„Sicherheitsverschuldung“: Dramatischer Anstieg – 117 Tage, bis eine Schwachstelle behoben wird

Sicherheitsdefizite in Unternehmen können sich ähnlich wie Schulden, die nicht getilgt werden, über die Jahre akkumulieren und zu gefährlichen Altlasten werden. Der zehnte State of Software Security Report von Veracode untersucht diese Sicherheitsverschuldung und legt dabei auch einen besonderen Fokus auf den Finanzsektor.

von Julian Totzek-Hallhuber, Solution Architect Veracode

Insgesamt wurden für den Report (Download)  85.000 Anwendungen von über 2.300 Unternehmen untersucht. Über alle Branchen hinweg zeigt sich, dass 83 Prozent der getesteten Apps mindestens einen Fehler aufweisen. Die häufigsten Fehler machen Informationslecks (64 Prozent), kryptografische Probleme (62 Prozent) und CRLF-Injektion (61 Prozent) aus. Zwar werden mit 56 Prozent über die Hälfte der neuen Schwachstellen behoben, doch scheint das zu einer Vernachlässigung älterer Probleme zu führen. Eben dieser Stau schlägt sich dann in der Sicherheitsverschuldung nieder.

Entwicklungsteams brauchen heute durchschnittlich 117 Tage, um Schwachstellen zu beheben. 2009 lag dieser Wert noch bei 59 Tagen.”

Während sich der Durchschnitt fast verdoppelt hat, ist der Median dennoch bei 59 Tagen verblieben. Das legt nahe, dass einige besonders gravierende Probleme, die sehr viel Zeit in Anspruch nehmen, den Durchschnitt nach oben treiben, während die meisten Fehler sehr schnell behoben werden. Das wiederum liegt vermutlich an der immer weiter zunehmenden Komplexität moderner Anwendungen. In diesen langen Zeiträumen liegt auch ein Grund dafür, dass sich die Sicherheitsverschuldung über die Zeit anstaut.

Der Finanzsektor im Vergleich

Auch im Finanzbereich sind die häufigsten Fehlerquellen Informationslecks (66 Prozent) und kryptografische Probleme (61 Prozent), mit nur marginalen Verschiebungen gegenüber dem Durchschnitt aus allen Branchen (64, bzw. 62 Prozent). Etwa ein Drittel der untersuchten Finanz-Apps weist schwerwiegende Fehler auf. Damit liegt der Finanzsektor auf dem dritten Platz von sieben untersuchten Branchen. Bei der Fix-Rate schafft es die Sparte mit 76 Prozent auf den ersten Platz. Allerdings dauert die Fehlerbehebung dort vergleichsweise lange, mit 67 Tagen im Median liegen die Finanzen hier auf dem vorletzten Platz. Auch bei der Anzahl an ungefixten Fehlern pro Anwendung schneidet der Finanzsektor mit 182 relativ schlecht ab, beim Spitzenreiter Infrastructure sind es mit 97 nur etwa halb so viele.

DevSecOps hilft bei Schuldenabbau und -Vermeidung

Als Maßnahme gegen eine entstehende Sicherheitsverschuldung empfehlen sich regelmäßiges Testen und Fehlerpriorisierung. Bisher werden etwa 80 Prozent aller Anwendungen zwölf Mal pro Jahr oder seltener gescannt. Dieses Verhältnis herrscht auch im Finanzsektor vor. Unternehmen, die daran etwas ändern möchten und ihre Sicherheit durch häufigeres Testen erhöhen wollen, sollten auf DevSecOps setzen. Ähnlich wie bereits zuvor Entwicklung und Betrieb zu DevOps integriert wurden, wird nun auch noch die Anwendungssicherheit von Beginn an miteinbezogen. Ziel dessen ist, dass die Entwickler während des gesamten Entwicklungsprozesses ihre Codes auf Sicherheitslücken regelmäßig scannen. Automatisches Testen nimmt bei DevSecOps eine wichtige Rolle ein, um die Developer zu entlasten und Organisationen zu mehr Leistungsfähigkeit zu verhelfen.

Im SoSS-Report konnte auch ein eindeutiger Zusammenhang zwischen der Häufigkeit von Tests und der Zeitspanne für die Fehlerbehebung festgestellt werden. Führen Unternehmen nur zwischen ein bis zwölf Scans in einem Jahr durch (maximal ein Scan pro Monat) umfasst die Zeitspanne, um fehlerhafte Applikationen zu reparieren (mean time to resolve) durchschnittlich 68 Tage. Sobald Verantwortliche tägliche Scans durchführen (ein Minimum von 260 Scans pro Jahr) sinkt die Mean Time to Resolve auf nur noch 19 Tage. Das entspricht einer Einsparung von 72 Prozent der Zeit und hilft so, die Sicherheitsverschuldung schneller zu reduzieren.Julian Totzek-Hallhuber, Veracode