Open-Source-Sicherheitslücken machen 82 der kritischen Sicherheitsrisiken bei Banken, Finanzdienstleistungs- und Versicherungsunternehmen aus
Veracode, der Weltmarktführer für Anwendungsrisikomanagement, hat heute seinen State of Software Security (SoSS) Snapshot 2025 für den Finanzdienstleistungssektor veröffentlicht. Die Analyse zeigt, dass fast zwei Drittel (63 Prozent) der Unternehmen aus dem Bereich Banken, Finanzdienstleistungen und Versicherungen (BFSI) kritische Sicherheitslücken aufweisen schwerwiegende Mängel, die seit mehr als einem Jahr nicht behoben wurden. Diese Quote liegt um 13 Prozentpunkte über dem branchenübergreifenden Durchschnitt.
Diese Pressemitteilung enthält multimediale Inhalte. Die vollständige Mitteilung hier ansehen: https://www.businesswire.com/news/home/20251029170999/de/
Fig. 1: Financial service sector flaw remediation timeline based on survival analysis
"Vertrauen ist alles im Finanzdienstleistungssektor, jedoch zeigen unsere Daten, dass ungelöste Sicherheitsdefizite ein stummes, wachsendes Risiko für die Branche darstellen", sagte Chris Wysopal, Mitbegründer und Chief Security Evangelist bei Veracode. "Angesichts der zunehmenden KI-gestützten Angriffe und verschärften Compliance-Anforderungen müssen finanzielle Führungskräfte der strategischen Risikominimierung Priorität einräumen. Dies beginnt mit der gezielten Behebung kritischer Software-Schwachstellen."
Die Forscher von Veracode berichten, dass 77 Prozent der Finanzdienstleister ein gewisses Maß an Sicherheitsdefiziten anhäufen. Mit einer durchschnittlichen "Halbwertszeit" von 276 Tagen also der Zeit, die benötigt wird, um 50 Prozent aller Schwachstellen zu beheben braucht der Sektor fast einen Monat länger als andere Branchen, um Sicherheitsprobleme zu lösen. Trotz gewisser Verbesserungen bei der Reduzierung schwerwiegender Schwachstellen stagniert der Fortschritt, da ältere und umfangreichere Anwendungen im Finanzsektor weiterhin ungelöste Sicherheitsrisiken anhäufen.
Open-Source-Abhängigkeit verstärkt Risiko
Der Bericht kam zu dem Ergebnis, dass die Lieferkette weiterhin eine Hauptrisikoquelle darstellt. Zwar macht Code von Drittanbietern nur 17 Prozent der gesamten Sicherheitslücken aus, jedoch ist er für mehr als 82 Prozent der kritischen Sicherheitslücken bei Finanzunternehmen verantwortlich. Da Open-Source-Schwachstellen 50 Prozent mehr Zeit zur Behebung erfordern als Code aus eigener Entwicklung, sind Organisationen angesichts des steigenden regulatorischen Drucks einem zunehmenden Risiko ausgesetzt. Durch die vorausschauende Bewertung von Open-Source-Bibliotheken und die Vermeidung von Komponenten mit bekannten Schwachstellen lassen sich sowohl langfristige Risiken als auch Risiken in Anwendungen wesentlich reduzieren.
Spitzenreiter vs. Nachzügler: Benchmarking von AppSec-Reife
Der Bericht vergleicht führende Unternehmen aus dem BFSI-Sektor mit leistungsschwächeren Organisationen. Branchenführer beheben monatlich über 9 Prozent der offenen Schwachstellen und begrenzen ihre Sicherheitsdefizite auf weniger als 26 Prozent der Anwendungen. Nachzügler hingegen weisen in mindestens 85 Prozent ihrer Anwendungen Sicherheitsdefizite auf und benötigen über ein Jahr für die Behebung. Diese Lücke unterstreicht die Bedeutung kontinuierlicher Code-Analysen, unverzüglicher Behebung und einer kontextbasierten, risikoorientierten Priorisierung mithilfe moderner, KI-gestützter Tools.
Wysopal folgerte: "Dieser Bericht gibt finanziellen Führungskräften die erforderlichen Daten an die Hand, um Fortschritte zu bewerten und Ressourcen gezielter einzusetzen. Wenn Unternehmen verstehen, wo sich kritische Risiken in Open-Source- und Legacy-Systemen konzentrieren, können sie über das bloße Aufdecken von Schwachstellen hinausgehen und die wichtigsten Probleme strategisch beheben, um zum einen ihre Kunden zu schützen, zum anderen sicher und zuversichtlich Innovationen voranzutreiben."
Der Veracode State of Software Financial Services Snapshot 2025 ist auf der Website von Veracode verfügbar.
Über den State of Software Security Report
Der Veracode State of Software Security Report 2025 ist die 15. Ausgabe des Berichts. Analysiert wurden Daten von Unternehmen jeglicher Größenordnung, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. Der Bericht enthält Ergebnisse zu Anwendungen, die über die cloudbasierte Plattform von Veracode einer statischen Analyse, dynamischen Analyse, Software Composition Analysis und/oder manuellen Penetrationstests unterzogen wurden. Im Einzelnen stammen die Daten von:
- 1,3 Millionen einzigartige Anwendungen mit 126,4 Millionen Rohbefunden
- 107,4 Millionen Befunde wurden durch SAST-Scans identifiziert
- 3,9 Millionen Befunde wurden durch DAST-Scans identifiziert
- 15 Millionen Befunde wurden durch Software Composition Analysis identifiziert
Über Veracode
Veracode ist ein weltweit führender Anbieter von Anwendungsrisikomanagement für das KI-Zeitalter. Die Veracode-Plattform basiert auf Billionen von Code-Scans und einer proprietären KI-gestützten Engine zur Fehlerbehebung und wird von Unternehmen weltweit für die Entwicklung und Wartung sicherer Software von der Code-Erstellung bis zur Cloud-Bereitstellung eingesetzt. Tausende der weltweit führenden Entwicklungs- und Sicherheitsteams nutzen Veracode jeden Tag rund um die Uhr, um genaue und umsetzbare Einblicke in ausnutzbare Risiken zu erhalten, Schwachstellen in Echtzeit zu beheben und ihre Sicherheitslücken in großem Umfang zu reduzieren.
Veracode ist ein mehrfach ausgezeichnetes Unternehmen, das Funktionen zur Sicherung des gesamten Softwareentwicklungslebenszyklus anbietet, darunter Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, Malicious Package Detection und Penetration Testing.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode-Blog und auf LinkedIn und X.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20251029170999/de/
Contacts:
Medien:
Katy Gwilliam
Head of Global Communications, Veracode
kgwilliam@veracode.com