In 82 Prozent der Softwareanwendungen, die im öffentlichen Sektor zum Einsatz kommen, wurden Sicherheitslücken nachgewiesen.
Illustration: Absmeier
Neue Forschungsergebnisse von Veracode, Anbieter von Application Security Testing (AST), zeigen, dass der öffentliche Sektor im Vergleich zu anderen Branchen den höchsten Anteil an Sicherheitslücken in seinen Anwendungen aufweist [1]. Zudem verzeichnet er auch die niedrigsten und langsamsten Behebungsraten. Diese Ergebnisse sind das Resultat einer Datenanalyse von 20 Millionen Scans aus einer halben Million Anwendungen im Rahmen des diesjährigen State of Software Security Report (SoSS) von Veracode.
»Politische Entscheidungsträger und Führungskräfte im öffentlichen Sektor sind sich bewusst, dass staatliche Anwendungen aufgrund von veralteten Technologien und großen Mengen an sensiblen Daten für Akteure mit böswilligen Absichten ein bevorzugtes Ziel sind. Deshalb arbeitet das Weiße Haus gemeinsam mit dem U.S.-Kongress an einer Aktualisierung der Vorschriften für Cybersecurity Compliance. Im Zuge der Executive Order aus Mai 2021 zur Verbesserung der nationalen Cybersicherheit und zum Schutz von Regierungsnetzwerken haben das U.S. Office of Management and Budget, das Verteidigungsministerium sowie das Weiße Haus vier Memos herausgegeben, die sich mit der Notwendigkeit befassen, Zero-Trust-Cybersecurity-Prinzipien zu übernehmen und die Sicherheit der Software-Lieferkette zu verbessern. Unsere Studie bestätigt diese Notwendigkeit«, erklärt Chris Eng, Chief Research Officer bei Veracode.
Keine Zeit verlieren: Schneller mehr Schwachstellen beheben.
In der Analyse von Veracode weist der öffentliche Sektor im Vergleich zu anderen Branchen mit 82 Prozent den höchsten Anteil an Anwendungen mit Sicherheitslücken auf. Und auch bei der Behebung von Schwachstellen, nachdem diese entdeckt wurden, sind Organisationen des öffentlichen Sektors im Durchschnitt am langsamsten – sie benötigen ungefähr doppelt so lange wie Organisationen in anderen Branchen. Darüber hinaus ergab die Untersuchung, dass 60 Prozent der Schwachstellen in Bibliotheken von Drittanbietern auch nach zwei Jahren noch nicht behoben sind. Dieser Wert ist doppelt so hoch wie in anderen Sektoren und liegt mehr als 15 Monate über dem branchenübergreifenden Durchschnitt. Schließlich steht der öffentliche Sektor mit einer Behebungsrate von insgesamt nur 22 Prozent vor der Herausforderung, dafür zu sorgen, dass Angriffe auf die Software-Lieferkette nicht wichtige staatliche und kommunale Anwendungen sowie Anwendungen aus dem Bildungssektor beeinträchtigen.
Eng führt fort: »Organisationen in diesem Sektor müssen dringend handeln. Sie können ihre sicheren DevOps-Praktiken erheblich verbessern, indem sie verschiedene Arten von Scans – statische, dynamische und Software Composition Analysis – einsetzen. Dadurch erhalten sie ein vollständigeres Bild der Sicherheit einer Anwendung. Dies hilft ihnen wiederum, die Behebungszeiten zu reduzieren, Branchenvorschriften einzuhalten und ihre Budgets für die Anwendungssicherheit zu erhöhen.«
Schwerwiegende Sicherheitslücken haben Vorrang.
Es gibt aber auch einen positiven Trend: der öffentliche Sektor schneidet bei der Behebung schwerwiegender Schwachstellen gut ab. Regierungsbehörden haben hierbei große Fortschritte gemacht, wie die Untersuchung zeigt, auch wenn schwerwiegende Schwachstellen nur in 16 Prozent der Anwendungen auftreten. Tatsächlich ist die Zahl der schwerwiegenden Schwachstellen allein im vergangenen Jahr um 30 Prozent zurückgegangen. Dies deutet darauf hin, dass die Entwickler im öffentlichen Sektor zunehmend realisieren, wie wichtig es ist, die Schwachstellen zu priorisieren, die die größten Risiken darstellen. Diese Fortschritte sind ermutigend und spiegeln möglicherweise das wachsende Verständnis für neue Software-Sicherheitsrichtlinien wider, wie sie zum Beispiel in der U.S. Executive Order zur Cybersecurity und der U.K. Government Cyber Security Strategy 2022 – 2030 zu finden sind.
Eng ergänzt: »In dem Bewusstsein, dass die Zeit drängt, fangen die Verantwortlichen im öffentlichen Sektor an, Timelines zu erstellen. So hat etwa die US-Amerikanerin Shalanda Young, Direktorin der US-Bundesbehörde für Verwaltung und Haushaltswesen, die Strategie ›Moving the US Government Toward Zero Trust Cybersecurity Principles‹ mit einer Frist bis zum 30. September 2024 versehen. Bis dahin müssen alle US-Bundesbehörden bestimmte Cybersicherheitsstandards erfüllen. Wir glauben, dass die Fortschritte bei der Behebung von schwerwiegenden Sicherheitsmängeln dafür ein guter Ausgangspunkt ist und unterstützen alle Behörden, die eine bessere Kontrolle über ihre Software-Lieferkette anstreben.«
[1] Die vollständige Analyse zum öffentlichen Sektor im Rahmen des State of Software Security Report von Veracode ist hier verfügbar und bietet zentrale Vergleichsdaten zwischen Regierungsbehörden.
https://info.veracode.com/soss-v12-public-sector-info-sheet.html
Der State of Software Security v12 steht hier zum Download bereit.
https://info.veracode.com/report-state-of-software-security-volume-12.html