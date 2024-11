Veracode, ein weltweit führendes Unternehmen im Bereich Application Risk Management, hat eine neue Studie veröffentlicht, die den Stand der Softwaresicherheitsschulden im Finanzdienstleistungssektor beleuchtet. Sicherheitsschulden in Software, definiert als Fehler, die seit über einem Jahr nicht behoben wurden, finden sich in 76 Prozent der Unternehmen der Finanzbranche. Kritische Sicherheitslücken weisen 50 Prozent dieser Unternehmen auf.

Damit steht die Finanzbranche am stärksten im Visier raffinierter Bedrohungsakteure. Durchschnittlich betragen die Kosten pro Datenmissbrauch im Finanzsektor 6,08 Millionen Dollar¹. Laut einem Bericht des US-Finanzministeriums vom März 2024 setzen Bedrohungsakteure zunehmend KI-basierte Tools ein, um Software-Schwachstellen in beispielloser Geschwindigkeit zu identifizieren und auszunutzen. Der steigende Wettbewerb und die hohen Kundenerwartungen an die Benutzerfreundlichkeit verstärken zusätzlich den Innovationsdruck auf Unternehmen in der Finanzbranche und damit den Druck auf die Anwendungsentwicklung.

"Die hohe Rate an Sicherheitslücken im Finanzsektor stellt ein erhebliches Risiko für Unternehmen und ihre Kunden dar, wenn nicht schnell gehandelt wird. Da KI-gesteuerte Cyberangriffe immer stärker und zahlreicher werden und Unternehmen aufgrund bestehender Sicherheitslücken Schwierigkeiten haben, mit den sich entwickelnden Vorschriften Schritt zu halten, können Bedrohungsakteure Schwachstellen in einem alarmierenden, noch nie dagewesenen Tempo ausnutzen", so Chris Wysopal, Chief Security Evangelist bei Veracode. "Unser neuester State of Software-Report deckt auf, wie wichtig es für Finanzinstitute ist, Schwachstellen in eigenem Code und in dem von Drittanbietern schnell und effektiv zu beheben. Unternehmen, die Schwachstellen länger als ein Jahr nicht beseitigen, sind anhaltenden und gefährlichen Bedrohungen ausgesetzt."

Verspätete Fehlerbehebung bedroht die Sicherheit im Finanzsektor

Der Veracode-Report zeigt, dass 40 Prozent aller Anwendungen im Finanzsektor Sicherheitsmängel aufweisen, was sogar besser ist als der branchenübergreifende Durchschnitt von 42 Prozent. Allerdings sind nur 5,5 Prozent der Anwendungen im Finanzsektor frei von Schwachstellen, verglichen mit 5,9 Prozent in anderen Branchen.

Der Bericht unterstreicht auch die Notwendigkeit für Finanzdienstleister, Sicherheitsmängel sowohl im eigenen Code als auch im Code Dritter zu beheben. 84 Prozent aller Sicherheitsmängel betreffen First-Party-Code, aber die Mehrheit (78,6 Prozent) dieser kritischen Sicherheitsmängel stammt aus Abhängigkeiten von Third-Party-Code. Dies betont die Relevanz der Initiativen der Agentur für Cybersicherheit und Infrastruktursicherheit, das Open-Source-Ökosystem durch ihre Open-Source-Software-Security-Roadmap und das Secure by Design-Pledge abzusichern.

Der Report untersucht zudem den Zeitraum, der für die Behebung von Schwachstellen im Finanzdienstleistungssektor benötigt wird. So beseitigen Finanzunternehmen die Hälfte der Schwachstellen in eigenem Code in neun Monaten, während es für Schwachstellen in Third-Party-Code von Drittanbietern 13 Monate dauert. 52 Prozent der Schwachstellen in Third-Party-Code werden zu Sicherheitsschulden, in eigenem Code sind dies 44 Prozent.

Die Bedeutung der Prioritätensetzung bei der Risikobeseitigung

Die Zunahme von Angriffen auf Lieferketten, die auf die Finanzdienstleistungsbranche abzielen, hat zu einer wachsenden Zahl von Cybersicherheitsvorschriften geführt, die sich verstärkt auf die Softwaresicherheit konzentrieren. Regelwerke wie ISO 20022, der Payment Card Industry Data Security Standard (PCI DSS), NIS2 und der Digital Operational Resilience Act (DORA) verlangen von Unternehmen, dass sie verhindern, dass Schwachstellen in Anwendungen implementiert werden oder verbleiben.

