Selbstreflektion und Kooperation in der Software-Branche Mehr Offenheit im Umgang mit Schwachstellen

Wie denken IT-Verantwortliche über die Offenlegung von Software-Schwachstellen? Dies war die zentrale Fragestellung der weltweiten Studie „Exploring Coordinated Disclosure“ von Veracode, deren Ergebnisse jetzt vorliegen.

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Confluent Germany GmbH

Windhoff Group

Einsicht ist der erste Weg zur Besserung, heißt es, eben diese Selbstreflektion attestiert Veracode auch der Software-Branche. Der Schwachstellen-Experte hat im Zuge der Studie „Exploring Coordinated Disclosure“ sowohl Unternehmen als auch externe Sicherheitsexperten nach deren Einstellungen und Erwartungen gefragt

Ein Großteil der Befragten ist demnach davon überzeugt, dass die Offenlegung von Schwachstellen Vorteile für alle bringt: Neun von zehn Teilnehmern gaben an, dass die öffentliche Bekanntgabe von Schwachstellen einem „höheren Sinn folgt, da sich so die Art und Weise verändert, wie Software entwickelt, genutzt und repariert wird.“

Chris Wysopal, CTO und Mitgründer von Veracode, sieht inkonsistente Richtlinien hinsichtlich der Vulnerability Disclosure als größte Herausforderung: „Eine strikte Veröffentlichungs-Richtlinie ist ein notwendiger Bestandteil der Sicherheitsstrategie eines Unternehmens […]“. Nur so könnten externen Fachkräfte effizient mit den betroffenen Unternehmen zusammenarbeiten und Risiken minimieren.

Als positiv beurteilt Veracode, dass Sicherheitsexperten mittlerweile regelmäßig auch unaufgefordert an Unternehmen herantreten, um Sicherheitslücken zu melden: Mehr als ein Drittel der Unternehmen habe in den vergangenen zwölf Monaten einen nicht angeforderten Offenlegungsbericht erhalten. 90 Prozent dieser Unternehmen konnten die gemeldeten Schwachstellen koordiniert beheben und anschließend publik machen.

Viele Sicherheitsexperten handeln dabei uneigennützig: Nur 18 Prozent der Befragten erwarten eine Bezahlung, nur 16 Prozent erwarten Anerkennung für die von ihnen identifizierten Schwachstellen. Allerdings wollen die Melder im Bilde bleiben: 57 Prozent der Sicherheitsexperten erwarten, darüber informiert zu werden, wenn eine Schwachstelle behoben wurde. 47 Prozent erwarten regelmäßige Updates über die Entwicklung der Korrektur, 37 Prozent wollen die Fixes selbst validieren.

Gleichzeitig hätten Sicherheitsfachkräfte oft unrealistische Erwartungen, wie schnell ein Fehler behoben sein muss. Fast zwei Drittel der Security-Experten meinten, dass eine identifizierte Schwachstelle in weniger als 60 Tagen behoben sein müsse. Diese Zeitspanne hält auch Veracode mit Blick auf den eigenen „State of Software Security Report Volume 9“ für überzogen, dem zufolge 55 Prozent aller Schwachstellen-Fixes bis zu drei Monate benötigen.

Für den Bericht hat 451 Research im Auftrag von Veracode im Jahreswechsel 1.000 IT-Experten befragt. Diese kamen aus unterschiedlich großen Unternehmen und verschiedenen Branchen in den USA, Deutschland, Frankreich, Italien und Großbritannien.

(ID:46152325)