Veracode-Studie: Finanzsektor im Branchenvergleich mit weniger Sicherheitslücken

Lob und doch auch Tadel – im Bereich der Anwendungssicherheit hinkt Finanzbranche dennoch mit der Behebungsrate hinterher

[datensicherheit.de, 05.09.2022] Die Ergebnisse der Veracode-Studie „State of Software Security“ (SoSS) zeigen nach eigenen Angaben, dass die Finanzbranche bei vergleichbar geringer Anzahl von Schwachstellen im Bereich der Anwendungssicherheit dennoch beim Thema Behebungsrate hinterherhinkt – 30 Prozent der Open-Source-Fehler sind demnach nach zwei Jahren noch immer nicht behoben.

Finanzbranche im Mittelfeld: 18 Prozent der Anwendungen mit weitreichender Sicherheitslücke

Die SoSS-Studie von Veracode zeige auf, „dass der Finanzsektor im Branchenvergleich bei der Anzahl der Schwachstellen mit am besten abschneidet“ – aber dennoch eine der niedrigsten Behebungsquoten für Software-Sicherheitslücken aufweise. Auch bei schwerwiegenden, ein ernsthaftes Risiko für die Anwendung darstellenden Schwachstellen liege der Sektor im Mittelfeld: 18 Prozent der Anwendungen enthielten solch eine weitreichende Sicherheitslücke. „Dies verdeutlicht, dass Finanzunternehmen sowohl der Identifizierung als auch der Behebung dieser Schwachstellen deutlich mehr Priorität einräumen sollten.“

Zu diesen Ergebnissen kommt laut Veracode die jährliche SoSS-Studie des Unternehmens, „in der 20 Millionen Scans von einer halben Million Anwendungen in den Bereichen Finanzen, Technologie, Fertigung, Einzelhandel, Gesundheitswesen und dem öffentlichen Sektor analysiert wurden“. Von den sechs untersuchten Branchen weise der Finanzsektor mit 73 Prozent den zweitniedrigsten Anteil an Anwendungen mit Sicherheitslücken auf. In der SoSS-Studie aus dem letzten Jahr weise die Branche noch die geringste Anzahl an Software-Sicherheitslücken aller Sektoren auf, „wurde aber in der diesjährigen Studie von der Fertigungsindustrie überholt“. Obwohl der Finanzdienstleistungssektor insgesamt weniger Schwachstellen aufweise, liege er bei der Behebung dieser Schwachstellen zusammen mit dem Technologiewesen und dem öffentlichen Sektor an letzter Stelle.

Anwendungen im Finanzsektor zwar mit weniger Sicherheitslücken als im letzten Jahr – aber Behebungsrate hinkt hinterher

„Einer der Vorteile unserer langjährigen Zusammenarbeit mit Software-Entwicklern ist, dass Veracode die Veränderungen in den Entwicklungspraktiken der verschiedenen Branchen im Laufe der Zeit beobachten kann. Wir haben festgestellt, dass Anwendungen im Finanzsektor zwar weniger Sicherheitslücken aufweisen als im letzten Jahr, die Branche aber bei der Behebungsrate hinter anderen Branchen zurückbleibt“, berichtet Chris Eng, „Chief Research Officer“ bei Veracode. Ihre Untersuchung habe gezeigt, dass Sicherheitstrainings die Behebungsgeschwindigkeit deutlich erhöhen könnten.

Eng führt aus: „Unternehmen, deren Entwicklungsteams ein praktisches Training mit realen Anwendungen absolviert haben, beheben Schwachstellen 35 Prozent schneller als Unternehmen ohne ein solches Training.“ Diese Studie zeige, dass die Finanzbranche ihren Fokus noch stärker auf die Prävalenz von Schwachstellen der sowie deren Behebungsraten legen müsse. Sobald Finanzdienstleister die Behebung priorisierten, machten sie schnellere Fortschritte als die meisten anderen untersuchten Sektoren.

Finanzbranche reagiert relativ schnell auf anfällige Third-party-Bibliotheken

„Die Vorschriften für Sicherheitskontrollen, wie z.B. die Datenschutz-Grundverordnung, haben die Bedeutung der Sicherung der Software-Lieferkette hervorgehoben“, betont Eng. Der Umstand, dass es sich um einen stark regulierten Sektor handele, „könnte eine Erklärung dafür sein, dass die Finanzbranche relativ schnell auf anfällige Third-party-Bibliotheken reagiert, die durch Software Composition Analysis (SCA) entdeckt wurden“.

Schwachstellen in Third-party-Bibliotheken, durch SCA entdeckt, seien in allen Branchen tendenziell länger offen gewesen. 30 Prozent dieser Schwachstellen seien nach zwei Jahren noch nicht behoben worden. „Wenn es um die Behebung von Open-Source-Schwachstellen geht, beseitigt der Finanzsektor seine Schwachstellen im ersten Jahr mit der gleichen Geschwindigkeit wie die anderen untersuchten Branchen.“ Danach habe sich die Behebungsgeschwindigkeit gegenüber dem branchenübergreifenden Durchschnitt um rund einem Monat verbessert.

Auch noch deutliches Verbesserungspotenzial beim Finanzsektor

Obwohl der Finanzsektor die meisten anderen Branchen bei den Behebungszeiten für durch dynamische, SCA- und statische Analysen entdeckte Schwachstellen übertreffe, habe die Studie ergeben, „dass noch deutliches Verbesserungspotenzial besteht, wenn man die Anzahl der Tage betrachtet, die für die Behebung von 50 Prozent der Schwachstellen benötigt werden“: 116 Tage für die durch DAST, 385 Tage für die durch SCA und 288 Tage für die durch SAST entdeckte Schwachstellen seien immer noch zu lange Zeiträume.

Open-Source-Komponenten machten im Durchschnitt bis zu 90 Prozent der Code-Basis einer Anwendung aus. Es werde daher empfohlen, Applikationen und Code-Änderungen so früh und so häufig wie möglich unter Verwendung von verschiedenen Testmethoden zu scannen, um ungeplante Arbeit bei der Behebung von kritischen Schwachstellen vorzubeugen. Das helfe auch dabei, das Risiko der Einführung von neuen kritischen Open-source-Sicherheitslücken zu minimieren.

Weitere Informationen zum Thema:

VERACODE
State of Software Security v12 / Benchmark Your AppSec Progress Against Your Peers With Our Annual State of Software Security Report

VERACODE
The State of Software Security / Industry Snapshot: Financial Services

VERACODE
Veracode: SoSS Financial Sector