Status Quo der Anwendungssicherheit im Finanzsektor

Sensible Daten sind der Kernbestandteil der Finanzbranche. Eine aktuelle Studie zeigt nun: 74 Prozent der Anwendungen aus der Branche weisen mindestens eine Sicherheitslücke auf. Der elfte State of Software Security (SoSS) Report von Veracode gibt einen Überblick über den aktuellen Stand der Anwendungssicherheit und enthüllt dabei spezifische Erkenntnisse über den Finanzsektor. Julian Totzek-Hallhuber, Principal Solution Architect des Unternehmens, stellt die Schlüsselergebnisse vor und leitet daraus Best Practices für Entwickler und Entscheider ab.

von Julian Totzek, Hallhuber Veracode

Status Quo: Die Finanzbranche und ihre Baustellen

Die Ergebnisse zeigen, dass in der Finanzbranche 74 Prozent der Anwendungen mindestens eine Sicherheitslücke aufweisen. Dabei handelt es sich um die Branche mit der geringsten Anzahl an Anwendungen mit identifizierten Sicherheitslücken, gefolgt vom Gesundheitssektor mit 75 Prozent und dem Einzelhandel/Gastgewerbe sowie der Produktion mit jeweils 76 Prozent.”

Bei der Menge der Anwendungen, die ein hohes Sicherheitsrisiko darstellen, belegt die Finanzbranche den zweiten Platz. 22 Prozent der gescannten Anwendungen wiesen Sicherheitslücken mit hohem Risiko auf, lediglich in der Produktionsbranche fand man weniger (21 Prozent). Die Fehlerbehebungsrate ist mit 75 Prozent die beste von allen untersuchten Branchen, gefolgt vom Einzelhandel/Gastgewerbe (74 Prozent) und der Technologie-Branche (72 Prozent). Im Gegensatz dazu ist die Dauer, bis die Hälfte der Sicherheitslücken behoben werden, in der Finanzbranche mit 198 Tagen relativ hoch. Im Vergleich dauert es in Einzelhandel/Gastgewerbe 125, im Gesundheitswesen 149 und in der Technologiebranche 154 Tage im Durchschnitt, bis die Hälfte der Sicherheitslücken behoben werden. Die Finanzbranche scheint zwar wenig Sicherheitslücken zu erzeugen, braucht dafür aber länger, um die anfallenden Risiken zu beheben.

Sicherheitslücke ist nicht gleich Sicherheitslücke

Die identifizierten Sicherheitslücken wurden in unterschiedliche Kategorien eingeteilt. Im Durchschnitt sind alle identifizierten Kategorien weniger häufig in der Finanzbranche zu finden als in den anderen Branchen. Mit 57 Prozent sind die häufigste Art der Fehler Datenlecks, gefolgt von mangelnder Qualität des Codes (53 Prozent). Mit 49 Prozent Häufigkeit sind CRLF-Injections die dritthäufigste Sicherheitslücken-Kategorie. Verschlüsselungsprobleme haben eine Häufigkeit von 43 Prozent. Schwachstellen im Bereich Directory Traversal haben eine Häufigkeit von 29 Prozent, Fehler bei der Encapsulation eine Häufigkeit von 15 Prozent und Sicherheitslücken im Bereich Zeit und Status eine Häufigkeit von 10 Prozent. Vor allem kryptografische Probleme sind in der Finanzbranche im Vergleich zu den anderen untersuchten Sektoren seltener. Darunter fallen beispielsweise Schwierigkeiten bei der Input-Validation, die im Finanzsektor eine Häufigkeit von 31 Prozent aufweisen, wobei der industrieübergreifende Durchschnitt hingegen bei 48 Prozent liegt. Cross-Site-Scripting hat in der Finanzbranche eine Häufigkeit von 24 Prozent – auch dieser Wert liegt im Gesamtdurchschnitt deutlich höher, und zwar bei 47 Prozent.

Das Entwicklungsumfeld in der Finanzbranche

Die Ergebnisse des Reports zeigen neben Sicherheitslücken auch auf, welche Praktiken von Entwicklern zu einer erhöhten Anwendungssicherheit führen.

