60 Prozent der Unternehmen wenden bei der Softwareentwicklung keine Sicherheitstests an

Entwickler sehen Sicherheit gegen Cyberangriffe als Top-Priorität.

cover (c) veracode sicherheitstest softwareentwicklung

40 Prozent der Unternehmen setzten schon bei der Softwareentwicklung auf Sicherheitstests. Das ist ein Ergebnis einer aktuellen Umfrage von Veracode unter Entwicklern und IT-Führungskräften aus Deutschland, dem Vereinigten Königreich und den Vereinigten Staaten [1]. Die Studie unterstreicht, wie wichtig es ist, im Zeitalter von DevOps Entwickler bei Sicherheitsthemen mit einzubeziehen und, dass Anwendungssicherheit verstärkt in den Fokus von Unternehmen rückt. Es lässt sich klar ein Trend zu früheren und regelmäßigen Sicherheitstests während der Softwareentwicklung erkennen. Dennoch zeigt die Untersuchung auch, dass es noch immer Hürden gibt, die Entwicklungs- und IT-Sicherheitsteams überwinden müssen, um gemeinsam an sicherer Software zu arbeiten.

Frühere Tests und bessere Fehlererkennung   

21 Prozent der Befragten gaben an, dass Sicherheitstests in ihrem Unternehmen schon in der Entwicklungsphase durchgeführt werden. Das hat handfeste Vorteile, denn Fehler, die bei Tests früh im Entwicklungsprozess gefunden werden, lassen sich mit dem geringsten Kostenaufwand fixen. 38,6 Prozent der Entwickler erklärten zudem, dass die Absicherung von Anwendungen gegen Cyberangriffe und Datenschutzverletzungen ganz oben auf ihrer Prioritätenliste steht. Das zeigt, welchen Stellenwert IT-Sicherheit inzwischen in Unternehmen hat. Traditionell lagen Sicherheitsthemen nämlich nicht im Fokus der Entwickler. So lässt sich auch der Trend zu immer früheren Sicherheitstests während der Entwicklung erklären.

Verbesserungen für die Zukunft

Trotz der gestiegenen Relevanz von Sicherheit im Entwicklungsprozess müssen die befragten Softwareentwickler oft mit IT-Sicherheitsprogrammen kämpfen, die ihre tägliche Arbeit beeinträchtigen. So monierten ganze 52 Prozent, dass Sicherheitstests von Anwendungen die Entwicklung verlangsamen und es für sie schwieriger machen, Deadlines einzuhalten. Außerdem gaben weniger als 25 Prozent der Befragten an, entscheidungsbefugt zu sein, was die Anwendungssicherheit angeht. Dieser Mangel an Verantwortlichkeit und die Auswirkungen auf Entwicklungs-Timelines sind ernsthafte Gefahren für die weitere Verbesserung von Anwendungssicherheit und ihre Einbeziehung in den Entwicklungsprozess.

»Sicherheitstests dürfen die Anwendungsentwicklung nicht behindern oder verlangsamen – vor allem nicht in der heutigen Zeit, in der die beständige Weiterentwicklung von Applikationen und neue Innovationen kritische Erfolgsfaktoren für Unternehmen sind«, erklärt Julian Totzek-Hallhuber, Solution Architect bei Veracode. »Die Branche hat jetzt, da DevOps zum Standard in der Softwareentwicklung wird, die Chance, auch Sicherheitsfragen direkt in den Entwicklungsprozess zu integrieren. Das ist der beste Weg, um zukünftig immer sichere Anwendungen bieten zu können.«

Weitere Ergebnisse:

  • Große Furcht vor dem Verlust sensibler Daten: 52 Prozent der befragten Entwickler und Führungskräfte erklärten, große Furcht vor dem Verlust sensibler Daten zu haben. Darunter fallen neben Login-Daten auch Daten mit Bezug zur Privatsphäre, wie zum Beispiel Patientendaten in der Gesundheitsbranche. Fehlerhafte Authentifizierung und Session Management liegen mit 37 Prozent an zweiter Stelle.
  • Regionale Unterschiede: In Deutschland und dem Vereinigten Königreich gaben 40 Prozent der Entwickler und 38 Prozent der Führungskräfte an, dass die Vermeidung schädlicher Cyberattacken und Sicherheitslücken für sie oberste Priorität habe. In den Vereinigten Staaten hingegen waren die Verhältnisse umgekehrt. Hier gaben dies 42 Prozent der Führungskräfte aber nur 34 Prozent der Entwickler selbst an.
  • Budget- und Zeitpläne: In Deutschland lag die Top-Priorität von 26 Prozent der Führungskräfte auf dem Einhalten von Budget- und Zeitplänen, in den Vereinigten Staaten haben allerdings nur 18 Prozent der Führungskräfte diesen Punkt auf ihrer Prioritätenliste.
  • Compliance in der Gesundheitsbranche: Für Entwickler und Führungskräfte in der Gesundheitsbranche war das Einhalten von Kunden- und regulatorischen Vorgaben die absolute Top-Priorität.
  • Keine Angst vor Open Source: Veracodes kürzlich erschienener Bericht zum Status der Softwaresicherheit (SOSS) zeigte, dass 97 Prozent aller Java-Anwendungen mindestens eine Komponente mit einer bekannten Sicherheitslücke besaßen. Dennoch ergibt die aktuelle Umfrage, dass nur 28 Prozent der Befragten der Ansicht waren, die Verwendung solcher Komponenten sei ein wichtiges Problem.
  • Finanzbranche und herstellende Industrie sind spät dran: 11 Prozent der Befragten aus der Finanzbranche und 16 Prozent aus der herstellenden Industrie sagten, sie implementierten Sicherheitsüberprüfungen erst später im Entwicklungsprozess.

 

[1] Die Umfrage wurde im September 2016 im Auftrag von Veracode durchgeführt. Hierzu wurden durch eine unabhängiges Institut Entwickler und IT-Führungskräfte aus verschiedenen Branchen befragt. Der Schwerpunkt lag auf der Finanzbranche, Architektur- und Ingenieurbüros, dem Bildungsbereich, der Gesundheitsbranche und der herstellenden Industrie. Insgesamt wurden 351 Entwickler aus den Vereinigten Staaten, dem Vereinigten Königreich und Deutschland sowie 151 IT-Führungskräfte aus den drei Ländern befragt. Die Befragten kommen aus mittleren und großen Unternehmen mit mindestens 500 Beschäftigten. 
Die vollständige, englischsprachige Studie können Sie nach Registrierung hier herunterladen: https://info.veracode.com/report-veracode-developer-survey.html

Hier folgt eine kleine Auswahl an Fachbeiträgen, Studien und Artikel die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

Schnelle Entwicklung von Software in guter Qualität ist große Herausforderung für Unternehmen

Penetrationstests decken IT-Sicherheitslücken rechtzeitig auf

Nur 18 Prozent der Firmen haben eine digitale Testing-Strategie

Automobil-Branche: Software-Testing (k)eine Kernkompetenz der Hersteller

Fünf Tipps für eine sichere Softwarelieferkette

Optimal getestet für den gelungenen Launch

IT-Sicherheitstrends 2017: Expertenmangel bremst die Initiativen der Unternehmen

Halloween ist in der Softwarebranche das ganze Jahr

Report: Open-Source-Komponenten erhöhen Risiken drastisch

Gefährliche Trittbrettfahrer: Missbrauch von Open-Source-Testsoftware

Unternehmen kämpfen mit dem hohen Tempo des technologischen Wandels

Sicherheitslücken verändern die Bedrohungslandschaft: Keine halben Sachen