Sichere Software: Gefahr durch Open-Source- und Drittanbieter-Komponenten
Der Einsatz von Komponenten in der Anwendungsentwicklung birgt Risiken. Laut des State of Software Security Report von CA Veracode sind beispielsweise 88 Prozent aller Java-Anwendungen anfällig für Angriffe.
Viele Unternehmen greifen bei der Entwicklung eigener Anwendungen regelmäßig auf verfügbare Komponenten von Drittanbietern oder auch Open-Source-Code zurück. Dabei legt eine Mehrheit offenbar aber nur unzureichend Wert auf die Sicherheit ihrer Anwendungen. Bekannt gewordene Exploits werden gar nicht oder nur mit zu großer Verzögerung beseitigt, wie die aktuelle Ausgabe des State of Software Security Report von CA Veracode zeigt. Der auf Application Security spezialisierte Anbieter untersucht für die Studie alljährlich bis zu 1400 seiner Kunden, um den aktuellen Status der Anwendungssicherheit in den Unternehmen erheben zu können.
(Bild: CA Veracode)
Nicht mal ein Drittel (28 Prozent) der Unternehmen führt demnach regelmäßige Analysen, der in ihren Anwendungen verwendeten Open-Source- und Drittanbieter-Komponenten, durch. Vor diesem Hintergrund verwundert es nicht, dass bei einem ersten Scan der Anwendungen in 77 Prozent aller Fälle mindestens eine Schwachstelle gefunden wurde. Bei den Java-Anwendungen sind sogar sieben von acht anfällig für Angriffe, da sie mindestens eine verwundbare Komponente enthalten.
Gerade Java-Applikationen sind aufgrund ihrer weiten Verbreitung ein beliebtes Angriffsziel für Cyber-Kriminelle. Zuletzt gerieten beispielsweise Schwachstellen in der Apache-Struts-2-Bibliothek immer wieder in den Fokus. Nach einer Angriffswelle im März dieses Jahres, bei der eine Lücke zur Remote Code Execution (RCE) ausgenutzt werden konnte, ergab eine Analyse von CA Veracode, dass bis zu 70 Prozent der betroffenen Anwendungen über mehrere Wochen weiterhin die angreifbare Variante der Bibliothek verwendeten.
Selbst mit der Beseitigung der schwerwiegendsten Schwachstellen lassen sich die im Rahmen des Reports berücksichtigen Unternehmen relativ viel Zeit: Nur gut ein Fünftel der Mängel werden binnen 30 Tagen nach Bekanntwerden auch behoben. Unterschiede beim Umgang mit Sicherheitslücken in den jeweiligen Anwendungen zeigen sich beim Vergleich verschiedener Branchen. Gemessen an den Policies des Open Web Application Security Projects (OWASP) schneiden Fertigungsindustrie sowie Unternehmen der Luft- und Raumfahrt am besten ab. Anwendungen von Behörden, öffentlichen Einrichtungen und anderen administrativen Organisationen weisen hingegen die meisten Schwachstellen auf. Vor allem schwerwiegende Lücken, die beispielsweise Cross Site Scripting oder SQL Injections zulassen, finden sich hier besonders häufig. (map)
