Selbstreflektion und Kooperation in der Software-Branche

Mehr Offenheit im Umgang mit Schwachstellen

| Redakteur: Stephan Augsten

Ein großer Teil der Security-Experten hat bei der Offenlegung von Schwachstellen das Gemeinwohl im Sinn.
Ein großer Teil der Security-Experten hat bei der Offenlegung von Schwachstellen das Gemeinwohl im Sinn. (Bild gemeinfrei: methodshop / Pixabay)

Wie denken IT-Verantwortliche über die Offenlegung von Software-Schwachstellen? Dies war die zentrale Fragestellung der weltweiten Studie „Exploring Coordinated Disclosure“ von Veracode, deren Ergebnisse jetzt vorliegen.

Einsicht ist der erste Weg zur Besserung, heißt es, eben diese Selbstreflektion attestiert Veracode auch der Software-Branche. Der Schwachstellen-Experte hat im Zuge der Studie „Exploring Coordinated Disclosure“ sowohl Unternehmen als auch externe Sicherheitsexperten nach deren Einstellungen und Erwartungen gefragt

Ein Großteil der Befragten ist demnach davon überzeugt, dass die Offenlegung von Schwachstellen Vorteile für alle bringt: Neun von zehn Teilnehmern gaben an, dass die öffentliche Bekanntgabe von Schwachstellen einem „höheren Sinn folgt, da sich so die Art und Weise verändert, wie Software entwickelt, genutzt und repariert wird.“

Chris Wysopal, CTO und Mitgründer von Veracode, sieht inkonsistente Richtlinien hinsichtlich der Vulnerability Disclosure als größte Herausforderung: „Eine strikte Veröffentlichungs-Richtlinie ist ein notwendiger Bestandteil der Sicherheitsstrategie eines Unternehmens […]“. Nur so könnten externen Fachkräfte effizient mit den betroffenen Unternehmen zusammenarbeiten und Risiken minimieren.

Als positiv beurteilt Veracode, dass Sicherheitsexperten mittlerweile regelmäßig auch unaufgefordert an Unternehmen herantreten, um Sicherheitslücken zu melden: Mehr als ein Drittel der Unternehmen habe in den vergangenen zwölf Monaten einen nicht angeforderten Offenlegungsbericht erhalten. 90 Prozent dieser Unternehmen konnten die gemeldeten Schwachstellen koordiniert beheben und anschließend publik machen.

Viele Sicherheitsexperten handeln dabei uneigennützig: Nur 18 Prozent der Befragten erwarten eine Bezahlung, nur 16 Prozent erwarten Anerkennung für die von ihnen identifizierten Schwachstellen. Allerdings wollen die Melder im Bilde bleiben: 57 Prozent der Sicherheitsexperten erwarten, darüber informiert zu werden, wenn eine Schwachstelle behoben wurde. 47 Prozent erwarten regelmäßige Updates über die Entwicklung der Korrektur, 37 Prozent wollen die Fixes selbst validieren.

Gleichzeitig hätten Sicherheitsfachkräfte oft unrealistische Erwartungen, wie schnell ein Fehler behoben sein muss. Fast zwei Drittel der Security-Experten meinten, dass eine identifizierte Schwachstelle in weniger als 60 Tagen behoben sein müsse. Diese Zeitspanne hält auch Veracode mit Blick auf den eigenen „State of Software Security Report Volume 9“ für überzogen, dem zufolge 55 Prozent aller Schwachstellen-Fixes bis zu drei Monate benötigen.

Für den Bericht hat 451 Research im Auftrag von Veracode im Jahreswechsel 1.000 IT-Experten befragt. Diese kamen aus unterschiedlich großen Unternehmen und verschiedenen Branchen in den USA, Deutschland, Frankreich, Italien und Großbritannien.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46152325 / Application Security)