Veracode, ein weltweiter Marktführer bei intelligenter Softwaresicherheit, hat heute eine Studie veröffentlicht, nach der Anwendungen, die von Organisationen des öffentlichen Sektors entwickelt werden, tendenziell mehr Sicherheitslücken aufweisen als Anwendungen des privaten Sektors. Die Ergebnisse verdienen Beachtung, da eine höhere Anzahl von Fehlern und Schwachstellen in Anwendungen mit einem höheren Risiko korreliert. Die Studie wurde vor dem Hintergrund einer Reihe von Initiativen der US-amerikanischen Regierung zur Verbesserung der Cybersicherheit erstellt. Im Rahmen dieser Initiativen sollen Schwachstellen in Anwendungen verringert werden, die wichtige Regierungsfunktionen bereitstellen.
Die Forscher fanden heraus, dass fast 82 Prozent der von Organisationen des öffentlichen Sektors entwickelten Anwendungen bei ihrem letzten Scan in den letzten 12 Monaten mindestens eine Sicherheitslücke aufwiesen – dasselbe gilt für 74 Prozent der Anwendungen des Privatsektors. Je nach Art der erkannten Schwachstelle lag im öffentlichen Sektor die Wahrscheinlichkeit des Auftretens einer Schwachstelle in den letzten 12 Monaten um 7 bis 12 % höher.
„Der Unterschied bei der Häufigkeit von Schwachstellen in Anwendungen des öffentlichen und des privaten Sektors ist signifikant. Die Anstrengungen der Regierung, diese Lücke zu schließen, sind notwendig und sollten fortgesetzt werden. Als Hüter der öffentlichen Sicherheit stehen die Behörden in der Pflicht, diese Lücke zu schließen und die Sicherheit zu stärken, um die Nation und ihre Bürger zu schützen“, kommentiert Chris Eng, Chief Research Officer bei Veracode.
Die Analyse von Daten, die bei mehr als 27 Millionen Scans von 750.000 Anwendungen gesammelt wurden, bildet die Grundlage des jährlich erscheinenden Berichts State of Software Security von Veracode zum Stand der Softwaresicherheit. In diesem aktuellen Bericht werden die für den öffentlichen Sektor spezifischen Erkenntnisse aus den Scans und Anwendungen präsentiert, einschließlich der Ergebnisse von Bundes-, Landes- und Kommunalbehörden.
Zahlen allein spiegeln nicht den Schaden wider, der entsteht, wenn Hacker Softwarefehler und -schwachstellen ausnutzen. Anfang Mai dieses Jahres legte ein Ransomware-Angriff auf die Stadt Dallas wichtige Funktionen für die Erbringung öffentlicher Dienstleistungen lahm, darunter IT-Systeme, die von Sicherheitsbehörden eingesetzt werden. Mehr als drei Wochen nach dem Angriff hatten sich die Behörden von Dallas noch nicht vollständig erholt.
Schwerwiegende Schwachstellen: ein Punktsieg für den öffentlichen Sektor
Die Studie von Veracode förderte auch Gründe für Optimismus in Bezug auf die Anwendungssicherheit in öffentlichen Einrichtungen zutage. Die Zahl der aufgedeckten schwerwiegenden Schwachstellen in Anwendungen des öffentlichen Sektors (16,5 %) war innerhalb eines Zeitraums von 12 Monaten niedriger als in Anwendungen des nicht öffentlichen Sektors (19 %). Dies ist insofern relevant, als Schwachstellen von hohem Schweregrad im Fall ihrer Ausnutzung ein größeres Potenzial aufweisen, Systeme nachteilig zu beeinflussen.
Für moderne Anwendungstests sollten mehrere Arten von Sicherheitsscanner eingesetzt werden, wie etwa statische Anwendungstests (SAST) und Softwarekompositionsanalysen (SCA), da verschiedene Scanverfahren unterschiedliche Schwachstellen aufdecken können. SAST und SCA identifizierten bei einem geringen Prozentsatz der öffentlichen Einrichtungen Anwendungsschwachstellen als bei privaten Unternehmen.
Die Tatsache, dass SCA-Tools weniger Schwachstellen aufdecken, kann auf erste Auswirkungen der Executive Order vom Mai 2021 (EO 14028) hindeuten, die die US-Bundesbehörden anweist, ihre Anstrengungen zum Schutz der Softwarelieferkette zu verstärken. Die Verordnung verlangt auch eine verstärkte Nutzung von Software-Stücklisten (SBOMs), in denen die Softwarekomponenten detailliert sind, um auf diese Weise Informationsaustausch, Transparenz und die Sichtbarkeit zu fördern. An anderer Stelle standardisiert das Federal Risk and Authorization Management Program (FedRAMP) die Sicherheitsbewertung von Cloud-Produkten und -Diensten. Ebenso ermöglicht StateRAMP den staatlichen und lokalen Behörden, die Compliance der Cybersicherheitsrichtlinien durch die Cloud-Dienstleister zu überprüfen.
