Hochriskante Schwachstellen steigen im Jahresvergleich um 36 %, während kritische Sicherheitslücken um 20 zunehmen, was auf eine wachsende Krise in der Softwaresicherheit hindeutet
Veracode, der weltweit führende Anbieter von Anwendungsrisikomanagement, hat heute seinen Bericht zum Stand der Softwaresicherheit 2026 veröffentlicht, der die wachsende Kluft zwischen der Geschwindigkeit, mit der Unternehmen Software entwickeln, und der Geschwindigkeit, mit der sie diese sichern können, aufzeigt. Der Bericht ergab, dass 82 Prozent der Unternehmen derzeit Sicherheitsdefizite aufweisen ein Anstieg von 11 Prozent gegenüber dem Vorjahr und dass 60 Prozent dieser Unternehmen Sicherheitsdefizite haben, die als "kritisch" eingestuft werden, da sie akkumulierte Schwachstellen darstellen, die bei Ausnutzung katastrophale Schäden für ein Unternehmen verursachen können. Der Bericht empfiehlt die Einführung einer "Protect, Prioritize, and Prove"-Strategie, um das Risiko 2026 und darüber hinaus deutlich zu reduzieren.
Diese Pressemitteilung enthält multimediale Inhalte. Die vollständige Mitteilung hier ansehen: https://www.businesswire.com/news/home/20260224469129/de/
Fig. 1: Veracode State of Software Security Report 2025 vs 2026 YoY Change
Der Flaggschiff-Bericht von Veracode, der nun zum 16. Mal jährlich erscheint, analysierte 1,6 Millionen einzigartige Anwendungen von Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten weltweit.
Die Ergebnisse für 2026 zeigen eine grundlegende Diskrepanz zwischen Entwicklungsgeschwindigkeit und Behebungskapazität auf. Während sich die Erkennungsfähigkeiten verbessert haben, wächst der Rückstand an ungelösten Schwachstellen schneller, als die Teams ihn beseitigen können. Dieser Trend wird durch einen Anstieg der hochriskanten Schwachstellen um 36 Prozent gegenüber dem Vorjahr noch verstärkt. Diese Schwachstellen werden als schwerwiegend und in hohem Maße ausnutzbar eingestuft.
"Die Geschwindigkeit der Softwareentwicklung ist sprunghaft angestiegen, was bedeutet, dass das Tempo, in dem Schwachstellen entstehen, die derzeitigen Behebungskapazitäten übersteigt", so Chris Wysopal, Chief Security Evangelist bei Veracode. "Trotz geringfügiger Verbesserungen bei den Behebungsraten wird die Sicherheitslücke für viele Unternehmen zu einem immer größeren Problem. Jetzt, da KI die Geschwindigkeit der Softwareentwicklung auf ein beispielloses Niveau gebracht hat, müssen Unternehmen sicherstellen, dass sie bewusste, intelligente Entscheidungen treffen, um die Flut von Fehlern einzudämmen und ihr Risiko zu minimieren."
Wichtige Erkenntnisse aus dem Bericht "Stand der Softwaresicherheit 2026"
Die diesjährige Studie ermittelt die wichtigsten Themen, die die Reife der Softwaresicherheit in einer Welt prägen, in der KI-gesteuerte Entwicklung, wachsende Angriffsflächen und schnellere Release-Zyklen mit der Behebungskapazität kollidieren.
- Kritische Sicherheitslücken nehmen zu: Der Anstieg der kritischen Sicherheitslücken um 20 Prozent gegenüber dem Vorjahr deutet darauf hin, dass die Anhäufung riskanter Schwachstellen, die älter als ein Jahr sind, die Behebungskapazität übersteigt, was darauf hindeutet, dass dringend überlegt werden muss, wie Rückstände bewältigt werden können.
- Hochriskante Schwachstellen erfordern eine neue Art der Priorisierung: Ein relativer Anstieg von 36 Prozent bei Schwachstellen, die sowohl als "schwerwiegend" als auch als "hochgradig ausnutzbar" eingestuft werden, erfordert eine dringende Umstellung von einer generischen Schweregradbewertung auf eine Priorisierung, die auf dem tatsächlichen Angriffspotenzial basiert.
- Die Erkennung verbessert sich leicht, die Behebung jedoch nicht: Während Unternehmen erfolgreich weniger Schwachstellen finden und die Erkennungsraten verbessern, zeigen die Daten, dass es nach wie vor schwierig ist, diese schnell genug zu beheben, um das sich vergrößernde Risikofenster zu schließen.
