Unsicherer Code ist die Regel, nicht die Ausnahme
Laut einer Studie bringen über drei Viertel der befragten Unternehmen Code mit Sicherheitslücken in die Produktion – und zwar wissentlich.
(Bild: The Enterprise Strategy Group)
- Dr. Oliver Diedrich
Im Auftrag von Synopsys, einem Spezialisten für Embedded-Entwicklung, haben die Marktforscher der Enterprise Strategy Group 378 Sicherheits- und IT-Spezialisten zum Thema DevSecOps und Sicherheit bei der Softwareentwicklung befragt. Die Teilnehmer waren in ihrem Unternehmen für die Sicherheit der Softwareentwicklung mitverantwortlich. Die Studie konzentrierte sich auf mittlere und große Unternehmen in den USA und Kanada aus allen Branchen.
Die Ergebnisse sind einigermaßen erschreckend. Zwar stellen die Befragten ihren Maßnahmen zur Sicherstellung der Sicherheit selbst entwickelter Anwendungen mit im Schnitt 7,9 von 10 Punkten ein recht positives Urteil aus und nutzen eine Vielzahl von Werkzeugen für Codetests. Trotzdem werden lediglich bei einem Drittel der Unternehmen mehr als 75% der Codebasis mit entsprechenden Werkzeugen aus Sicherheit getestet.
Unsicherer Code ist die Regel
Schlimmer noch: Die meisten Befragten erklärten, dass bei ihnen regelmäßig (48%) oder gelegentlich (31%) Code mit Sicherheitslücken in die Produktion geht. Die Gründe dafür dürften Entwicklern nur allzu bekannt vorkommen: Wenn eine Deadline droht, wird das Fixen der Lücken halt auf die nächste Version verschoben (54%). Bei 45% der Befragten wurden Sicherheitslücken zu spät entdeckt, um sie noch rechtzeitig zu fixen. Und knapp die Hälfte hat schon Sicherheitslücken durchgewunken, der Risiko als ausreichend gering eingeschätzt wurde.
Dabei berichten 60% der Befragten, dass in den letzten 12 Monaten in ihren produktiv genutzten Anwendungen eine der OWASP-Top-10-Sicherheitslücken ausgenutzt wurde – wobei es sich nicht unbedingt um Sicherheitslücken handelte, von deren Existenz man wusste.
Warum es nicht funktioniert
Die ESG-Studie fördert eine Reihe von Gründen zutage, warum trotz der Verfügbarkeit von Testtools unsichere Software entsteht. So kann es den Entwicklern am nötigen Know-how fehlen, gefundene Fehler zu fixen (29%). Oder die Tools zur Sicherheitsprüfung werden nicht genutzt (24%), beispielsweise weil die Scans zu lange dauern (18%) oder sie nicht gut in die Entwicklungs-Toolchain integriert sind (23%). Auch zu viele false positives (15%) oder zu geringe Zuverlässigkeit (14%) können ein Problem sein.
Zudem konstatieren die Marktforscher einen Mangel an Trainings in sicherer Softwareentwicklung: Bei einem Drittel der befragten Unternehmen erhalten weniger als die Hälfte aller Entwickler reguläre Schulungen. Und selbst, wenn die meisten Entwickler geschult werden, finden die Trainings selten häufiger als einmal im Jahr statt.
Auch bei den verwendeten Tools sieht ESG Nachbesserungsbedarf: Zwei Drittel der Unternehmen haben mehr als 10 verschiedene Werkzeuge für Codetests im Einsatz. Viele Unternehmen empfinden das als Problem – womit sie recht haben dürften: Laut dem Cyber Resilience Report 2020 von IBM führen mehr Sicherheitstools eher zu weniger Sicherheit.
Weiterbildungsangebote zu sicherer Softwareentwicklung:
- heise devSec, Onlinekonferenz für sichere Software- und Webentwicklung, 21. und 22.10.
- OWASP Top 10: Kritische Sicherheitsrisiken für Webanwendungen vermeiden, iX-Online-Workshop, 12. und 13.8.
(odi)
