Categories: Studie

Studie: Öffentliche Hand hinkt in der Software-Sicherheit hinterher

Die höhere Anzahl von Fehlern und Schwachstellen in Anwendungen korreliert mit einem erhöhten Sicherheitsrisiko. Die Studie wurde vor dem Hintergrund einer Reihe von weltweiten Regierungs-Initiativen zur Verbesserung der Cybersicherheit durchgeführt, wie beispielsweise dem EU Cyber Resilience Act.

Die Forschenden fanden heraus, dass rund 82 Prozent der von Organisationen des öffentlichen Sektors entwickelten Anwendungen mindestens eine Sicherheitslücke aufwiesen. Im Vergleich dazu waren es bei Privatunternehmen 74 Prozent. Die Daten für die Studie wurden innerhalb der letzten 12 Monate erhoben. Je nach Art der festgestellten Schwachstelle war die Wahrscheinlichkeit, dass in den letzten 12 Monaten eine Sicherheitslücke in Anwendungen des öffentlichen Sektors eingebaut wurde, um 7 – 12 Prozent höher.

Schwerwiegende Schwachstellen

Die Analyse der Daten von mehr als 27 Millionen Scans in 750.000 Anwendungen bildete die Basis des neuesten Jahresberichts von Veracode. Wenn es um Schwachstellen mit „hohen Schweregrad“ geht, haben öffentliche Sektoren die Oberhand. Im 12-Monats-Zeitraum der Studie war der Prozentsatz der Anwendungen mit schwerwiegenden Sicherheitslücken im öffentlichen Sektor (16,5%) geringer als bei Privatunternehmen (19%). Schwachstellen mit höherem Schweregrad besitzen ein höheres Potenzial, das gesamte System zu beeinflussen, wenn sie ausgenutzt werden.

Moderne Tests von Applikationen fördern den Einsatz von Sicherheitsscanning-Tools, wie statische Anwendungssicherheitstests (SAST) und Softwarekompositionsanalysen (SCA). Verschiedene Scantypen können unterschiedliche Arten von Schwachstellen aufdecken. SAST und SCA fanden bei Anwendungen im öffentlichen Sektor zu einem geringeren Prozentsatz Mängel als bei Applikationen von Privatunternehmen.

Verwendung von Software-Bills of Material

Die Feststellung von weniger Mängeln bei Public Sektor Software bei der Verwendung von SCA-Tools könnte ein Zeichen für die ersten Auswirkungen der Executive Order (EO 14028) vom Mai 2021 sein. Sie weist US-Bundesbehörden an, ihre Bemühungen zum Schutz der Software-Lieferkette zu verstärken. Dabei wird auch die verstärkte Verwendung von Software-Bills of Material (SBOMs) gefordert, in denen die Bestandteile von Software aufgelistet sind, um so den Informationsaustausch, die Transparenz und die Sichtbarkeit zu fördern.

An anderer Stelle standardisiert das Federal Risk and Authorization Management Program (FedRAMP) die Sicherheitsbewertung von Cloud-Produkten und -Diensten. Das StateRAMP-Programm ermöglicht es staatlichen und lokalen Behörden, die Einhaltung von Cybersicherheitsrichtlinien durch Cloud-Service-Anbieter zu überprüfen. Auch wenn es für sie nicht vorgeschrieben ist, haben dennoch viele europäische Unternehmen dieses Konzept bereits übernommen und fordern SBOMS von ihren Softwareanbietern.

Roger Homrich

Recent Posts

SIEM, SOAR und die Macht der Künstlichen Intelligenz

Wie interagieren die Kernkomponenten eines Security Operation Centers? Und welchen Einfluss hat KI auf die…

2 Stunden ago

DSGVO und generative KI: Passt das zusammen?

Mit den Vorteilen generativer KI gehen ernsthafte Herausforderungen einher, insbesondere in Bezug auf Datenschutz und…

3 Stunden ago

KI in der Versicherungsbranche: Deloitte erwartet höhere Skalierung

Mehr als zwei Drittel der Unternehmen planen derzeit Investitionen in die KI-Weiterbildung ihrer Mitarbeitenden.

18 Stunden ago

Bitkom: Digitalbranche wächst um 4,6 Prozent

Vor allem das Geschäft mit Software soll stark zulegen. Allein für den KI-Bereich erwartet der…

23 Stunden ago

Sind software-definierte Fahrzeuge bald die Regel?

Einer IBM-Studie zufolge gehen 74 Prozent der Führungskräfte in der Autoindustrie davon aus, dass das…

1 Tag ago

Prior1: Rechenzentren stehen an einem Wendepunkt

Rechenzentrum-Trends 2025: KI-Power, grüne Energie und modulare Flexibilität.

1 Tag ago