Studie: Primär alte IT-Schwachstellen führen zu höherer Sicherheitsverschuldung

Inhaltsverzeichnis

Veracode, Anbieter von Werkzeugen für die Anwendungssicherheit, hat die zehnte Auflage des "State of Software Security (SoSS) Report" veröffentlicht. Eine wichtige Erkenntnis des Berichts ist, dass zwar mehr als die Hälfte aller neuen Schwachstellen (56 %) behoben, aber dadurch zugleich alte Schwachstellen vernachlässigt würden. Somit komme es letztlich zu einer insgesamt höheren "Sicherheitsverschuldung" bei Unternehmen.

Die Analyse von mehr als 85.000 Anwendungen in mehr als 2300 Unternehmen weltweit ergab nun offenbar, dass die Behebung von Schwachstellen genauso Teil des Entwicklungsprozesses geworden ist wie die Verbesserung der Funktionen. Dies deute darauf hin, dass Entwickler ihre Einstellung ändern und die Sicherheit ihrer Codes zunehmend als gleichwertig mit anderen Wertmetriken betrachten würden.

Jedoch haben wohl 83 Prozent der untersuchten Anwendungen mindestens einen Fehler im ersten Scan, wobei Informationslecks (64 %), Kryptografiefehler (62 %) und CRLF-Injektion (61 %) anscheinend die häufigsten sind. Die ersten beiden waren wohl schon die beiden häufigsten Fehler vor zehn Jahren bei der ersten Auflage des SoSS-Reports.

Nicht alles ist schlecht, wenn nicht die Altlasten wären

Trotz der anhaltenden Verbreitung von Schwachstellen machen die Entwicklerteams jedoch offenbar Fortschritte, um Schritt zu halten: So reduzieren 70 Prozent entweder die Anzahl der Fehler nach dem ersten Scan oder führen bis zum letzten Scan keine weiteren Fehler ein. Auch die Erfolgsquote beim Einhalten der Empfehlungen auf Basis der OWASP Top 10 ist im Vergleich zu den letzten drei Jahren wohl gestiegen. Im ersten Scan dieses Jahres lag sie bei 32 Prozent. Das deutet für die Betreiber der Studie darauf hin, dass ein vermutliches Mehr an Sicherheitsschulungen für Entwickler zur Reduzierung von Schwachstellen beiträgt.

Laut den Autoren des Reports sinken die Chancen der Fehlerbehebung aber, umso länger die Schwachstellen vorhanden sind. Das wiederum erhöhe die Sicherheitsschulden eines Unternehmens – gemeint sind die sich über die Zeit ansammelnden Fehler in der Software. Etwa die Hälfte der Anwendungen baue im Laufe der Zeit ebendiese Schulden auf, ein Viertel baue sie ab und ein weiteres Viertel bleibe ausgeglichen, so die Experten.

Sicherheitsscans als elementares Mittel

Unternehmen müssen sich jedoch nicht nur mit neuen Sicherheitsscans auseinandersetzen, sondern auch mit den Ergebnissen älterer Scans. Die Daten zeigen anscheinend auf, dass die Häufigkeit des Scannens einer Anwendung einen direkten Einfluss auf die gesamte Sicherheitsverschuldung hat. Die oberen ein Prozent der Anwendungen mit der höchsten Scanfrequenz tragen etwa fünfmal weniger Sicherheitsschulden als das untere Drittel.

Sobald sich die Einstellung rund um die Reduzierung der Sicherheitsverschuldung geändert habe, führten Unternehmen auch häufiger Sicherheitstests durch. Anwendungen, die weniger als einmal im Monat gescannt würden, benötigten offenbar einen mittleren Zeitwert von 68 Tagen für die Behebung. Entwicklungsteams, die täglich scannen, weisen wohl einen Wert von nur 19 Tagen auf und tragen somit im Laufe der Zeit zu einer geringeren Sicherheitsverschuldung bei. Geholfen sei Unternehmen, indem sie Sicherheits-Checklisten für Entwickler für alle neuen Funktionen erstellen und Code nach jedem Build scannen.

Der Report zeigt außerdem, dass 30 Prozent der Anwendungen eine erhöhte Anzahl von Fehlern in ihrem letzten Scan aufweisen, was wiederum auf eine Steigerung der Sicherheitsschulden hindeute. Das bedeutet nicht unbedingt, dass diese Entwicklerteams bei der Fehlerbehebung schlechte Arbeit leisten – die Schwachstellen könnten auch auf schnelles Wachstum und Veränderungen hindeuten. Laut den Studienautoren sollte es Unternehmen zumindest dazu anregen, sich dem positiven Einfluss von AppSec-Tests in DevOps-Umgebungen bewusst zu werden, gerade im Hinblick auf die Sicherheitsverschuldung.

Regionale Unterschiede

Die Ergebnisse des Reports deuten auf regionale Unterschiede in mehreren Maßnahmen der Softwaresicherheitstests hin. So hätten die Unternehmen der EMEA-Region die geringsten schwerwiegenden Schwachstellen (32 %), gefolgt von Amerika (37 %) und der Asien-Pazifik-Region (40 %). Amerika und EMEA behoben offenbar ungefähr gleich viele ihrer Fehler (73 bzw. 72 %), während die APAC-Region etwas mehr als die Hälfte (55 %) bearbeiten konnte.

In der Vergangenheit waren die Unterschiede zwischen den Regionen Amerika und EMEA anscheinend deutlich größer. Die vergleichbaren Fixraten der beiden Regionen weisen laut dem SoSS-Report darauf hin, dass Unternehmen im EMEA-Raum ihre AppSec-Programme weiterentwickelt hätten, um mit amerikanischen Unternehmen konkurrieren zu können. In Bezug auf die durchschnittliche Zeit der Fehlerbehebung sind die Ergebnisse allerdings sehr unterschiedlich. Die APAC-Region liege mit 42 Tagen weit vorne, gefolgt von Amerika mit 56 Tagen, während Unternehmen in der EMEA-Region mit durchschnittlich 147 Tagen wesentlich mehr Zeit bräuchten, Schwachstellen zu beheben.

Betrachtet man die Sicherheitsschulden pro Anwendung, so liegen Unternehmen in Nord- und Südamerika an der Spitze: Sie verzeichnen nur 156 Fehler pro Anwendung. Die Anwendungen von EMEA-Unternehmen weisen 210 Fehler auf, und in der APAC-Region sind es ganze 732. Während man im EMEA-Raum im Allgemeinen länger brauche, um Fehler zu beheben, gelingt es ihnen derzeit offenbar dennoch, die Verschuldung unter Kontrolle zu halten. Das ist den Studienautoren zufolge auf den niedrigeren Schwachstellenausgangswert zurückzuführen und zeige gleichzeitig auf, dass Schwachstellen tendenziell eher über einen längeren Zeitraum hinweg behoben würden, anstatt direkt nach der Entdeckung. (ane)