Aktuelles, Branche - geschrieben von dp am Montag, September 5, 2022 13:34 - noch keine Kommentare
Veracode-Studie: Finanzsektor im Branchenvergleich mit weniger Sicherheitslücken
Lob und doch auch Tadel – im Bereich der Anwendungssicherheit hinkt Finanzbranche dennoch mit der Behebungsrate hinterher
[datensicherheit.de, 05.09.2022] Die Ergebnisse der Veracode-Studie „State of Software Security“ (SoSS) zeigen nach eigenen Angaben, dass die Finanzbranche bei vergleichbar geringer Anzahl von Schwachstellen im Bereich der Anwendungssicherheit dennoch beim Thema Behebungsrate hinterherhinkt – 30 Prozent der Open-Source-Fehler sind demnach nach zwei Jahren noch immer nicht behoben.
Finanzbranche im Mittelfeld: 18 Prozent der Anwendungen mit weitreichender Sicherheitslücke
Die SoSS-Studie von Veracode zeige auf, „dass der Finanzsektor im Branchenvergleich bei der Anzahl der Schwachstellen mit am besten abschneidet“ – aber dennoch eine der niedrigsten Behebungsquoten für Software-Sicherheitslücken aufweise. Auch bei schwerwiegenden, ein ernsthaftes Risiko für die Anwendung darstellenden Schwachstellen liege der Sektor im Mittelfeld: 18 Prozent der Anwendungen enthielten solch eine weitreichende Sicherheitslücke. „Dies verdeutlicht, dass Finanzunternehmen sowohl der Identifizierung als auch der Behebung dieser Schwachstellen deutlich mehr Priorität einräumen sollten.“
Zu diesen Ergebnissen kommt laut Veracode die jährliche SoSS-Studie des Unternehmens, „in der 20 Millionen Scans von einer halben Million Anwendungen in den Bereichen Finanzen, Technologie, Fertigung, Einzelhandel, Gesundheitswesen und dem öffentlichen Sektor analysiert wurden“. Von den sechs untersuchten Branchen weise der Finanzsektor mit 73 Prozent den zweitniedrigsten Anteil an Anwendungen mit Sicherheitslücken auf. In der SoSS-Studie aus dem letzten Jahr weise die Branche noch die geringste Anzahl an Software-Sicherheitslücken aller Sektoren auf, „wurde aber in der diesjährigen Studie von der Fertigungsindustrie überholt“. Obwohl der Finanzdienstleistungssektor insgesamt weniger Schwachstellen aufweise, liege er bei der Behebung dieser Schwachstellen zusammen mit dem Technologiewesen und dem öffentlichen Sektor an letzter Stelle.
Anwendungen im Finanzsektor zwar mit weniger Sicherheitslücken als im letzten Jahr – aber Behebungsrate hinkt hinterher
„Einer der Vorteile unserer langjährigen Zusammenarbeit mit Software-Entwicklern ist, dass Veracode die Veränderungen in den Entwicklungspraktiken der verschiedenen Branchen im Laufe der Zeit beobachten kann. Wir haben festgestellt, dass Anwendungen im Finanzsektor zwar weniger Sicherheitslücken aufweisen als im letzten Jahr, die Branche aber bei der Behebungsrate hinter anderen Branchen zurückbleibt“, berichtet Chris Eng, „Chief Research Officer“ bei Veracode. Ihre Untersuchung habe gezeigt, dass Sicherheitstrainings die Behebungsgeschwindigkeit deutlich erhöhen könnten.
Eng führt aus: „Unternehmen, deren Entwicklungsteams ein praktisches Training mit realen Anwendungen absolviert haben, beheben Schwachstellen 35 Prozent schneller als Unternehmen ohne ein solches Training.“ Diese Studie zeige, dass die Finanzbranche ihren Fokus noch stärker auf die Prävalenz von Schwachstellen der sowie deren Behebungsraten legen müsse. Sobald Finanzdienstleister die Behebung priorisierten, machten sie schnellere Fortschritte als die meisten anderen untersuchten Sektoren.
Finanzbranche reagiert relativ schnell auf anfällige Third-party-Bibliotheken
„Die Vorschriften für Sicherheitskontrollen, wie z.B. die Datenschutz-Grundverordnung, haben die Bedeutung der Sicherung der Software-Lieferkette hervorgehoben“, betont Eng. Der Umstand, dass es sich um einen stark regulierten Sektor handele, „könnte eine Erklärung dafür sein, dass die Finanzbranche relativ schnell auf anfällige Third-party-Bibliotheken reagiert, die durch Software Composition Analysis (SCA) entdeckt wurden“.
Schwachstellen in Third-party-Bibliotheken, durch SCA entdeckt, seien in allen Branchen tendenziell länger offen gewesen. 30 Prozent dieser Schwachstellen seien nach zwei Jahren noch nicht behoben worden. „Wenn es um die Behebung von Open-Source-Schwachstellen geht, beseitigt der Finanzsektor seine Schwachstellen im ersten Jahr mit der gleichen Geschwindigkeit wie die anderen untersuchten Branchen.“ Danach habe sich die Behebungsgeschwindigkeit gegenüber dem branchenübergreifenden Durchschnitt um rund einem Monat verbessert.
Auch noch deutliches Verbesserungspotenzial beim Finanzsektor
Obwohl der Finanzsektor die meisten anderen Branchen bei den Behebungszeiten für durch dynamische, SCA- und statische Analysen entdeckte Schwachstellen übertreffe, habe die Studie ergeben, „dass noch deutliches Verbesserungspotenzial besteht, wenn man die Anzahl der Tage betrachtet, die für die Behebung von 50 Prozent der Schwachstellen benötigt werden“: 116 Tage für die durch DAST, 385 Tage für die durch SCA und 288 Tage für die durch SAST entdeckte Schwachstellen seien immer noch zu lange Zeiträume.
Open-Source-Komponenten machten im Durchschnitt bis zu 90 Prozent der Code-Basis einer Anwendung aus. Es werde daher empfohlen, Applikationen und Code-Änderungen so früh und so häufig wie möglich unter Verwendung von verschiedenen Testmethoden zu scannen, um ungeplante Arbeit bei der Behebung von kritischen Schwachstellen vorzubeugen. Das helfe auch dabei, das Risiko der Einführung von neuen kritischen Open-source-Sicherheitslücken zu minimieren.
Weitere Informationen zum Thema:
VERACODE
The State of Software Security / Industry Snapshot: Financial Services
VERACODE
Veracode: SoSS Financial Sector
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren