zum Vergleich: Einige der Security-Experten stimmten der Auffassung zu, dass die Integration eine der primären Herausforderungen sei. Jedoch war keiner von ihnen der Meinung, dass Sicherheitstools zu komplex wären oder zu viel Fachkompetenz verlangen würden.
- Unternehmen kämpfen zunehmend mit der immer komplexeren und ausgereifteren Bedrohungslandschaft. Deshalb kommen sie nicht umhin, die Sicherheit ihrer Anwendungen zu verbessern. Wird das Thema Security nicht von Beginn an in die Entwicklung integriert, können diese Maßnahmen zu einem späteren Zeitpunkt nicht nur ineffektiver sondern letztlich auch kostspieliger werden.
„Entwickler und Security-Verantwortliche sprechen beim Thema Anwendungssicherheit oftmals unterschiedliche Sprachen und das zieht häufig negative Konsequenzen für das Unternehmen nach sich“, sagt Jennifer Johnson, VP Marketing bei Coverity. „Anwendungssicherheit beginnt und endet mit der Entwicklung. Entwickler sollten deshalb Teil der Lösung sein. Erst wenn das Thema Sicherheit in den Entwicklungsprozess eingebunden wird, und zwar mit Technologien und Prozessen, die die Entwickler verstehen und anwenden können, lässt sich dieses Problem beheben. Veraltete Tools, die einst speziell für Security-Experten entworfen wurden, sind hingegen kein geeignetes Mittel.“
