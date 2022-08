Obwohl weniger Schwachstellen vorliegen, hinkt die Finanzbranche bei der Behebungsrate hinterher

30 Prozent der Open-Source-Schwachstellen sind nach zwei Jahren noch nicht behoben

Veracode, ein weltweit führender Anbieter von Lösungen zum Testen der Anwendungssicherheit, hat heute Daten veröffentlicht, die zeigen, dass die Finanzdienstleistungsbranche einen der besten Prozentsätze in Bezug auf Schwachstellen im Vergleich zu anderen Branchen vorweisen kann, jedoch in Bezug auf die Behebung von Software-Schwachstellen eine der niedrigsten Raten hat. Mit Blick auf schwerwiegende Schwachstellen liegt der Sektor ebenfalls im Mittelfeld, denn 18 Prozent der Anwendungen weisen eine schwerwiegende Sicherheitslücke auf, sodass es naheliegt, dass Finanzunternehmen der Erkennung und Behebung der entscheidendsten Schwachstellen Priorität einräumen sollten.

Die Ergebnisse wurden im jährlichen Bericht State of Software Security, v12, des Unternehmens vorgestellt, in dem 20 Millionen Scans von einer halben Million Anwendungen in den Bereichen Finanzen, Technologie, Fertigung, Einzelhandel, Gesundheitswesen und Behörden analysiert wurden. Von den sechs Branchen weist der Finanzsektor mit 73 Prozent den zweitniedrigsten Anteil an Anwendungen mit Sicherheitsschwachstellen auf. Im letztjährigen Bericht verzeichnete die Branche die niedrigste Anzahl von Software-Sicherheitsschwachstellen aller Sektoren, wurde aber in der diesjährigen Studie vom Fertigungssektor überholt. Trotz weniger Schwachstellen insgesamt liegt der Finanzdienstleistungssektor gemeinsam mit den Feldern Technologie und Behörden mit dem niedrigsten Anteil behobener Schwachstellen an letzter Stelle.

"Einer der Vorteile des langjährigen Einsatzes für die Community der Softwareentwickler ist es, dass Veracode im Laufe der Zeit Veränderungen in den Entwicklungspraktiken der verschiedenen Branchen erkennen kann. Wir haben festgestellt, dass Finanzdienstleistungsanwendungen zwar weniger Sicherheitsschwachstellen aufweisen als im letzten Jahr, der Sektor aber bei der Behebungsrate hinter anderen Branchen zurückbleibt. Unsere Untersuchung hat gezeigt, dass Sicherheitstrainings die Behebungsgeschwindigkeit deutlich erhöhen können. Unternehmen, deren Entwicklungsteams eine praxisnahe Schulung mit echten Anwendungen absolviert haben, konnten Schwachstellen um 35 Prozent schneller als Unternehmen ohne eine derartige Schulung beheben", so Chris Eng, Chief Research Officer von Veracode.

Sicherung der weltweiten Software-Lieferkette

Trotz des zweifellos vorhandenen Raums für Fortschritte sowohl in Bezug auf das Vorkommen von Schwachstellen als auch die Behebungsraten, legen Finanzdienstleister ein schnelleres Tempo an den Tag, als die meisten anderen, wenn sie Schwachstellen beheben.

Eng sagte: "Die Executive Order der USA zur Cybersicherheit hat neben den Vorschriften für Sicherheitskontrollen für die Open-Source-Nutzung wie die DSGVO und die Cybersicherheits-Vorschriften des New Yorker Finanzministeriums die Bedeutung der Sicherung der Software-Lieferkette untermauert. Ein Grund, dass die Finanzbranche relativ schnell auf durch Software Composition Analysis (SCA) entdeckte anfällige Bibliotheken reagiert, könnte sein, dass es sich hier um einen stark regulierten Sektor handelt."

Mithilfe der SCA entdeckte Schwachstellen in Bibliotheken von Drittanbietern bleiben in der Regel in allen Branchen länger bestehen. So sind 30 Prozent nach zwei Jahren immer noch nicht behoben. Hinsichtlich der Behebung von Open-Source-Schwachstellen ist der Finanzsektor im ersten Jahr noch genauso schnell wie andere Branchen, beschleunigt dann jedoch das Tempo und gewinnt einen Monat im Vergleich zum branchenübergreifenden Durchschnitt.

Obwohl der Finanzsektor die meisten anderen Branchen bei den durch dynamische und statische Analysen bzw. SCA entdeckten Behebungszeiten für Schwachstellen überrundet, gibt es der Studie zufolge noch reichlich Raum für weitere Verbesserungen, wenn man die Anzahl der Tage betrachtet, die für die Behebung von 50 Prozent der Schwachstellen benötigt werden 116 Tage für dynamische Analysen, 385 Tage für SCA und 288 Tage für statische Analysen. Da auf die Komponenten von Drittanbietern bis zu 90 Prozent* der Codebasis einer Anwendung entfallen, führt ein frühzeitiges und häufiges Scannen mithilfe einer Kombination von Testarten zu einer Senkung des unvorhergesehenen Aufwands für die Gefahrenabwehr und einer Minderung des Risikos, Sicherheitsschwachstellen durch die Nutzung von Drittanbieter-Software zu erhalten.

Der State of Software Security v12 Snapshot von Veracode zur Finanzdienstleistungsbranche steht hier zum Download bereit und ein Video mit den Ergebnissen steht hier zur Verfügung.

Über den State of Software Security Report

Mithilfe von Veracode State of Software Security (SoSS), v12, wurden die gesamten historischen Daten von Diensten und Kunden von Veracode analysiert. Dazu zählen insgesamt mehr als eine halbe Million Anwendungen (592.720) mithilfe aller Scantypen, mehr als eine Million Scans mit dynamischer Analyse (1.034.855), mehr als fünf Millionen Scans mit statischer Analyse (5.137.882) und mehr als 18 Millionen Scans zur Analyse der Software-Zusammensetzung (18.473.203). All diese Scans ergaben 42 Millionen statische Rohdaten, 3,5 Millionen dynamische Rohdaten und sechs Millionen SCA-Rohdaten.

Die Daten stammen von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. In den meisten Analysen wurde eine Anwendung nur einmal gezählt, selbst wenn mehrfach übermittelt wurde, dass Schwachstellen behoben und neue Versionen hochgeladen wurden.

