Bericht zum Zustand der Software-Sicherheit

Anwendungssicherheit bei Öffentlicher Hand mangelhaft

| Autor: Ira Zahorsky

Nicht einmal ein Drittel der erkannten Sicherheitsmängel werden von staatlichen Organisationen behoben.
Nicht einmal ein Drittel der erkannten Sicherheitsmängel werden von staatlichen Organisationen behoben. (Bild: Veracode)

Veracode, ein Spezialist für sichere Web- und mobile Anwendungen, hat die vergangenen 18 Monate mehr als 200.000 Anwendungen aus unterschiedlichen Branchen ausgewertet, die auf seiner Cloud-basierten Plattform ausgeführt wurden. Das Ergebnis sollte die Öffentliche Hand zum Nachdenken bringen.

Diesem Bericht zum Zustand der Software-Sicherheit zufolge hinkt die Öffentliche Hand bei der Sicherheit von Web- und mobilen Anwendungen hinterher. Im Vergleich mit den anderen analysierten vertikalen Märkten (Finanzdienstleistungen, Einzelhandel und Gastgewerbe, Technologie, Fertigungsindustrie, Gesundheitswesen und andere) wiesen die Anwendungen staatlicher Organisationen das höchste Maß an Schwachstellen für SQL-Injections auf, dem Hauptangriffspunkt für den Diebstahl sensibler Daten.

Ein Grund für die schlechte Sicherheit bei Anwendungen der Öffentlichen Hand liegt darin, dass viele Behörden weiterhin ältere Programmiersprachen wie ColdFusion nutzen, die für ihre Anfälligkeit bekannt sind. Bedenklich ist auch, dass staatliche Organisationen nur 27 Prozent der Anwendungsschwachstellen beheben, wenn sie diese erkannt haben

Aber auch das Gesundheitswesen steht schlecht da: mehr als 80 Prozent der Anwendungen im Gesundheitswesen wiesen bei der Erstprüfung kryptografische Probleme wie schwache Algorithmen auf. Darüber hinaus liegt das Gesundheitswesen mit nur 43 Prozent bei der Behebung der bekannten Schwachstellen weit zurück.

Im Gegensatz zur Öffentlichen Hand haben Finanzdienstleister und die Fertigungsindustrie ein höheres Bewusstsein für Sicherheitsrisiken sowie ein höheres Augenmerk auf die Durchsetzung unternehmensweiter Richtlinien, die Überwachung von Key Performance Indicators und die Einführung kontinuierlicher Verbesserungsprozesse. Deshalb agieren sie deutlich proaktiver und beheben den Großteil ihrer Schwachstellen (65 bzw. 81 Prozent).

Auch die Software-Lieferkette birgt der Analyse zufolge ein hohes Risikopotenzial. Nahezu drei von vier Anwendungen von Third-Party- und SaaS-Anbietern sind bei der Erstbeurteilung nicht mit den OWASP Top 10 konform.

„Jede Branche steht vor der Herausforderung, sichere Web- und mobile Anwendungen, die zudem ständig mehr und komplexer werden, für unterschiedliche und geographisch verteilte Entwicklungsteams bereitzustellen“, kommentiert Chris Wysopal, CISO und CTO bei Veracode. Coaching-Services zur Mängelbeseitigung, wie die von Veracode angebotenen, können das Risiko auf Anwendungsebene verringern.

Mehr Schutz für die Behörden-IT

Hacker-Angriffe und IT-Sicherheitsgesetz

Mehr Schutz für die Behörden-IT

22.06.15 - Mitte Mai 2015 wurde der Deutsche Bundestag Ziel eines massiven Hackerangriffs über mehrere Tage hinweg. Im Doppelinterview erläutern Staatssekretärin Brigitte Zypries und Syss-Chef Sebastian Schreiber die Bedeutung eines IT-Sicherheitsgesetzes für staatliche Stellen. lesen

Auch Bundesverwaltung muss Bedrohungen melden

Bundestag verabschiedet IT-Sicherheitsgesetz

Auch Bundesverwaltung muss Bedrohungen melden

16.06.15 - Überraschend schnell hat die Bundesregierung auf die Datenpanne im Deutschen Bundestag reagiert und das IT-Sicherheitsgesetz auch auf Bundesbehörden ausgeweitet. Bundesinnenminister de Maizière sieht in dem Gesetz bereits „einen wichtiger Schritt zur Stärkung der IT-Systeme in unserem Land“. lesen

Kommentar zu diesem Artikel abgeben
Da stellt sich die Frage, wie der Cloud-Anbieter solche Auswertungen fahren kann, ohne...  lesen
posted am 01.07.2015 um 08:11 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43481820 / Standards & Technologie)