Illustration: Absmeier, TheDigitalArtist

Ein Viertel aller Anwendungen in der Tech-Branche enthält »schwerwiegende« Sicherheitslücken. Branche ist jedoch führend bei der Behebung von Sicherheitslücken, sobald diese entdeckt werden.

Laut dem zwölften State of Software Security (SoSS) Report von Veracode weisen 24 Prozent der Anwendungen im Technologiebereich Sicherheitslücken auf, die als »schwerwiegend« eingestuft werden – im Falle eines Cyberangriffs würden sie damit ein kritisches Problem darstellen.

Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports analysierte Veracode 20 Millionen Scans von einer halben Million Anwendungen in den folgenden Branchen: Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden.

Im direkten Branchenvergleich weist die Technologiebranche mit 79 Prozent den zweithöchsten Anteil an Anwendungen mit Sicherheitslücken auf und ist damit geringfügig besser als der öffentliche Sektor mit 82 Prozent. Was den Anteil der behobenen Schwachstellen angeht, landet die Tech-Branche im Mittelfeld.

Technologieunternehmen beheben Software-Sicherheitslücken vergleichsweise schnell

Erfreulich ist, dass Tech-Unternehmen vergleichsweise schnell bei der Behebung von Schwachstellen sind, sobald diese in ihren Anwendungen entdeckt werden. Tatsächlich rühmt sich die Branche mit führenden Fehlerbehebungszeiten, die durch statische Analyse-Sicherheitstests (SAST) und Software Composition Analysis (SCA) entdeckt wurden. Obwohl dies eine lobenswerte Leistung ist, benötigt die Branche trotzdem bis zu 363 Tage, um 50 Prozent der Schwachstellen zu beheben. Hier gibt es noch reichlich Raum für Verbesserungen.

Da der Anteil der Anwendungen mit Sicherheitslücken höher ist als in anderen Branchen, würden Technologieunternehmen davon profitieren, ihren Developer-Teams verbesserte Trainings- und Schulungsangebote für sicheres Kodieren anzubieten.

Chris Eng, Chief Research Officer bei Veracode, sagt: »Indem wir Entwicklern eine echte Hands-on-Erfahrung davon vermitteln, wie eine Schwachstelle im Code erkannt und ausgenutzt werden kann – und wie sie sich auf die Anwendung auswirken kann –,  schaffen wir den Kontext und das Verständnis, um ihr Gespür für Softwaresicherheit zu entwickeln. Unsere Untersuchungen haben ergeben, dass Unternehmen, deren Entwickler nur eine Lektion in unseren Security-Labs-Schulungsprogramm absolviert hatten, 50 Prozent der Schwachstellen zwei Monate schneller behoben haben als Unternehmen ohne eine solche Schulung.«

Serverkonfiguration, unsichere Abhängigkeiten und Informationslecks sind die häufigsten Schwachstellen, die bei der dynamischen Analyse von Technologieanwendungen entdeckt werden, was im Großen und Ganzen einem ähnlichen Muster wie in anderen Branchen folgt. Umgekehrt weist der Sektor die größte Abweichung vom Branchendurchschnitt bei kryptografischen Problemen und Informationslecks auf, was vielleicht darauf hindeutet, dass die Entwickler in der Technologiebranche mit den Herausforderungen des Datenschutzes besser vertraut sind.

Eng fügt hinzu: »Die Zero-Day-Schachstelle Log4j im vergangenen Dezember war für viele Unternehmen ein Weckruf. Es folgten Maßnahmen der Regierung in Form von Leitlinien des Office of Management and Budget (OMB) und des European Cyber Resilience Act, die beide einen Schwerpunkt auf die Lieferkette legen. Um die Leistung im kommenden Jahr zu verbessern, sollten Technologieunternehmen nicht nur Strategien in Betracht ziehen, die Entwicklern dabei helfen, die Rate der in den Code eingebrachten Fehler zu reduzieren, sondern auch einen größeren Schwerpunkt auf die Automatisierung von Sicherheitstests in der Continuous Integration/Continuous Delivery (CI/CD)-Pipeline legen, um die Effizienz zu steigern.«

Der Veracode State of Software Security v12 Technology Snapshot kann hier heruntergeladen werden. Der vollständige Bericht ist hier verfügbar.

The rightmost columns rank industries according to how quickly they fix flaws once they’re detected by three different types of scans. The technology sector boasts industry-leading fix times for flaws discovered by static analysis (SAST) and software composition analysis (SCA) scans and slips to the middle for dynamic analysis (DAST). That’s a laudable accomplishment, but the number of days required to get to the halfway point shows there’s still ample room for improvement.