Öffentliche Hand hinkt bei der Sicherheit von Web- und mobilen Anwendungen hinterher

 

infografik veracode vulnerabilities fixStaatliche Organisationen erfüllen mit ihren Web- und mobilen Anwendungen deutlich seltener Standard-Sicherheitsrichtlinien als andere Branchen. Dies ist ein zentrales Ergebnis des neuen Berichts zum Zustand der Softwaresicherheit 2015 (State of Software Security, SOSS) [1]. Hierzu wurden über die letzten 18 Monate hinweg über 200.000 Anwendungen aus unterschiedlichen Branchen ausgewertet, die auf einer Cloud-basierten Plattform ausgeführt wurden.

Demnach beheben staatliche Organisationen nur 27 Prozent der Anwendungsschwachstellen, wenn sie diese erkannt haben – und liegen damit an letzter Stelle der sieben analysierten vertikalen Märkte (staatliche Organisationen, Finanzdienstleistungen, Einzelhandel und Gastgewerbe, Technologie, Fertigungsindustrie, Gesundheitswesen und andere). Darüber hinaus weisen ihre Anwendungen bei der ersten Bewertung das höchste Maß an Schwachstellen für SQL-Injections auf – dem Hauptangriffspunkt für den Diebstahl sensibler Daten.

Der Bericht zeigt große Unterschiede in den analysierten Märkten auf und kommt zu folgenden Schlussfolgerungen:

  • Vertrauen auf veraltete Programmiersprachen lähmt die Sicherheit der Öffentlichen Hand. Drei von vier Anwendungen waren bei der ersten Risikobewertung nicht mit den Top 10 der OWASP konform, einer Non-Profit-Organisation, die Sicherheit von Anwendungen und Diensten im Internet verbessern möchte. Damit liegen staatliche Organisationen in dieser Wertung auf dem letzten Platz. Dies dürfte darauf zurückzuführen sein, dass viele Behörden weiterhin ältere Programmiersprachen wie ColdFusion nutzen, die für ihre Anfälligkeit bekannt sind.
  • Das Gesundheitswesen steht schlecht da. Angesichts der großen Menge an sensiblen Daten, die von Organisationen im Gesundheitswesen gesammelt werden, ist es beunruhigend, dass über 80 Prozent der Anwendungen im Gesundheitswesen bei der Erstprüfung kryptografische Probleme wie schwache Algorithmen aufwiesen. Darüber hinaus liegt das Gesundheitswesen mit nur 43 Prozent bei der Behebung der bekannten Schwachstellen weit zurück.
  • Fokus von Finanzdienstleistern und Fertigungsindustrie auf die Softwaresicherheit zahlt sich aus. Im Gegensatz zur Öffentlichen Hand agieren Finanzdienstleister und Fertigungsindustrie deutlich proaktiver und beheben den Großteil ihrer Schwachstellen (65 beziehungsweise 81 Prozent). Diese Ergebnisse weisen auf ein höheres Bewusstsein für Sicherheitsrisiken und höheres Augenmerk auf die Durchsetzung unternehmensweiter Richtlinien, die Überwachung von Key Performance Indicators und die Einführung kontinuierlicher Verbesserungsprozesse hin.
  • Software-Lieferkette birgt hohes Risikopotenzial. Nahezu drei von vier Anwendungen von Third-Party- und SaaS-Anbietern sind bei der Erstbeurteilung nicht mit den OWASP Top 10 konform.

Coaching zur Mängelbeseitigung hat deutlichen Einfluss

Die Ergebnisse zeigen auch, dass Coaching-Services zur Mängelbeseitigung großen Einfluss auf die Verringerung des Risikos auf Anwendungsebene haben. Entwickler, die diese Services nutzen, verbessern die Code-Sicherheit um das Zweieinhalbfache im Vergleich zu denjenigen, die es auf eigene Faust versuchen. Die On-Demand-Services, die von kompetenten Sicherheits- und Entwicklungsexperten bereitgestellt werden, helfen Entwicklern dabei, sichere Codierungspraktiken zu verstehen sowie Schwachstellen schneller und effizienter zu beseitigen.

»Jede Branche steht vor der Herausforderung, sichere Web- und mobile Anwendungen, die zudem ständig mehr und komplexer werden, für unterschiedliche und geographisch verteilte Entwicklungsteams bereitzustellen«, kommentiert Chris Wysopal, CISO und CTO von Veracode. »2014 haben wir unsere Kunden bei der Identifizierung und Beseitigung von 4,7 Millionen Schwachstellen unterstützt und damit deren Unternehmensrisiko deutlich reduziert. Der vorliegende Bericht zeigt, dass einige Branchen hier erhebliche Erfolge erzielen konnten, während andere immer noch mit der Bewältigung des Problems kämpfen.«

Enhanced Analytics für höhere Risiko-Transparenz

Vor kurzem hat Veracode seine integrierten Sicherheitsanalysefunktionen um eine neue Business Intelligence Engine erweitert. Zielsetzung ist, Unternehmen beim Benchmarking unterschiedlicher Entwicklungsteams zu unterstützen und sowohl intern als auch extern erzeugten Code kontinuierlich zu verbessern. Die Analyse-Engine, die in die zentrale Cloud-basierte Plattform integriert wurde, bietet den Kunden einen sofortigen Überblick über ihre Risikolage und den aktuellen Status ihrer globalen Programme für die Anwendungssicherheit.

Entwickler können jetzt individuelle Ansichten von Kennzahlen wie Scanvolumen, Compliance mit Unternehmensrichtlinien und Behebungsstatus einsehen und so leichter Dashboards für die Management-Ebene zu erstellen. Integrierte Vergleichstabellen ermöglichen zudem das Benchmarking anhand des Geschäftsbereichs oder Entwicklerteams, des Schweregrads der Schwachstellen und der Bedeutung, die Anwendungen für die Geschäftstätigkeiten haben.

Die neue Analysefunktion erleichtert auch die Zusammenarbeit und den Informationsaustausch zwischen mehreren Akteuren im Unternehmen. Management, Sicherheit, Entwicklung und interne Revision können somit gemeinsam anhand einheitlicher Richtlinien und Metriken dazu beitragen, die Softwaresicherheit zu verbessern.

[1] Der vorliegende Bericht zum Zustand der Softwaresicherheit 2015 basiert auf kontinuierlich aktualisierten Informationen aus der Cloud-basierten Plattform von Veracode. Im Gegensatz zu einer Umfrage stammen die Daten aus tatsächlichen Code-Level-Analysen von Milliarden von Codezeilen, die Kunden aus den verschiedensten Branchen und Regionen auf die Plattform geladen haben.
Die analysierten Daten wurden im Verlauf der letzten 18 Monate aus 208.670 Anwendungen gesammelt, die über die Cloud-basierte Plattform von Veracode ausgeführt wurden. Die Anwendungen stammen von Organisationen aus 34 verschiedenen Branchen, die in sieben vertikale Märkte aufgeschlüsselt wurden.
Der komplette Bericht zum Zustand der Softwaresicherheit 2015 kann unter https://info.veracode.com/state-of-software-security-report-volume6.html abgerufen werden.