Eine neue Studie von Veracode zeigt, dass beim ersten Scan 32 Prozent aller Anwendungen von Sicherheitslücken betroffen sind, nach fünf Jahren bereits 70 Prozent.
Der Report "State of Software Security 2023" von AST-Anbieter Veracode (AST = Application Security Testing), zeigt auf, wie sich Schwachstellen in Anwendungen über die Zeit verändern: sind beim ersten Scan 32 Prozent der Anwendungen betroffen, weisen nach fünf Jahren bereits 70 Prozent von ihnen mindestens eine Sicherheitslücke auf. Bei durchschnittlichen Kosten von rund vier Millionen Euro [1] im Falle einer Datenschutzverletzung, sollte der Behebung von Sicherheitslücken bereits in einem frühen Stadium der Softwareentwicklung Priorität eingeräumt werden.
Chris Eng, Chief Research Officer bei Veracode: "Unsere Studien sollen Entwicklern dabei helfen, gewonnene Erkenntnisse sofort in die Tat umsetzen zu können. Aus den diesjährigen Ergebnissen lassen sich zwei wichtige Überlegungen ableiten: Wie kann man die Wahrscheinlichkeit verringern, dass Fehler überhaupt eingeführt werden, und wie kann man ihre Anzahl reduzieren. Abgesehen von technischen Zugangskontrollen sind sichere Programmierpraktiken für die Cybersicherheit im Jahr 2023 und darüber hinaus umso wichtiger."
Nach einem ersten Scan treten Anwendungen schnell in eine sogenannte "Honeymoon Period" ein, in denen sie stabil sind und fast 80 Prozent von ihnen weisen in den ersten 18 Monaten keine neuen Schwachstellen auf. Danach steigt ihre Zahl jedoch an und erreicht nach fünf Jahren etwa 35 Prozent. Die Untersuchungen von Veracode zeigen zudem, dass Schulungen für Entwickler, die Verwendung mehrerer Scantypen, wie beispielsweise API-Scans, und häufigere Scans die Wahrscheinlichkeit neuer Schwachstellen verringern.
Veracode zeigt mit seinem Report die wichtigsten Schritte auf, die Sicherheits- und Entwicklungsteams durchführen sollten:
- Technische oder sicherheitsrelevante Probleme sollten so früh und so schnell wie möglich angegangen werden. Die Behebungskurve muss früher und schneller abfallen, da sich in einer Anwendung bereits nach zwei Jahren Schwachstellen angesammelt haben, sei es durch zunehmende Komplexität aufgrund jahrelangen Wachstums oder nachlassende Konzentration bei der Anwendungsentwicklung. Dies führt dazu, dass Anwendungen nach zehn Jahren mit 90-prozentiger Wahrscheinlichkeit eine Schwachstelle enthalten. Häufige Scans mit einer Vielzahl von Tools helfen, Fehler zu finden und zu beheben.
- Automatisierung und Sicherheitsschulungen für Entwickler sollten priorisiert werden. So lässt sich leichter verstehen, welche Schwachstellen am wahrscheinlichsten auftreten und welche Techniken dies vermeiden können. Insgesamt zeigen die Daten eine 27-prozentige Wahrscheinlichkeit, dass in einem bestimmten Monat neue Schwachstellen in einer Anwendung auftauchen. Unternehmen, die über ein API scannen, verringern diese Wahrscheinlichkeit auf 25 Prozent.
- Unternehmen sollten ein Protokoll einführen, welches das Management des Anwendungslebenszyklus, das Änderungsmanagement, die Ressourcenzuweisung und organisatorische Kontrollen umfasst. So kann untersucht werden, wie die Supportability- und Qualitätskontrollphasen innerhalb des Unternehmens aussehen. Erste Diskussionen könnten zu einer geplanten Obsoleszenz einiger Anwendungen und einer Überprüfung der Prozesse und Qualitätskontrollmaßnahmen führen, die mit der kontinuierlichen Produktentwicklung verbunden sind.
Für den Veracode-Report "State of Software Security 2023" wurden eine dreiviertel Million Anwendungen von kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten analysiert. Der vollständige Bericht steht
hier zum Download bereit (Anmeldung erforderlich).
[1] IBM Security and The Ponemon Institute, "Cost of a Data Breach Report 2022", July 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