Bericht zum Zustand der Software-Sicherheit Anwendungssicherheit bei Öffentlicher Hand mangelhaft

Autor Ira Zahorsky

Veracode, ein Spezialist für sichere Web- und mobile Anwendungen, hat die vergangenen 18 Monate mehr als 200.000 Anwendungen aus unterschiedlichen Branchen ausgewertet, die auf seiner Cloud-basierten Plattform ausgeführt wurden. Das Ergebnis sollte die Öffentliche Hand zum Nachdenken bringen.

Anbieter zum Thema

Nicht einmal ein Drittel der erkannten Sicherheitsmängel werden von staatlichen Organisationen behoben.
Nicht einmal ein Drittel der erkannten Sicherheitsmängel werden von staatlichen Organisationen behoben.
(Bild: Veracode)

Diesem Bericht zum Zustand der Software-Sicherheit zufolge hinkt die Öffentliche Hand bei der Sicherheit von Web- und mobilen Anwendungen hinterher. Im Vergleich mit den anderen analysierten vertikalen Märkten (Finanzdienstleistungen, Einzelhandel und Gastgewerbe, Technologie, Fertigungsindustrie, Gesundheitswesen und andere) wiesen die Anwendungen staatlicher Organisationen das höchste Maß an Schwachstellen für SQL-Injections auf, dem Hauptangriffspunkt für den Diebstahl sensibler Daten.

Ein Grund für die schlechte Sicherheit bei Anwendungen der Öffentlichen Hand liegt darin, dass viele Behörden weiterhin ältere Programmiersprachen wie ColdFusion nutzen, die für ihre Anfälligkeit bekannt sind. Bedenklich ist auch, dass staatliche Organisationen nur 27 Prozent der Anwendungsschwachstellen beheben, wenn sie diese erkannt haben

Aber auch das Gesundheitswesen steht schlecht da: mehr als 80 Prozent der Anwendungen im Gesundheitswesen wiesen bei der Erstprüfung kryptografische Probleme wie schwache Algorithmen auf. Darüber hinaus liegt das Gesundheitswesen mit nur 43 Prozent bei der Behebung der bekannten Schwachstellen weit zurück.

Im Gegensatz zur Öffentlichen Hand haben Finanzdienstleister und die Fertigungsindustrie ein höheres Bewusstsein für Sicherheitsrisiken sowie ein höheres Augenmerk auf die Durchsetzung unternehmensweiter Richtlinien, die Überwachung von Key Performance Indicators und die Einführung kontinuierlicher Verbesserungsprozesse. Deshalb agieren sie deutlich proaktiver und beheben den Großteil ihrer Schwachstellen (65 bzw. 81 Prozent).

Auch die Software-Lieferkette birgt der Analyse zufolge ein hohes Risikopotenzial. Nahezu drei von vier Anwendungen von Third-Party- und SaaS-Anbietern sind bei der Erstbeurteilung nicht mit den OWASP Top 10 konform.

„Jede Branche steht vor der Herausforderung, sichere Web- und mobile Anwendungen, die zudem ständig mehr und komplexer werden, für unterschiedliche und geographisch verteilte Entwicklungsteams bereitzustellen“, kommentiert Chris Wysopal, CISO und CTO bei Veracode. Coaching-Services zur Mängelbeseitigung, wie die von Veracode angebotenen, können das Risiko auf Anwendungsebene verringern.

(ID:43481820)