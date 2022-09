Dennoch enthalten 77 Prozent der Gesundheits-Apps Schwachstellen und 21 Prozent davon werden als "hoher Schweregrad" eingestuft.

Veracode, ein führender globaler Anbieter von Lösungen zum Testen der Anwendungssicherheit, gab heute bekannt, dass der Gesundheitssektor mit 27 Prozent den ersten Platz beim Anteil der behobenen Software-Sicherheitslücken einnimmt. Dieser Sektor hat die Finanzdienstleistungen als leistungsstärkste Branche überholt. Das zeigt, dass die Gesundheitsdienstleister im vergangenen Jahr gute Fortschritte dabei gemacht haben, ihre Software besser zu schützen.

Die Daten wurden im jährlichen State of Software Security (SoSS) report v12 des Unternehmens veröffentlicht, in dem 20 Millionen Scans von einer halben Million Anwendungen in den Bereichen Gesundheitswesen, Finanzen, Technologie, Fertigung, Einzelhandel und Behörden analysiert wurden.

Chris Eng, Chief Research Officer bei Veracode, sagte: "Das Gesundheitswesen ist einer der besonders stark regulierten Sektoren und wird von der Regierung als kritische Infrastruktur betrachtet. Daher ist es ermutigend zu sehen, dass der Sektor bezüglich der allgemeinen Fehlerbehebung vergleichsweise gut abschneidet. Wir hoffen, dass Entwickler im Gesundheitswesen und IT-Mitarbeiter dies als willkommenen Sonnenstrahl inmitten der allzu oft düsteren Welt der Softwaresicherheit begrüßen. Es gibt noch viel zu tun, also auf weitere Fortschritte in den kommenden Jahren."

Trotz des Spitzenplatzes für die Behebungsrate enthalten 77 Prozent der Anwendungen in der Gesundheitsbranche Schwachstellen, wobei 21 Prozent der Anwendungen Schwachstellen mit hohem Schweregrad enthalten. Der Sektor hat auch viel Raum für Verbesserungen in Bezug auf die Zeit, die für die Behebung von Fehlern aufgewendet wird, nachdem sie erkannt wurden. Dabei dauert es bis zu satten 447 Tagen, bis die Hälfte der Fehler behoben wurde.

Sicherheitsverletzungen im Gesundheitsbereich sind die teuersten

Da Gesundheitsunternehmen mit einem neuen Rekordwert von 10,1 Millionen US-Dollar* die höchsten durchschnittlichen Kosten für Datenschutzverletzungen erleiden, ist es unerlässlich, proaktive Maßnahmen zu ergreifen, um das Risiko eines Cyberangriffs zu minimieren. Da Datenschutzverletzungen in stark regulierten Branchen tendenziell mit höheren langfristigen Kosten verbunden sind, die sich im Laufe der Folgejahre anhäufen, würde die Branche davon profitieren, die Sicherheit mit noch umfassenderen Bemühungen und noch früher im Software-Entwicklungszyklus anzugehen.

Von den sechs analysierten Branchen rangieren Gesundheitsdienstleister beim Anteil fehlerhafter Anwendungen am unteren Ende der Liste und beim Prozentsatz der schwerwiegenden Fehler an zweiter Stelle. Letztere sind dadurch definiert, dass sie ein ernsthaftes Risiko für die Anwendung und das Unternehmen darstellen, wenn sie ausgenutzt werden. Hinsichtlich der Arten von Fehlern, die bei der dynamischen Analyse von Anwendungen in der Branche entdeckt wurden, schneiden Gesundheitsdienstleister im Vergleich zu anderen Branchen gut ab bezüglich Authentifizierungsproblemen und unsicheren Abhängigkeiten, weniger gut jedoch bezüglich der Häufigkeit von Problemen kryptographischer Art und bei der Bereitstellungskonfiguration.

Chris Eng sagte: "Wir wissen, dass keine Anwendung jemals zu 100 Prozent frei von Sicherheitslücken sein wird. Daher ist es wichtig, dass Unternehmen alle notwendigen Schritte unternehmen, um das Risiko so weit wie möglich zu minimieren. Dazu gehört regelmäßiges, schnelles Scannen mit unterschiedlichen Tests, das Integrieren von Testtools in Entwicklerumgebungen und das Bereitstellen praktischer Schulungen, um Entwicklern zu helfen, den Ursprung von Fehlern zu verstehen und zu beheben oder ihm sogar vollständig vorzubeugen. Der Gesundheitssektor sollte auch besonders darauf achten, kritischen Fehlern eine angemessen hohe Priorität einzuräumen jenen Schwachstellen, die katastrophale Auswirkungen haben können, wenn sie zu lange nicht behoben werden."

Andrew McCall, Vice President of Engineering, Azalea Health Innovations, sagte: "Das größte Hindernis bei der Integration von Sicherheit in unseren Workflow besteht darin, dass Entwickler Sicherheit nur als Kontrollkästchen betrachten. Sicherheit ist jedoch ein fortlaufender Prozess und ist während des gesamten Lebenszyklus der Softwareentwicklung unbedingt zu berücksichtigen. Wir haben uns für Veracode entschieden, weil es die einfachste und beste Lösung zur Integration in unsere bestehenden Arbeitsabläufe war."

Bibliothekssicherheit von Drittanbietern

In Anbetracht einer starken Zunahme von Vorschriften zur Sicherung der Software-Lieferkette im vergangenen Jahr wurden für den Bericht Bibliotheken von Drittanbietern analysiert, um zu ermitteln, wie sich Schwachstellen verhalten, die durch Software Composition Analysis (SCA) gefunden wurden. Insgesamt waren in rund 30 Prozent der anfälligen Bibliotheken die Probleme nach zwei Jahren noch ungelöst. Im Gesundheitssektor jedoch ist dieser Wert auf 25 Prozent gefallen. Während das Gesamtverhältnis der durch SCA gefundenen gefährdeten Bibliotheken im Laufe der Zeit stetig abnahm, erlebte das Gesundheitswesen einen kurzen Aufwärtstrend, bevor es die Fehlerraten im letzten Jahr drastisch senken konnte.

Der Healthcare-Snapshot von Veracode State of Software Security v12 steht hier zum Download bereit und der vollständige Bericht ist hier verfügbar.

Über den State of Software Security Report

Im Bericht Veracode State of Software Security (SoSS) v12 wurden die vollständigen historischen Daten über Veracode-Dienste und -Kunden analysiert. Dies entspricht insgesamt mehr als einer halben Million Anwendungen (592.720), die alle Scan-Typen verwendeten, mehr als einer Million dynamischer Analyse-Scans (1.034.855), mehr als fünf Millionen statischer Analyse-Scans (5.137.882) und mehr als 18 Millionen Software Composition Analysis-Scans (18.473.203). Alle diese Scans ergaben 42 Millionen statische Ergebnisse, 3,5 Millionen dynamische Ergebnisse und sechs Millionen SCA-Rohdaten-Ergebnisse.

Die Daten stammen von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. In den meisten Analysen wurde eine Anwendung nur einmal gezählt, selbst wenn mehrfach übermittelt wurde, dass Schwachstellen behoben und neue Versionen hochgeladen wurden.