Das Risiko besteht, dass Finanzdienstleister aufgrund bestehender Sicherheitslücken und veralteter Abhilfestrategien die Vorschriften nicht einhalten können. Der Veracode-Report zeigt, dass Unternehmen dieses Risiko mindern können, indem sie den 3,3 Prozent der Schwachstellen mit kritischer Sicherheitsrelevanz hohe Priorität geben. Wenn die gefährlichsten Schwachstellen behoben sind, können Finanzinstitute je nach ihrer Risikotoleranz und ihren Fähigkeiten dann andere kritische Schwachstellen oder nicht-kritische Schwachstellen angehen.

Die Rolle des Application Security Posture Management

Die Priorisierung der Risiken spielt eine wichtige Rolle und der Bedarf für Application Security Posture Management (ASPM) steigt, um die Risiken durch die Erfassung, Aufdeckung und Analyse von Sicherheitsproblemen über den gesamten Softwareentwicklungszyklus hinweg kontinuierlich zu verfolgen. Die Application Risk Management Platform von Veracode gibt einen umfassenden, einheitlichen Überblick über die Risiken von Code und Anwendungen und versetzt Entwickler und Sicherheitsteams in die Lage, Probleme schnell zu beheben. Mit der KI-gestützten Lösung Veracode Fix können Teams proaktiv neue Schwachstellen verhindern und bestehende Sicherheitsrückstände effektiv abbauen. Die kontextbezogene Analyse der Plattform deckt Grundursachen auf und leitet die Entwickler zu den optimalen nächsten Schritten, die die Risikominderung mit minimalem Aufwand maximieren.

Wysopal ergänzt: "Es war für den Finanzdienstleistungssektor noch nie so wichtig wie heute, den sich entwickelnden Cybersecurity-Bedrohungen einen Schritt voraus zu sein, insbesondere angesichts der immer ausgefeilteren KI-gesteuerten Angriffe, die die Sicherheit ihrer Vermögenswerte bedrohen. Ich fordere Finanzinstitute auf, der rechtzeitigen Reduzierung von Sicherheitsschulden Priorität einzuräumen, indem sie KI-gestützte Abhilfe- und ASPM-Tools einführen, die Schwachstellen innerhalb von Sekunden erkennen, priorisieren und beheben können."

Der Veracode-Report "State of Software Security Financial Services 2024" kann auf der Veracode-Website eingesehen werden.

Über den State of Software Security Report 2024

Für den "State of Software Security 2024"-Report von Veracode wurden Daten von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten analysiert. Die Untersuchung stützt sich auf mehr als eine Million (1.007.133) Anwendungen aller Scan-Typen, 1.553.022 dynamische Analyse-Scans und 11.429.365 statische Analyse-Scans. All diese Scans ergaben 96 Millionen statische Rohbefunde, 4 Millionen dynamische Rohbefunde und 12,2 Millionen Rohbefunde von Software-Composition-Analysen.

Über Veracode

Veracode ist weltweit führend im Bereich Application Risk Management für die KI-Ära. Auf der Grundlage von Billionen von Code-Scans und einer KI-assistierten Remediation Engine vertrauen Unternehmen weltweit auf die Veracode-Plattform. Diese ermöglicht es, sichere Software von der Code-Erstellung bis zur Cloud-Bereitstellung zu entwickeln und zu pflegen. Tausende von weltweit führenden Entwicklungs- und Sicherheitsteams nutzen täglich Veracode, um präzise Einblicke in Risiken zu erhalten, Schwachstellen in Echtzeit zu beheben und ihre "Sicherheitsschulden" in großem Umfang zu reduzieren. Veracode bietet zahlreiche Funktionen zur Absicherung des gesamten Lebenszyklus der Softwareentwicklung, darunter Veracode Fix, statische Analyse, dynamische Analyse, Analyse der Softwarezusammensetzung, Containersicherheit, Application Security Posture Management und Penetration Testing. Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.

