Report: Hohe Schwachstellenraten bei Behörden-Anwendungen

Report: Hohe Schwachstellenraten bei Behörden-Anwendungen

Beitrag teilen

Die 13. Ausgabe des State of Software Security Reports, veröffentlicht die Trends der Softwarelandschaft und wie sich Sicherheitspraktiken entwickeln. Die Ergebnisse sind teilweise besorgniserregend: So wurde bei 82 Prozent der im öffentlichen Sektor entwickelten Anwendungen mindestens eine Sicherheitslücke entdeckt, bei Privatunternehmen sind es 74 Prozent.

Aus der State of Software Security Studie geht hervor, dass Applikationen für die öffentliche Hand tendenziell mehr Sicherheitslücken aufweisen als Anwendungen für den privaten Sektor. Die höhere Anzahl von Fehlern und Schwachstellen in Anwendungen korreliert mit einem erhöhten Sicherheitsrisiko. Die Studie wurde vor dem Hintergrund einer Reihe von weltweiten Regierungs-Initiativen zur Verbesserung der Cybersicherheit durchgeführt, wie beispielsweise dem EU Cyber Resilience Act, der darauf abzielt, zusätzliche Mindestsicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen. Die Analyse der Daten von mehr als 27 Millionen Scans in 750.000 Anwendungen bildete die Basis des neuesten Jahresberichts von Veracode

Anzeige

Viele Anwendungen mit Sicherheitslücken

🔎 Im öffentlichen Sektor gibt es über die Jahre weniger Schwachstellen als bei anderen Organisationen (Bild: Veracode).

Die Forschenden fanden heraus, dass rund 82 Prozent der von Organisationen des öffentlichen Sektors entwickelten Anwendungen mindestens eine Sicherheitslücke aufwiesen. Im Vergleich dazu waren es bei Privatunternehmen 74 Prozent. Die Daten für die Studie wurden innerhalb der letzten 12 Monate erhoben. Je nach Art der festgestellten Schwachstelle war die Wahrscheinlichkeit, dass in den letzten 12 Monaten eine Sicherheitslücke in Anwendungen des öffentlichen Sektors eingebaut wurde, um 7 – 12 Prozent höher.

Die Zahlen allein verdeutlichen nicht die Folgen, die auftreten, wenn Hacker Softwarefehler und Schwachstellen ausnutzen. So sorgte im August letzten Jahres ein Supply-Chain-Angriff auf die deutsche Industrie- und Handelskammer dafür, dass diese ihre IT-Systeme und digitale Dienste, Telefone und E-Mail-Server komplett herunterfahren mussten. Essenzielle Services waren zwar kurz nach dem Angriff wieder verfügbar, aber bis die vollständige Funktionsfähigkeit wieder hergestellt wurde, verging mehr als ein ganzer Monat.

Schwerwiegende Schwachstellen im öffentlichen Sektor

Wenn es um Schwachstellen mit „hohen Schweregrad“ geht, haben öffentliche Sektoren die Oberhand. Im 12-Monats-Zeitraum der Studie war der Prozentsatz der Anwendungen mit schwerwiegenden Sicherheitslücken im öffentlichen Sektor (16,5%) geringer als bei Privatunternehmen (19%). Schwachstellen mit höherem Schweregrad besitzen ein höheres Potenzial, das gesamte System zu beeinflussen, wenn sie ausgenutzt werden.

Moderne Tests von Applikationen fördern den Einsatz von Sicherheitsscanning-Tools, wie statische Anwendungssicherheitstests (SAST) und Softwarekompositionsanalysen (SCA). Verschiedene Scantypen können unterschiedliche Arten von Schwachstellen aufdecken. SAST und SCA fanden bei Anwendungen im öffentlichen Sektor zu einem geringeren Prozentsatz Mängel als bei Applikationen von Privatunternehmen.

Vorsicht ist besser als Nachsicht

In Bezug auf die Rate, in der Scans neue Schwachstellen in alternder Software finden, gibt es große Unterschiede zwischen dem öffentlichen und privaten Sektor. Bei Anwendungen, die bereits seit 5 Jahren im Einsatz sind, steigen die Sicherheitsmängel im privaten Sektor, bei öffentlichen Organisationen nehmen sie hingegen ab. Dieser Trend zeigt, dass Organisationen der öffentlichen Hand auch über mehrere Jahre hinweg auf die Sicherheit ihrer Anwendungen achten und nicht nur ganz am Anfang des Lebenszyklus.

Der ‚State of Software Security Public Sector 2023 Report‘ empfiehlt vier Maßnahmen, die Behörden ergreifen können, um ihre Cybersicherheitslage zu verbessern:

  • Aufholen: Backlogs von bekannten Fehlern müssen so schnell wie möglich behoben werden.
  • Regelmäßiges Scannen: Unregelmäßiges Scannen erschwert die Behebung von Fehlern und führt zu mehr Backlogs.
  • Automatisieren: Durch die Automatisierung von Tests über APIs werden Fehler und Mängel in Anwendungen besser vermieden.
  • Hinzufügen von DAST zum Security-Stack: Verwenden Sie dynamisches Scannen, um Schwachstellen zu entdecken, die andere Scan-Typen übersehen.

„Der öffentliche Sektor hat bei der Verbesserung der Sicherheit seiner Anwendungen einen weiten Weg zurückgelegt. Trotzdem bleibt noch viel zu tun, damit Behörden ihre Cybersicherheit verbessern und neue Bedrohungen abwehren können. Indem sie ihre Sicherheitsanstrengungen auf die eigentliche Ursache der meisten Cyberverletzungen – die Anwendungsebene – konzentrieren, können sie erhebliche Verbesserungen erzielen. Regelmäßige Scans mit verschiedenen Testmethoden und die anschließende Beseitigung von Sicherheitslücken werden den Weg in eine sicherere Zukunft für den öffentlichen Sektor ebnen“, so Julian Totzek-Hallhuber, Manager Solution Architects EMEA & APAC bei Veracode.

Mehr bei Veracode.com

 


Über Veracode

Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen