Die geringe Behebungsrate bei Schwachstellen unterstreicht die Notwendigkeit, dass Einzelhandelsunternehmen im Vorfeld des Black Friday bei der Software-Sicherheit wachsam sein müssen

Veracode, ein führender globaler Anbieter modernster Lösungen zum Testen der Anwendungssicherheit, gab heute bekannt, dass im Einzelhandel und im Gastgewerbe rund drei Viertel der Anwendungen Schwachstellen aufweisen, von denen jedoch nur 25 Prozent behoben werden. 17 Prozent dieser Sicherheitslücken werden als "schwerwiegend" eingestuft, das heißt, sie stellen ein ernsthaftes Risiko für das Unternehmen dar, wenn sie ausgenutzt werden. Angesichts der Tatsache, dass 76 Prozent aller US-Amerikaner beabsichtigen, am Black Friday, dem 25. November, Einkäufe zu tätigen*, und 56 Prozent ausschließlich online einkaufen möchten**, sollten Einzelhändler besonders wachsam sein und darauf achten, dass sie die Sicherheit ihrer E-Commerce-Systeme, ihrer digitalen Zahlungsplattformen und ihrer Lieferketten verstärken.

Die Daten wurden im jährlichen State of Software Security (SoSS) Report V12 von Veracode veröffentlicht, in dem 20 Millionen Scans von einer halben Million Anwendungen aus den Bereichen Einzelhandel, Fertigungsindustrie, Gesundheitswesen, Finanzdienstleistungen, Technologie und Behörden analysiert wurden.

Chris Eng, Chief Research Officer bei Veracode, äußerte sich dazu wie folgt: "Einzelhandelsunternehmen räumen der Aufrechterhaltung der Kundenbindung und des Kundenvertrauens oberste Priorität ein. Dies wird sich in der Zeit rund um den Black Friday noch verstärken. Da die durchschnittlichen Kosten einer Datenpanne im Einzelhandel auf 3,28 Mio. US-Dollar*** geschätzt werden, ist die Implementierung von robusten Tools und Verfahren zur Sicherung der Anwendungen, die Kunden beim Surfen und Einkaufen nutzen, unerlässlich."

Trotz der relativ geringen Anzahl von behobenen Sicherheitslücken nimmt der Einzelhandel bei der Gesamtbehebungsrate den zweiten Platz ein. Dies verdeutlicht, wie hoch der Bedarf an Verbesserungen bei der Softwaresicherheit in Unternehmen aller Branchen ist. Eng erklärte weiter: "Im Vergleich zu anderen Branchen sind Einzelhändler besser in der Lage, entdeckte Schwachstellen zu beheben. Das ist zwar ermutigend, doch es ist ganz klar, dass in allen Bereichen mehr unternommen werden muss, damit die Erkennung und Behebung von Schwachstellen in die Softwareentwicklung integriert wird, um diese effizienter beheben zu können."

Serverkonfiguration, unsichere Abhängigkeiten und Authentifizierungsprobleme zählen in den meisten Branchen zu den häufigsten Schwachstellen der Anwendungen. Im Einzelhandel und im Gastgewerbe verhält es sich ähnlich. Allerdings weist der Bereich bei fast jeder Schwachstellenkategorie prozentual höhere Zahlen auf. Dies könnte auf die größere funktionale Komplexität der kundenorientierten Anwendungen und der Back-Office-Anwendungen zurückzuführen sein.

Die für die Behebung von Schwachstellen erforderliche Zeit schwankt im Einzelhandel

Veracode analysierte drei unterschiedliche Scan-Typen, um Branchenvergleiche für die Behebungszeiten zu erstellen: Sicherheitstests mit dynamischer Analyse (DAST), Sicherheitstests mit statischer Analyse (SAST) und Software Composition Analysis (SCA). Es hat sich gezeigt, dass der Einzelhandel die Schwachstellen, die bei DAST-Tests entdeckt wurden, am schnellsten behebt: Mit 70 Tagen bis zur Halbzeit sind sie erstaunliche 46 Tage schneller als die Finanzdienstleister, die hier den zweiten Platz belegen. Bei SAST- und SCA-Tests fiel der Einzelhandel jedoch ins Mittelfeld zurück und benötigte 346 bzw. 470 Tage, um die Halbzeit bei der Behebung zu erreichen.

Sicherheitslücken in Bibliotheken von Drittanbietern, die durch SCA-Tests gefunden wurden, haben über alle Branchen hinweg länger Bestand als solche, die durch SAST-Tests und DAST-Tests gefunden wurden: Bei 30 Prozent der anfälligen Bibliotheken sind die Sicherheitslücken nach zwei Jahren noch immer nicht behoben. Im Einzelhandel steigt diese Zahl auf 35 Prozent, die damit mehr als sechs Monate hinter dem branchenübergreifenden Durchschnitt zurückliegt. Dennoch ist den Einzelhandelsunternehmen zu versichern, dass jede noch so große Lücke geschlossen werden kann. Der Bericht von Veracode zum Stand der Softwaresicherheit im Jahr 2021 zeigt, dass 92 Prozent der Open-Source-Schwachstellen mit einem einfachen Update behoben werden können eine gute Nachricht für Einzelhandelsunternehmen, die ihre Software-Lieferketten absichern möchten.

Im Vorfeld des Black Friday und fast ein Jahr nach dem ersten Bekanntwerden der berüchtigten Sicherheitslücke Log4j sind Einzelhändler in höchster Alarmbereitschaft, um die Geschwindigkeit, Effizienz und Sicherheit ihrer Anwendungen aufrechtzuerhalten. Unternehmen sollten besonders aufmerksam darauf achten, Schwachstellen in der Software von Drittanbietern durch eine Kombination von SCA-Tests und Entwicklungstools aufzudecken. Dank dieser Strategie von Veracode konnte sich Darius Radford, Application Security Architect beim Fachhändler Floor Decor, einen umfassenden Überblick über die Risiken verschaffen, die von anfälligen Bibliotheken in der Software des Unternehmens ausgehen: "Wir konnten rasch herausfinden, an welchen Stellen Log4j eingesetzt wird, und die Situation dann beheben." Trey Tunnel, Chief Information Security Officer von Floor and Decor, fügte hinzu: "Unsere Kunden genießen bei uns oberste Priorität. Mit Veracode haben wir die Gewissheit, dass unsere Software sicher ist, und was noch wichtiger ist unsere Kunden haben die Gewissheit, dass unsere Software sicher ist."

Der Snapshot von Veracode State of Software Security V12 für den Einzelhandel und das Gastgewerbe steht hier zum Download bereit. Der vollständige Bericht ist hier verfügbar.

Über den State of Software Security Report

Im Veracode State of Software Security (SoSS) V12 wurden die vollständigen historischen Daten über Veracode-Dienste und -Kunden analysiert. Dies entspricht insgesamt mehr als einer halben Million Anwendungen (592.720), die alle Scan-Typen verwendeten, mehr als einer Million dynamischer Analyse-Scans (1.034.855), mehr als fünf Millionen statischer Analyse-Scans (5.137.882) und mehr als 18 Millionen Software Composition Analysis-Scans (18.473.203). Alle diese Scans ergaben 42 Millionen statische Ergebnisse, 3,5 Millionen dynamische Ergebnisse und sechs Millionen SCA-Rohdaten-Ergebnisse.

Die Daten stammen von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. In den meisten Analysen wurde eine Anwendung nur einmal gezählt, selbst wenn mehrfach übermittelt wurde, dass Schwachstellen behoben und neue Versionen hochgeladen wurden.

Contacts:

Katy Gwilliam

kgwilliam@veracode.com