Automatisierung als Treiber für Softwaresicherheit bei Finanzdienstleistern

Veracode, Anbieter von intelligenter Softwaresicherheit, veröffentlicht einen Studien-Report, der die Schlüsselfaktoren für die Einführung und Häufung von Sicherheitslücken im Finanzdienstleistungssektor aufzeigt. Anwendungen der Finanzbranche sind im Allgemeinen sicherer als in anderen Branchen. Automatisierung, gezielte Sicherheitsschulungen und Scans der Anwendungsprogrammierschnittstelle (API) tragen dazu bei, dass die Anzahl an Schwachstellen von Jahr zu Jahr geringer wird. Der Finance-Sektor schneidet unter allen Branchen laut dem Software-Security Report 2023 am besten ab. Vor dem Hintergrund des Digital Operational Resilience Act (DORA) der EU, der sich auf den Finanzdienstleistungssektor auswirkt, gibt die Studie von Veracode Empfehlungen zur Reduzierung von Schwachstellen in Software.

Obwohl fast 72 Prozent der Anwendungen im Finanzdienstleistungssektor Sicherheitslücken aufweisen, ist dies der niedrigste Wert aller untersuchten Branchen und eine Verbesserung gegenüber dem letzten Jahr. „Finanzdienstleister haben in der diesjährigen Analyse in allen Bereichen gute Ergebnisse erzielt”, sagt Chris Eng, Chief Research Officer bei Veracode. Der zunehmende Wettbewerb und die steigenden Kundenerwartungen in Verbindung mit strengeren Vorschriften in der gesamten Branche hätten den Druck auf Entwickler und Sicherheitsteams erhöht, Schwachstellen in großem Umfang zu finden und zu beheben.

KI und maschinelles Lernen haben das Tempo der Softwareentwicklung auf ein neues Niveau gehoben, was allerdings zu einer übermäßigen Verbreitung von Fehlern führt. Die Branche hat gute Arbeit geleistet, um hier ihre Leistung zu steigern, aber es gibt immer noch Verbesserungspotenzial.”

Chris Eng, Chief Research Officer bei Veracode

Finanzunternehmen würden von einer stärkeren Automatisierung und sicheren Codierungstechniken profitieren, die ihnen helfen, Schwachstellen schneller als je zuvor zu verhindern bzw. zu erkennen und darauf zu reagieren.

API-Scans und Schulungen gegen Schwachstellen

Die von Veracode durchgeführte Studie hat gezeigt, dass Finanzdienstleister im Vergleich zum Durchschnitt der gesamten Branche einen größeren Nutzen aus dem Scannen über APIs und aus Sicherheitsschulungen ziehen. Das Scannen mit Hilfe von APIs ist ein Maß für den Reifegrad eines Software-Sicherheitsprogramms. Unternehmen, die API Scanning integrieren, verfügen über eine stärkere Fähigkeit, ihre Entwicklungspipeline zu automatisieren und zu kontrollieren. In der Tat codieren Finanzinstitute, die das Scannen über APIs nutzen, 11 Prozent weniger Schwachstellen pro Monat als der Durchschnitt aller Unternehmen in anderen Branchen. Die Durchführung zusätzlicher Sicherheitsschulungen hat eine Verringerung der Wahrscheinlichkeit der Einführung von Schwachstellen um 19 % pro Monat zur Folge.

Noch deutlicher sind die Auswirkungen von API-Scanning und Sicherheitsschulungen auf die Anzahl der codierten Schwachstellen. Die Zahl der gefundenen Schwachstellen sank um 26 %, wenn die Sicherheitsteams von Finanzinstituten 10 interaktive Sicherheitsschulungsmodule absolvierten. Damit liegt das Ergebnis der Branche deutlich über dem Durchschnitt aller Branchen. Auch die Anzahl der Schwachstellen, die in Anwendungen des Finanzsektors gefunden wurden, wurde durch das Starten von Scans über eine API stärker beeinflusst als in anderen Branchen.

“Die Daten zeigen, dass Finanzdienstleistungsunternehmen erheblich von der Automatisierung durch die Nutzung von APIs profitieren”, so Eng.

Automatisierung ist für viele Unternehmen ein erstrebenswertes Ziel. Wir sehen, dass der Start von Scans über APIs mit einer geringeren Wahrscheinlichkeit korreliert, dass Fehler in Code eingeschleust werden. Die Anzahl der Mängel, die ihren Weg in Software finden, wird reduziert.”

Chris Eng, Chief Research Officer bei Veracode

Es überrascht nicht, dass auch Schulungen in direktem Zusammenhang mit einer geringeren Einschleusung von Fehlern stehen.

Drastische Reduzierung des Zeit- und Arbeitsaufwands

Auch die Bevorzugung von Programmiersprachen nach Branchen wurde im State of Software Security Report untersucht. Demnach ist Java im Finanzdienstleistungssektor mit 51 Prozent fast schon ein De-facto-Standard. Veracode Fix, ein KI-basiertes Hilfsprogramm, das Anfang des Jahres auf den Markt gebracht wurde, nutzt maschinelles Lernen, um Patches für 74 Prozent der statischen Java-Sicherheitslücken zu generieren.

Durch die drastische Reduzierung des Zeit- und Arbeitsaufwands werden Unternehmen in die Lage versetzt, ihre Sicherheitslage zu verbessern und ihr Risiko weiter zu senken. Dadurch werden Kapazitäten für Innovationen und Neuentwicklungen frei. Angesichts der Tatsache, dass Java-Anwendungen zu über 95 Prozent aus Code von Drittanbietern bestehen, zeigen die Daten der Studie auch, welche Vorteile die Software Composition Analyse für die Finanzindustrie hat, um die Sicherheit und Integrität von Open-Source-Programmcode zu erhöhen

Der Veracode State of Software Security Financial Services Report mit allen Details und Empfehlungen steht auf der Veracode-Website zum Download bereit. Den vollständigen globalen „State of Software Security 2023“ Report finden Sie hier. tw