Veracode-Report „State of Software Security“ Fertigungsindustrie weist die wenigsten Sicherheitslücken auf
Anbieter zum Thema
Laut der 12. Ausgabe des Reports „State of Software Security (SoSS)“ von Veracode weist der Fertigungsbereich den vergleichsweise geringsten Anteil an Sicherheitslücken auf. Die Branche sei allerdings besonders langsam, wenn es darum geht, identifizierte Mängel zu beseitigen.

Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports habe Veracode 20 Mio. Scans von einer halben Million Anwendungen in den Branchen Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden analysiert. Das Ergebnis der Fertigungsindustrie: 72 Prozent der Anwendungen enthalten Software-Schwachstellen, von denen zwölf Prozent als „schwerwiegend“ eingestuft werden – der niedrigste Wert unter allen analysierten Branchen.
Im vergangenen Jahr habe der Fertigungsbereich sowohl mit wachsender Nachfrage als auch mit steigendem Druck auf globale Lieferketten zu kämpfen gehabt. Infolgedessen sei die Branche 2021 ein besonders interessantes Ziel für Cyberkriminelle gewesen. Als wichtigster erster Angriffsvektor nutzen sie vor allem Schwachstellen in Anwendungen aus (laut X-Force Threat Intelligence Index von IBM Security, Februar 2022). Durch Verordnungen wie den EU Cyber Resilience Act oder die US Executive Order habe die Absicherung der Software-Lieferkette an Bedeutung gewonnen.
„Im Laufe der letzten Jahre räumten Fertigungsunternehmen der Software-Sicherheit eine wesentlich höhere Priorität ein. Es ist gut zu sehen, dass diese Maßnahme Früchte trägt und die Anzahl der Schwachstellen zurückgegangen ist – vor allem, wenn man das Aufkommen neuer Plattformen und IT-Umgebungen berücksichtigt“, so Chris Eng, Chief Research Officer bei Veracode. „Im vergangenen Jahr waren es noch 76 Prozent der Anwendungen im Fertigungsbereich, die Schwachstellen aufwiesen. 21 Prozent davon stuften wir als „schwerwiegend“ ein. Die Zahlen sind demnach merklich gesunken.“
Open-Source-Schwachstellen bleiben hartnäckig
Zwar weise der Fertigungsbereich den insgesamt geringsten Anteil an Schwachstellen auf, jedoch sei die Branche – ähnlich wie das Gesundheitswesen und der Tech-Bereich – nicht gut darin, identifizierte Mängel zu beseitigen. Besonders besorgniserregend: Produktionsunternehmen seien besonders langsam, wenn es darum geht, Schwachstellen zu beheben, die durch statische Analysen (SAST), dynamische Analysen (DAST) und Software Composition Analysis (SCA) aufgedeckt wurden. So blieben z.B. 55 Prozent aller durch SAST entdeckte Schwachstellen auch nach einem Jahr bestehen. Diesem Durchschnittswert hinke der Fertigungsbereich mit vier zusätzlichen Monaten deutlich hinterher.
Durch SCA entdeckte Schwachstellen in Libraries von Drittanbietern, so Veracode, bleiben über alle Branchen hinweg für lange Zeit unbehoben. Selbst nach zwei Jahren würden 30 Prozent der anfälligen Bibliotheken noch Mängel aufweisen. Im Fertigungsbereich steige dieser Wert sogar auf mehr als 40 Prozent an und liege damit mehr als sechs Monate hinter dem branchenübergreifenden Durchschnitt.
„Dieser Umstand lässt sich womöglich auf die Anzahl an hochspezialisierten Industrieanwendungen zurückführen, die zwar weniger, aber schwerer zu behebende Schwachstellen enthalten als in anderen Branchen. Dies unterstreicht einmal mehr, wie wichtig es ist, dass Produktionsunternehmen Schwachstellen frühzeitig erkennen und tilgen“, führt Eng weiter aus.
Verbreitete Schwachstellentypen im Verhältnis zu Programmiersprachen
Neben der Anzahl habe man auch Schwachstellentypen über alle Programmiersprachen hinweg durchleuchtet, die für Anwendungen im Fertigungsbereich zum Einsatz kommen – einschließlich Java, .NET und JavaScript. Veracode fand heraus, dass Serverkonfigurationen, ungesicherte Abhängigkeiten und Datenlecks zu den häufigsten Sicherheitslücken gehören.
Eng kommentiert abschließend: „Die Sicherheit von Unternehmen und kritischen Infrastrukturen ist überwiegend abhängig von der Absicherung der Software-Lieferkette. Dies lässt sich jedoch nur erreichen, indem man die Zusammensetzung und einzelne Bestandteile transparenter macht. Demnach müssen Produktionsunternehmen bereits in den frühen Phasen der Software-Entwicklung Sicherheitsmechanismen einbauen und entsprechende Tools verwenden, um eine Software Bill of Materials (SBOM) zu erstellen. Erst dann können sie sicherstellen, dass ihre Produkte weniger Schwachstellen und folglich ein geringeres Risikopotenzial aufweisen.“
(ID:48705635)