Bericht zum Stand der Softwaresicherheit im öffentlichen Sektor 2024 bestätigt, dass der öffentliche Sektor mehr Aufholbedarf bei Sicherheitsfragen hat als der private

Veracode, ein weltweit führendes Unternehmen im Bereich Anwendungsrisikomanagement, hat heute eine Studie veröffentlicht, die zeigt, dass Anwendungen, die von Organisationen des öffentlichen Sektors entwickelt werden, einen größeren Aufholbedarf in Sicherheitsfragen haben als solche aus dem privaten Sektor. Sicherheitsmängel sind in diesem Bericht als Mängel definiert, die länger als ein Jahr lang nicht behoben werden. Diese sind bei 59 Prozent der Anwendungen im öffentlichen Sektor vorhanden, verglichen mit einer Gesamtquote von 42 Prozent. In der Studie werden Organisationen des öffentlichen Sektors in mehr als 25 Ländern weltweit analysiert.

Figure 2: Security Debt in Public Sector Applications (Graphic: Business Wire)

"Jahrzehntelang angehäufte Sicherheitsmängel in Form ungepatchter Software und schlechter Sicherheitskonfigurationen stecken in den Anwendungen, die unsere Regierung verwendet", sagte Chris Eng, Chief Research Officer bei Veracode. "Ohne einen systematischen und kontinuierlichen Ansatz zum Auffinden und Beheben von Sicherheitslücken ist der öffentliche Sektor Hackerangriffen in gefährlicher Weise ausgesetzt."

Systeme der Bundesregierung sind zunehmend Cyberangriffen ausgesetzt, da böswillige Kriminelle öffentliche Einrichtungen mit immer schädlicheren und disruptiveren Techniken ins Visier nehmen. Als Reaktion darauf ergreift die Bundesregierung eine Reihe von Initiativen zur Stärkung der Cybersicherheit, darunter auch Bemühungen zur Risikominderung bei Anwendungen, derer sich die Regierung bedient. Im März 2024 veröffentlichten die Cybersecurity and Infrastructure Security Agency (CISA) und das Office of Management and Budget (OMB) das Formular Secure Software Development Attestation Form, um Zulieferer der Bundesregierung bezüglich unsicherer Software in die Pflicht zu nehmen.

Die Forscher von Veracode haben herausgefunden, dass zwar etwas weniger öffentliche Einrichtungen (68 Prozent) Sicherheitsmängel haben als andere Sektoren (71 Prozent), tendenziell aber mehr davon anhäufen. Nur drei Prozent der Anwendungen sind fehlerfrei, verglichen mit sechs Prozent in anderen Sektoren. Noch besorgniserregender ist, dass 40 Prozent der öffentlichen Einrichtungen hartnäckige und schwerwiegende Mängel aufweisen, die "kritische" Sicherheitslücken darstellen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmen im Fall ihrer Ausnutzung ernsthaft gefährden würden.

"Die gute Nachricht ist, dass die meisten Organisationen in der Lage sind, alle kritischen Sicherheitsmängel zu beheben, aber die Priorisierung der Risiken ist entscheidend", sagte Eng. "Zwei Drittel aller Mängel in Organisationen des öffentlichen Sektors sind entweder weniger als ein Jahr alt oder nicht kritisch. Darüber hinaus stellen weniger als ein Prozent aller Mängel kritische Sicherheitsmängel dar. Indem Organisationen die Behebung dieser Mängel mit gezielten Anstrengungen priorisieren, können sie die Gefahr maximal reduzieren und anschließend die weniger kritischen Mängel ihrer Risikotoleranz und ihren Möglichkeiten entsprechend beheben."

