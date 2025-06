Der Bericht "Public Sector State of Software Security 2025" von Veracode zeigt, dass 78 der Regierungsorganisationen mit unbehobenen Sicherheitslücken arbeiten und kritische Schwachstellen seit Jahren bestehen bleiben

Veracode, ein weltweit führender Anbieter von Anwendungsrisikomanagement, hat heute seinen Bericht "Public Sector State of Software Security 2025" veröffentlicht, der alarmierende Trends in der Softwaresicherheit in Behörden aufzeigt. Die Untersuchung basiert auf einer umfassenden Analyse von 1,3 Millionen einzigartigen Anwendungen und 126,4 Millionen Rohdaten und zeigt, dass 78 Prozent der Behörden mit erheblichen Sicherheitsrisiken arbeiten Schwachstellen, die seit mehr als einem Jahr nicht behoben wurden. Darüber hinaus sind 55 Prozent mit "kritischen"Sicherheitslücken belastet, die langjährige Schwachstellen mit hohem Risikopotenzial darstellen.

Sicherheitslücken im öffentlichen Sektor übersteigen den Branchendurchschnitt

In einer Zeit, in der das Vertrauen der Öffentlichkeit und die Sicherheit der digitalen Infrastruktur von größter Bedeutung sind, hat der öffentliche Sektor weiterhin Schwierigkeiten, Schwachstellen rechtzeitig zu beheben. Die Studie zeigt, dass öffentliche Einrichtungen durchschnittlich 315 Tage benötigen, um die Hälfte ihrer Software-Schwachstellen zu beheben deutlich mehr als der Gesamtdurchschnitt von 252 Tagen. Diese Verzögerung von 63 Tagen schafft erhebliche Angriffsflächen für potenzielle Angriffe auf Anwendungsebene und Datenverletzungen.

Die Daten zeigen außerdem, dass selbst nach zwei Jahren ein Drittel der Sicherheitslücken in Regierungsanwendungen unbehoben bleibt, wobei 15 Prozent davon seit mehr als fünf Jahren bestehen. Diese langwierige Behebung (dargestellt in der Überlebenskurve in Abb. 1) verdeutlicht, wie sich unbehobene Schwachstellen zu einer weitreichenden Sicherheitslücke summieren.

"Viele Behörden stehen vor wachsenden Herausforderungen bei der Behebung von Sicherheitslücken, wodurch kritische Systeme und Daten, die für wesentliche Behördendienste erforderlich sind, potenziell gefährdet sind", so Chris Wysopal, Chief Security Evangelist bei Veracode. "Unsere Untersuchung zeigt, dass der öffentliche Sektor dringend seine Sicherheitspraktiken modernisieren muss, insbesondere im Hinblick auf das Risikomanagement bei Open-Source-Software."

Veracode arbeitet direkt mit Behörden zusammen, um diese Herausforderungen im Bereich Cybersicherheit zu bewältigen. Gestützt auf die Ergebnisse aus der Analyse von mehr als 360 Billionen Codezeilen in zwei Jahrzehnten bietet die Veracode-Plattform umfassende Risikosichtbarkeit vom Entwurf bis zur Bereitstellung, sodass Unternehmen Schwachstellen schnell und präzise beheben können.

Code von Drittanbietern birgt unverhältnismäßig hohes Risiko

Eine besonders besorgniserregende Erkenntnis ist, dass Drittanbieter- und Open-Source-Code zwar weniger als 10 Prozent der gesamten Sicherheitsrisiken ausmachen, aber 70 Prozent der kritischen Sicherheitsrisiken in Regierungssystemen. Schlimmer noch: Die Behebung dieser Schwachstellen dauert etwa 50 Prozent länger als bei intern entwickelter Software.

Wysopal sagte: "Dieses unverhältnismäßige Risiko unterstreicht, wie wichtig es ist, Software-Lieferketten zu sichern und Open-Source-Abhängigkeiten sorgfältig zu prüfen. Ohne die Transparenz und die Bemühungen zur Behebung von Schwachstellen über den internen Code hinaus auszuweiten, laufen öffentliche Einrichtungen Gefahr, die gefährlichsten Schwachstellen unberücksichtigt zu lassen. Da der Einsatz von KI-generiertem Code in Unternehmen zunimmt, ist eine umfassende Open-Source-Analyse wichtiger denn je, um zu verhindern, dass versteckte Schwachstellen übersehen werden."

Benchmarks zur Sicherheitsreife zeigen Leistungsunterschiede

Trotz insgesamt besorgniserregender Trends zeigt die Untersuchung von Veracode, dass führende Behörden ihre Sicherheitslücken erfolgreich reduzieren und Schwachstellen fast viermal schneller beheben als andere. Diese leistungsstarken Organisationen zeigen, dass bedeutende Verbesserungen möglich sind, und bieten anderen Behörden, die ihre Softwaresicherheit verbessern möchten, einen klaren Weg in die Zukunft.

