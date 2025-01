Nirgendwo auf der Welt wird Application Security (AppSec) so großgeschrieben wie in Deutschland. Das belegt der State of ASPM Report von Cycode, dem Pionier im Bereich Application Security Posture Management (ASPM). Deutschland ist damit Vorreiter in Sachen Anwendungssicherheit – doch getan ist die Arbeit damit leider noch nicht.

Aus »Software is eating the world« ist mittlerweile »Code is everywhere« geworden: Laut der Einschätzung von Cycode nähert sich die Menschheit einem jährlichen Output von 100 Milliarden Zeilen Quelltext an. Doch gänzlich manuell passiert das nicht – ein treibender Faktor für die Anwendungsentwicklung ist mehr und mehr generative KI (GenAI). Dieser Trend hat jedoch auch seine Schattenseiten, wie der State of ASPM Report belegt. Im Rahmen der Studie, für die 700 CISOs, AppSec Directors und DevSecOps-Manager in Deutschland, den USA und Großbritannien befragt wurden, gaben 59 % der Teilnehmenden an, dass die Angriffsflächen immer unbeherrschbarer werden. In der langen Reihe potenzieller Bedrohungen nimmt generative KI ihnen zufolge mittlerweile den ersten Rang ein.

Viele Unternehmen haben sich daher entschlossen, ihre Tech-Stacks zu konsolidieren, um die Kontrolle zurückzuerlangen und ihre Cybersicherheit zu verbessern. Gerade deutsche Unternehmen sind – so belegen die Zahlen des Reports – führend, wenn es darum geht moderne Application-Security-Strategien in die Praxis umzusetzen. Neben der Tool-Konsolidierung arbeiten sie aktiver als die globale Konkurrenz daran, die Kollaboration zwischen Cybersecurity- und Entwicklerteams zu stärken und die Codesicherheit zu priorisieren.

Sicherheit geht in Deutschland vor

In Zahlen ausgedrückt haben 69 % der deutschen Unternehmen bereits ihre Tool-Stacks konsolidiert und damit die Angriffsfläche effektiv verringert. Das haben bisher nur 60 % der US-Unternehmen und lediglich 58 % der Firmen aus Großbritannien geschafft. Dieses vorbildliche Engagement zahlt sich an anderer Stelle aus. So berichten 63 % der deutschen Unternehmen von einer schnelleren Identifizierung der Ursachen von Sicherheitsproblemen, während 64 % angaben, nach der Tool-Konsolidierung kritische Schwachstellen einfacher aufdecken zu können. Diese Vorteile sind auch den Unternehmen bewusst, die mit der Konsolidierung ihres Tool-Stacks noch nicht so weit sind. 90 % der Befragten aus dieser Gruppe sagten aus, dass sie dies in den nächsten zwölf Monaten (sofern möglich) in Angriff nehmen wollen.

Ein wichtiger Faktor für die Weltmeisterrolle der deutschen Unternehmen bei der Anwendungssicherheit ist, dass sie Vorreiter darin sind, Codesicherheit als kritisches Fundament für den Schutz moderner Applikationen anzusehen. Ganze 81 % der deutschen Unternehmen haben den Grundsatz »Code is everywhere« verinnerlicht und handeln entsprechend: Sie erkennen an, dass Software nicht nur den Arbeitsalltag ihrer Mitarbeitenden prägt, sondern eben auch untrennbar mit dem gesamten Unternehmen verwoben ist und priorisieren entsprechend die Cybersicherheit. In den USA sehen das nur 73 % so und in UK nur 69 %. Gleichzeitig bemängelten 80 % der deutschen Studienteilnehmer zu geringe Investitionen der hiesigen CISOs in die Codesicherheit: ein Beweis für das hohe Sicherheitsbewusstsein hierzulande und ein Indikator dafür, warum Deutschland den Titel Application-Security-Weltmeister auch wirklich verdient.

Weniger Reaktion, mehr Prävention

Interessanterweise unterscheiden sich die Prioritäten bei den Sicherheitsausgaben in Deutschland von denen in den USA und Großbritannien. Während die Befragten in den USA den größten Teil ihrer Budgets für Sicherheitstools und Technologieevaluierung aufwenden und in Großbritannien das Sicherheitsbewusstsein und die Schulung im Vordergrund stehen, geben die deutschen Studienteilnehmer den größten Teil ihrer Budgets für die Reaktion auf Sicherheitsvorfälle und deren Untersuchung aus.

Diese bis dato noch sehr reaktive Ausrichtung zeigt für deutsche Unternehmen Weiterentwicklungsmöglichkeiten hin zu einem proaktiveren Ansatz auf. Das ASPM-Konzept bietet genau das: Eine holistische ASPM-Plattform ermöglicht die Konsolidierung von Tools, verbessert die Transparenz und fördert die Zusammenarbeit. Auf diese Weise hilft sie IT-Teams, Bedrohungen zu antizipieren und zu verhindern, anstatt nur auf sie zu reagieren.

»Der Markt sendet ein klares Signal: Es ist an der Zeit, die Art und Weise zu überdenken, wie wir die Anwendungssicherheit angehen«, betont Lior Levy, Mitgründer und CEO von Cycode. »Unternehmen investieren mehr denn je in die Sicherheit von Code, dennoch existieren nach wie vor Bedrohungen in der IT wie unübersichtliche Tool-Landschaften und unbeherrschbare Angriffsflächen. Wir sind an einem kritischen Punkt angelangt und Unternehmen sollten nicht zwischen Innovation und IT-Sicherheit entscheiden müssen, weshalb gerade holistische ASPM-Plattformen in Zukunft eine tragende Rolle im Cybersecurity-Kontext spielen werden.«

»Deutschland hat sich zu einem echten Vorreiter bei der Anwendungssicherheit entwickelt«, ergänzt Jochen Koehler, Vice President of Sales EMEA bei Cycode. »Wie die Zahlen des State of ASPM Report belegen, gibt es jedoch noch einiges zu tun. Indem sie ASPM zu einem Eckpfeiler ihrer Cybersecurity-Strategie machen und weiterhin Codesicherheit, Tool-Konsolidierung sowie proaktivere Ansätze priorisieren, sind deutsche Unternehmen prädestiniert dafür, den Goldstandard für moderne AppSec-Praktiken in ganz Europa und weltweit zu definieren. Exakt aus diesem Grund ist Deutschland aktuell Application-Security-Weltmeister.«