„Da sich moderne IT-Systeme weiterentwickelt haben und komplexer geworden sind, ist die Taxonomie der Anwendungsschwachstellen vielfältiger geworden“, berichtet Eng. „Daher gilt die Verwendung mehrerer Scanverfahren zum Aufdecken und Beheben von Schwachstellen heute als Best Practice.“
Vorbeugen ist besser als Heilen
Ein großer Unterschied zwischen Anwendungen im öffentlichen und im privaten Sektor besteht bei der Schnelligkeit, mit der Scans neue Schwachstellen in veralteter Software identifizieren. Für Softwarelösungen, die fünf Jahre im Einsatz sind, klaffen die Ergebnisse weit auseinander: Die Häufigkeit neuer Schwachstellen in Anwendungen des privaten Sektors steigt, während die Häufigkeit in öffentlichen Einrichtungen abnimmt.
Dieser Trend legt den Schluss nahe, dass Behörden die Sicherheit von Anwendungen über einen längeren Zeitraum und nicht nur während der ersten Jahre des Lebenszyklus im Auge behalten. Im Gegensatz dazu nimmt die Einführung von Schwachstellen in Anwendungen außerhalb des öffentlichen Sektors im Zuge der Softwarealterung kontinuierlich zu.
Der Report „State of Software Security Public Sector 2023“ empfiehlt vier Maßnahmen, mit denen Behörden ihren Cybersicherheitsstatus verbessern können.
- Aufholen: Behebung der bereits entdeckten Schwachstellen
- Regelmäßiges Scannen: Unregelmäßiges Scannen erschwert die Behebung von Schwachstellen und vergrößert den Rückstand
- Automatisieren: Durch die Automatisierung von Tests über APIs wird die Einführung von Schwachstellen in Anwendungen minimiert
- Dem Stapel DAST hinzufügen: Mit dynamischem Scannen decken Sie Schwachstellen auf, die andere Scanverfahren übersehen
„Der öffentliche Sektor hat bei der Erhöhung der Sicherheit von Anwendungen, die von der Regierung eingesetzt werden, einen weiten Weg zurückgelegt, aber es bleibt noch viel zu tun, damit die Behörden ihren Cybersicherheitsstatus verbessern und neue Bedrohungen abwehren können. Durch die Fokussierung der Anstrengungen auf die Ursache der meisten Sicherheitsverletzungen – die Anwendungsebene – können die Behörden die erforderlichen Verbesserungen verwirklichen. Regelmäßige Scans mit verschiedenen Testverfahren und den Abbau der „Sicherheitsschuld“ – also angehäufte Softwareschwachstellen, die die Sicherheit eines Systems gefährden – werden den Weg in eine sicherere Zukunft für Regierungseinrichtungen ebnen“, fügt Eng an.
Die vollständigen Ergebnisse zum öffentlichen Sektor aus dem Veracode State of Software Security-Report sind verfügbar und liefern wichtige Vergleichsdaten zwischen Regierungsbehörden.
Der vollständige Bericht „Veracode State of Software Security 2023“ steht zum Download bereit.
Über den State of Software Security Report
Die 13. Ausgabe des Jahresberichts von Veracode über den Stand der Softwaresicherheit untersucht die historischen Trends in der Softwarebranche und deren Auswirkungen auf die Sicherheitspraktiken. Die diesjährigen Ergebnisse basieren auf den vollständigen historischen Daten der Veracode-Dienste und -Kunden und bilden einen Querschnitt großer und kleiner Unternehmen, kommerzieller Softwareanbieter, Software-Outsourcer und Open-Source-Projekte. Der Bericht liefert Erkenntnisse zu Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die Cloud-basierte Plattform von Veracode unterzogen wurden. Er berücksichtigt Daten, die von Veracode-Kunden zur Verfügung gestellt wurden, sowie Informationen, die im Rahmen der Analyse von Veracode berechnet oder abgeleitet wurden.
Über Veracode
Veracode ist intelligente Softwaresicherheit. Die Veracode Software Security Plattform deckt in jeder Phase des modernen Softwareentwicklungszyklus kontinuierlich Mängel und Schwachstellen auf. Gestützt auf leistungsstarke KI, die mit Billionen von Codezeilen trainiert wurde, können die Kunden von Veracode Mängel schneller und präzise beheben. Veracode genießt das Vertrauen von Sicherheitsteams, Entwicklern und Topmanagern von Tausenden führenden globalen Unternehmen und ist der Pionier, der die Bedeutung von intelligenter Softwaresicherheit ständig neu definiert. Veracode ist für das FedRAMP- und StateRAMP-Risiko- und Autorisierungsmanagementprogramm akkreditiert.
Copyright © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Marke von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos gehören ihren jeweiligen Inhabern. Alle anderen hier zitierten Marken sind Eigentum ihrer jeweiligen Inhaber.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20230605005100/de/