Im zehnten Report konnte dabei aufgedeckt werden, dass der Abbau von Sicherheitsverschuldung, die Behebung des Rückstands bekannter Fehler, das Risiko von Angriffen senkt. Sicherheitsteams, die ihre Anwendungen regelmäßig scannen, häufen fünfmal weniger Sicherheitsverschuldung an, als Teams, die weniger scannen.”

Die Ergebnisse des aktuellen Reports decken außerdem auf, dass Unternehmen, die einen DevSecOps-Ansatz verfolgen, eine stärkere Anwendungssicherheit aufweisen. Betrachtet man das Verhalten der Entwickler im Finanzbereich, zeichnet sich ab, dass sowohl bei den gegebenen Eigenschaften der Entwicklungsumgebung („Nature“) als auch bei den beeinflussbaren Faktoren bei der Entwicklung („Nurture“) noch Verbesserungspotenzial besteht.

Autor Julian Totzek-Hallhuber, Veracode

 Julian Totzek-Hallhuber ist Solution Architect bei Veracode. Als Spezialist für Anwendungssicherheit mit mehr als 15 Jahren Erfahrung im IT-Sicherheitsumfeld verfügt er über Expertise in den Bereichen Anwendungsentwicklung, Penetrationstests sowie Sicherheit von Webanwendungen. Zudem ist er Autor zahlreicher Artikel, regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org mitgewirkt.

Die Entwicklungsumgebung im Finanzsektor stellt aus zwei Gründen eine große Herausforderung dar. Der aktuelle Report legt offen, dass die Anwendungen im Vergleich zu den anderen Branchen am ältesten sind und die betreffenden Unternehmen durchschnittlich sehr groß. Diese Kombination stellt Entwickler vor einige Herausforderungen. Auch die Anwendungen selbst weisen Probleme auf: Während sie eher kleiner sind als in anderen Branchen, sind die Sicherheitslücken in den Anwendungen zerstreut. Die Scan-Frequenz und das integrierte Testen der IT-Security liegt im Mittelfeld der verglichenen Branchen. Dabei greifen die Entwickler eher selten auf dynamische Analyse (DAST) zurück, nutzen aber im Vergleich zu anderen Industrien die Software Composition Analysis (SCA) am effektivsten. Entwickler sehen sich in der Finanzbranche also mit einem anspruchsvollen Umfeld konfrontiert, hinken beim Thema DevSecOps allerdings im Vergleich zu anderen Branchen hinterher.

Best Practices: Mit DevSecOps „Nurture“ vorantreiben

Entwickler benötigen ein Umfeld, das nach ihren Ansprüchen formbar ist, um ein bestmögliches Anwendungssicherheitsprogramm zu ermöglichen. Im Finanzbereich ist dies nur bedingt der Fall, da es sich dort oft um alte Anwendungen in großen Unternehmen handelt. So entstehen Sicherheitslücken mit einer enormen Bearbeitungsdauer. Das schnelle Beheben der Schwachstellen ist allerdings elementar für die Sicherheit von sensiblen Daten.

Um das suboptimale „Nature“-Umfeld zu kompensieren, müssen IT-Teams aus der Finanzbranche also stärker in ihre beeinflussbaren „Nurture“-Prozesse investieren.”

Konkret bedeutet das im ersten Schritt, die Anwendungen regelmäßiger zu scannen. Darüber hinaus lohnt es sich, unterschiedliche Anwendungssicherheits-Scan-Typen einzusetzen, um einen umfassenden Überblick über die jeweiligen Anwendungen zu erhalten. Auch sollten sich Entwickler auf die Behebung von Fehlern in kleineren und neueren Anwendungen fokussieren und Sicherheitstests in die Pipeline über eine API einbetten, um die Sicherheitsverschuldung minimal zu halten. So zeigen die Ergebnisse des SoSS Reports, dass Unternehmen, die das Security Testing im SDLC automatisieren, die Hälfte der Schwachstellen 17,5 Tage schneller adressieren können als jene, die weniger automatisiert testen. Der Report zeigt deutlich: „Nurture“-Prozesse, die einem DevSecOps-Ansatz folgen, können viele der ungünstigen Voraussetzungen auf Seiten der „Nature“ überwinden. Julian Totzek-Hallhuber, Veracode

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/115875

• teilen 
• teilen 
• teilen 
• teilen 
• teilen 
• RSS-feed 
• E-Mail 
• drucken