Laut dem Bericht betreffen Sicherheitsmängel im öffentlichen Sektor vor allem im eigenen Haus erstellten Code (93 Prozent), während die meisten kritischen Sicherheitsmängel aus Abhängigkeiten von Drittanbietern resultieren (55,5 Prozent). Dies unterstreicht die Bedeutung der Open Source Security Software Initiative (OS3I), einer behördenübergreifenden Arbeitsgruppe, die sich dafür einsetzt, dass Open-Source-Software "ebenso sicher, geschützt und nachhaltig ist, wie sie offen ist". Darin wird auch die Notwendigkeit für Organisationen betont, sich sowohl auf First-Party-Code als auch auf Third-Party-Code zu konzentrieren, um Sicherheitsmängel effektiv zu reduzieren.

Die Analyse zeigt außerdem, dass Sicherheitsmängel im öffentlichen Sektor vor allem in älteren und größeren Anwendungen auftreten (22 Prozent). Dies gilt insbesondere für kritische Sicherheitsmängel (30 Prozent), was eine Korrelation zwischen dem Alter einer Anwendung und der Anhäufung von Sicherheitsmängeln in ihr bestätigt. Die Forscher verglichen auch das Profil der Sicherheitsmängel für verschiedene Entwicklungssprachen und fanden heraus, dass Java- und .NET-Anwendungen im öffentlichen Sektor als bedeutende Quellen für Sicherheitsmängel hervorstechen.

"Der aktuelle Stand der Softwaresicherheit im öffentlichen Sektor unterstreicht, wie wichtig es ist, den Lösungsansatz Secure by Design zum Standard für die gesamte vernetzte Welt zu machen", so Eng. "Wir begrüßen die jüngste Bekanntgabe des Secure by Design Pledge durch CISA und sind stolz, einer der ersten Unterzeichner zu sein. Mit dieser Untersuchung möchten wir unsere Regierungs- und Industriepartner weiter dabei unterstützen, eine weitverbreitete Einführung dieser Prinzipien zu fördern."

Der vollständige Bericht "State of Software Security Public Sector 2024" steht auf der Veracode-Website zum Download bereit.

Über den State of Software Security Report

Der Veracode Bericht 'State of Software Security 2024' analysiert Daten von kleinen und großen Unternehmen, geschäftlichen Software-Anbietern, Software-Outsourcern und Open-Source-Projekten. Die Forschung basiert auf mehr als eine Million (1.007.133) Anwendungen aller Scan-Typen, 1.553.022 dynamischen Analysescans und 11.429.365 statischen Analysescans. All diese Scans erbrachten 96 Millionen statische Rohbefunde, 4 Millionen dynamische Rohbefunde und 12,2 Millionen Rohbefunde über die Zusammensetzung von Software.

Über Veracode

Veracode ist ein weltweit führender Anbieter im Bereich Application Risk Management für das KI-Zeitalter. Die Veracode-Plattform, die mit Billionen von Codezeilen-Analysen trainiert wurde und eine firmeneigene, KI-gestützte Remediation Engine nutzt, wird von Unternehmen auf der ganzen Welt eingesetzt, um sichere Software von der Entwicklung des Codes bis zu dessen Bereitstellung in der Cloud zu erstellen und zu pflegen. Tausende von weltweit führenden Entwicklungs- und Sicherheitsteams nutzen Veracode jede Sekunde am Tag, um sich genaue und handlungsrelevante Einblicke in ausnutzbare Risiken zu verschaffen, Sicherheitslücken in Echtzeit zu schließen und ihre "Sicherheitsschulden" in großem Umfang zu reduzieren. Veracode ist ein mehrfach preisgekröntes Unternehmen, das Produkte zur Sicherung des gesamten Softwareentwicklungszyklus anbietet, darunter Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management und Penetration Testing.

Weitere Informationen finden Sie unter www.veracode.com, im Veracode-Blog sowie auf LinkedIn und X.

Copyright 2024 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Handelsmarke der Veracode, Inc. in den Vereinigten Staaten und kann auch in anderen Rechtssystemen eingetragen sein. Alle anderen Produktnamen, Marken und Logos sind Eigentümer der jeweiligen Inhaber. Alle sonstigen hier erwähnten Handelsmarken sind Eigentum ihres jeweiligen Besitzers.