Der Bericht identifiziert fünf Schlüsselkennzahlen, mit denen die Reife der Anwendungssicherheit und die Fähigkeit zum Schuldenmanagement einer Organisation gemessen werden können. Dabei zeigen sich deutliche Leistungsunterschiede zwischen führenden und rückständigen Organisationen des öffentlichen Sektors:

Fehlerhäufigkeit : Führende Behörden weisen in weniger als 33 Prozent ihrer Anwendungen Fehler auf, während rückständige Behörden in 100 Prozent ihrer Anwendungen Fehler aufweisen.

: Führende Behörden weisen in weniger als 33 Prozent ihrer Anwendungen Fehler auf, während rückständige Behörden in 100 Prozent ihrer Anwendungen Fehler aufweisen. Behebungsfähigkeit : Führende Behörden beheben monatlich mehr als neun Prozent der Fehler, während es bei den Nachzüglern nur 0,1 Prozent sind.

: Führende Behörden beheben monatlich mehr als neun Prozent der Fehler, während es bei den Nachzüglern nur 0,1 Prozent sind. Lösungsgeschwindigkeit : Die besten Behörden beheben die Hälfte ihrer Fehler innerhalb von 3,3 Monaten, während die schlechtesten Behörden für ähnliche Ergebnisse mehr als 11 Monate benötigen.

: Die besten Behörden beheben die Hälfte ihrer Fehler innerhalb von 3,3 Monaten, während die schlechtesten Behörden für ähnliche Ergebnisse mehr als 11 Monate benötigen. Verbreitung von Sicherheitslücken: : Weniger als 26 Prozent der Anwendungen in führenden Behörden weisen Sicherheitslücken auf, verglichen mit mehr als 85 Prozent in rückständigen Organisationen.

: Weniger als 26 Prozent der Anwendungen in führenden Behörden weisen Sicherheitslücken auf, verglichen mit mehr als 85 Prozent in rückständigen Organisationen. Open-Source-Lücken: Selbst unter den führenden Behörden weisen 84 Prozent der Anwendungen kritische Open-Source-Lücken auf, bei den rückständigen Behörden sind es sogar 100 Prozent.

"Die Diskrepanz zwischen den leistungsstärksten und den leistungsschwächsten Regierungsbehörden ist frappierend und wirft wichtige Fragen zu den Faktoren auf, die einen wesentlichen Einfluss auf die Sicherheitslage haben", fügte Wysopal hinzu. "Diese Daten bieten Sicherheitsteams im öffentlichen Sektor einen klaren Rahmen, um ihren Reifegrad zu bewerten, Lücken zu identifizieren und ihre Leistung auf der Grundlage der Praktiken der leistungsstärksten Behörden zu verbessern."

Ein klarer Aufruf zum Handeln

Angesichts der zunehmenden Cyber-Bedrohungen und wachsenden regulatorischen Compliance-Anforderungen empfiehlt Veracode zwei strategische Veränderungen für Organisationen des öffentlichen Sektors:

Risikobasierte Priorisierung implementieren: Setzen Sie kontextgesteuerte Funktionen für das Sicherheitsmanagement ein, die die Ergebnisse mehrerer Sicherheitstools und Datenquellen miteinander verknüpfen. Fortschrittliche Lösungen wie Veracode Risk Manager decken die am leichtesten ausnutzbaren und dringendsten Schwachstellen auf und bieten automatisierte Lösungen. Verbesserung der umfassenden Transparenz: Richten Sie kontinuierliche Scans und Entwicklerunterstützung über den gesamten Softwareentwicklungslebenszyklus hinweg ein. Die proaktive Identifizierung von Fehlern vor der Bereitstellung ist nach wie vor die kostengünstigste und wirkungsvollste Investition in die Anwendungssicherheit.

Wysopal fasst zusammen: "In der heutigen Bedrohungslandschaft sind Sicherheitslücken kein akzeptables Risiko mehr. Mit den richtigen Schwerpunkten, Kennzahlen und Automatisierungen können Behörden ihre Softwarerisiken kontrollieren und jede neue Version widerstandsfähiger machen."

Angesichts der zunehmenden Anwendungsrisiken in Regierungssystemen müssen Bundes-, Landes- und Kommunalbehörden ein Gleichgewicht zwischen der Bereitstellung missionskritischer Dienste und einem effektiven Cybersicherheits-Risikomanagement finden. Die umfassende Plattform für Anwendungsrisikomanagement von Veracode hilft Behörden dabei, diese konkurrierenden Anforderungen zu bewältigen, indem sie eine beschleunigte Risikobeseitigung, datengesteuerte Priorisierung von Schwachstellen und automatisierte Risikobewertungsfunktionen bietet, die die Widerstandsfähigkeit der Organisation gegenüber sich entwickelnden Bedrohungen stärken. Dies ist besonders wichtig, da KI-generierter Code und Open-Source-Abhängigkeiten neue Komplexität in Softwareentwicklungsprozesse bringen.

Der vollständige Bericht "Public Sector State of Software Security 2025" steht zum Download auf der Website von Veracode bereit.

