Der Finanzsektor weist vergleichsweise wenig Sicherheitslücken auf, behebt diese aber zu selten

Die Ergebnisse der State of Software Security (SoSS)-Studie von Veracode zeigen, dass die Finanzbranche bei vergleichbar geringer Anzahl von Schwachstellen im Bereich der Anwendungssicherheit dennoch beim Thema Behebungsrate hinterherhinkt – 30 % der Open-Source-Fehler sind nach zwei Jahren noch immer nicht behoben.

Die SoSS-Studie von Veracode, einem weltweit führenden Anbieter von Application Security Testing (AST) Lösungen, zeigt auf, dass der Finanzsektor im Branchenvergleich bei der Anzahl der Schwachstellen mit am besten abschneidet, aber dennoch eine der niedrigsten Behebungsquoten für Software-Sicherheitslücken aufweist. Auch bei schwerwiegenden Schwachstellen, die ein ernsthaftes Risiko für die Anwendung darstellen, liegt der Sektor im Mittelfeld: 18 % der Anwendungen enthalten solch eine weitreichende Sicherheitslücke. Dies verdeutlicht, dass Finanzunternehmen sowohl der Identifizierung als auch der Behebung dieser Schwachstellen deutlich mehr Priorität einräumen sollten.

Von den sechs untersuchten Branchen weist der Finanzsektor mit 73 % den zweitniedrigsten Anteil an Anwendungen mit Sicherheitslücken auf. In der SoSS-Studie aus dem letzten Jahr wies die Branche noch die geringste Anzahl an Software-Sicherheitslücken aller Sektoren auf, wurde aber in der diesjährigen Studie von der Fertigungsindustrie überholt. Obwohl der Finanzdienstleistungssektor insgesamt weniger Schwachstellen aufweist, liegt er bei der Behebung dieser Schwachstellen zusammen mit dem Technologiewesen und dem öffentlichen Sektor an letzter Stelle.

Wir haben festgestellt, dass Anwendungen im Finanzsektor zwar weniger Sicherheitslücken aufweisen als im letzten Jahr, die Branche aber bei der Behebungsrate hinter anderen Branchen zurückbleibt. Sicherheitstrainings können die Behebungsgeschwindigkeit deutlich erhöhen. Unternehmen, deren Entwicklungsteams ein praktisches Training mit realen Anwendungen absolviert haben, beheben Schwachstellen 35 % schneller als Unternehmen ohne ein solches Training.“

Chris Eng, CRO bei Veracode

Absicherung der globalen Software-Lieferkette

Die Studie zeige, dass die Finanzbranche ihren Fokus noch stärker auf die Prävalenz von Schwachstellen sowie deren Behebungsraten legen muss. Sobald Finanzdienstleister die Behebung priorisieren, machen sie schnellere Fortschritte als die meisten anderen untersuchten Sektoren.

Schwachstellen in Third party-Bibliotheken, die durch SCA entdeckt wurden, bleiben in allen Branchen tendenziell länger offen. 30 % dieser Schwachstellen sind nach zwei Jahren noch nicht behoben. Wenn es um die Behebung von Open-Source-Schwachstellen geht, beseitigt der Finanzsektor seine Schwachstellen im ersten Jahr mit der gleichen Geschwindigkeit wie die anderen untersuchten Branchen. Danach verbessert sich die Behebungsgeschwindigkeit gegenüber dem branchenübergreifenden Durchschnitt um rund einem Monat.

Obwohl der Finanzsektor die meisten anderen Branchen bei den Behebungszeiten für Schwachstellen, die durch dynamische, SCA- und statische Analysen entdeckt wurden, übertrifft, ergab die Studie, dass noch deutliches Verbesserungspotenzial besteht, wenn man die Anzahl der Tage betrachtet, die für die Behebung von 50 % der Schwachstellen benötigt werden: 116 Tage für die durch DAST, 385 Tage für die durch SCA und 288 Tage für die durch SAST entdeckte Schwachstellen sind immer noch zu lange Zeiträume.

Open-Source-Komponenten machen im Durchschnitt bis zu 90 % der Codebasis einer Anwendung aus. Es wird daher empfohlen, Applikationen und Code-Änderungen so früh und so häufig wie möglich unter Verwendung von verschiedenen Testmethoden zu scannen, um ungeplante Arbeit bei der Behebung von kritischen Schwachstellen vorzubeugen. Das hilft auch dabei, das Risiko der Einführung von neuen kritischen Open-Source-Sicherheitslücken zu minimieren.

Die Studie können Sie nach Angabe der Kontaktdaten hier herunterladen.ft