- Open-Source-Komponenten bergen ein überproportionales Risiko: Bibliotheken von Drittanbietern und Open-Source-Abhängigkeiten machen 66 Prozent der gefährlichsten und langlebigsten Schwachstellen aus ein Hinweis darauf, dass die Hygiene bei Drittanbietern trotz Anzeichen einer Verbesserung noch einen langen Weg vor sich hat.
- Der Einfluss der KI: Die Entwicklung der KI führt zu neuen hochriskanten Schwachstellenmustern in großem Maßstab, während KI-gestützte Abhilfemaßnahmen allmählich einen glaubwürdigen Weg zur Schließung dieser Lücke bieten.
Umsetzbare Erkenntnisse und Empfehlungen
Um diesen Risiken entgegenzuwirken, plädiert Veracode für eine Verlagerung von der einfachen Erkennung hin zu einem strategischeren Rahmenkonzept, das sich auf Priorisierung, Schutz und Nachweis konzentriert. Dieser Ansatz ermöglicht es Unternehmen, ihre "Kronjuwelen" zu priorisieren die wertvollsten Systeme und Anwendungen, die sensible Daten enthalten, Kerndienste bereitstellen oder den Gesamtbetrieb beeinflussen.
"Wir befinden uns an einem Wendepunkt, an dem es nicht mehr sinnvoll ist, auf dem Laufband des Schwachstellenmanagements immer schneller zu laufen", schloss Wysopal. "Erfolg erfordert eine bewusste Umstellung. Teams müssen den 11,3 Prozent der Schwachstellen, die eine reale Gefahr darstellen, Priorität einräumen, ihre kritischen Ressourcen durch automatisierte Behebungsmaßnahmen schützen und nachweisen, dass ihre Sicherheitslage den strengen Anforderungen der modernen Compliance entspricht. Es geht nicht darum, alles zu reparieren, sondern darum, die Sicherheitsrisiken zu verwalten, indem die folgenschwersten Risiken minimiert werden."
Der jährliche "Bericht zum Stand der Softwaresicherheit" von Veracode ist einer der ältesten und umfassendsten Berichte der Branche über die Landschaft des Anwendungsrisikomanagements.
Der vollständige Bericht für 2026 ist auf der Veracode-Website verfügbar. Nehmen Sie am Webinar am 26. Februar um 11 Uhr Eastern Time teil, um mehr von den Autoren des diesjährigen Berichts zu erfahren und eine eingehende Analyse der wichtigsten Ergebnisse zu erhalten.
Über den State of Software Security Report
Der Veracode-Bericht zum Stand der Softwaresicherheit stützt sich auf die Analyse von Anwendungen, die durch statische Analyse, dynamische Analyse, Software-Zusammensetzungsanalyse und/oder manuelle Penetrationstests über die cloudbasierte Plattform von Veracode getestet wurden. Der diesjährige Datensatz umfasst 1,6 Millionen einzigartige Anwendungen, die 141,3 Millionen Rohbefunde generieren 115,6 Millionen aus statischen Analysen, 22,1 Millionen aus Software-Zusammensetzungsanalysen und 3,6 Millionen aus dynamischen Analysen. Diese Daten umfassen Unternehmen jeder Größe, kommerzielle Softwareanbieter, Software-Outsourcer und Open-Source-Projekte weltweit.
Über Veracode
Veracode ist ein Weltmarktführer im Bereich Anwendungsrisikomanagement für das KI-Zeitalter. Die Veracode-Plattform basiert auf Billionen von Code-Scans und einer proprietären KI-gestützten Engine zur Fehlerbehebung und wird von Unternehmen weltweit für die Entwicklung und Wartung sicherer Software eingesetzt, von der Code-Erstellung bis zur Cloud-Bereitstellung. Tausende der weltweit führenden Entwicklungs- und Sicherheitsteams nutzen Veracode jeden Tag rund um die Uhr, um genaue und umsetzbare Einblicke in potenzielle Risiken zu erhalten, Schwachstellen in Echtzeit zu beheben und ihre Sicherheitsrisiken auf breiter Ebene zu reduzieren. Veracode ist ein mehrfach ausgezeichnetes Unternehmen, das Funktionen zur Sicherung des gesamten Softwareentwicklungslebenszyklus anbietet, einschließlich Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, Malicious Package Detection, Package Firewall und Penetration Testing.
Weitere Informationen erhalten Sie unter www.veracode.com, im Veracode-Blog sowie auf LinkedIn und X.
Copyright 2026 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Marke von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Ländern registriert sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier genannten Marken sind Eigentum ihrer jeweiligen Inhaber.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20260224469129/de/
Contacts:
Presse- und Medienkontakte
Katy Gwilliam
Head of Global Communications, Veracode
kgwilliam@veracode.com
