Status der Softwaresicherheit im Public Sector Öffentliche Hand bei Softwaresicherheit eher slow

Laut dem „State of Software Security Public Sector 2023 Report“ von Veracode haben 82 Prozent der Softwareanwendungen im Public-Sektor Sicherheitslücken. Der Security-Spezialist empfiehlt Anwendungssicherheitstests, Softwarekompositionsanalysen und häufige Scans.

Veracode hat eine Studie zu Softwaresicherheit im Bereich der öffentlichen Hand vorgelegt, basierend auf historischen Daten des Security-Spezialisten und seiner Kunden. Daraus wird ersichtlich, dass dort eingesetzte Applikationen tendenziell mehr Sicherheitslücken aufweisen als Anwendungen für den privaten Sektor.

Konkret fand Veracode heraus, dass rund 82 Prozent der von Organisationen des öffentlichen Sektors entwickelten Anwendungen mindestens eine Sicherheitslücke aufwiesen. Im Vergleich dazu waren es bei Privatunternehmen 74 Prozent. Die Daten für die Studie wurden innerhalb der letzten 12 Monate erhoben. Je nach Art der festgestellten Schwachstelle war die Wahrscheinlichkeit, dass in den letzten 12 Monaten eine Sicherheitslücke in Anwendungen des öffentlichen Sektors eingebaut wurde, um sieben bis 12 Prozent höher.

„Der Unterschied zwischen dem privaten und öffentlichen Sektor in der Häufigkeit, mit der Fehler in Anwendungen auftreten, ist enorm. Die Bemühungen von Behörden, diese Lücken zu schließen, sind notwendig und müssen unbedingt fortgesetzt werden. Als Verantwortliche für die öffentliche Sicherheit müssen Behörden diese Lücke schließen. Nur so können sie ihr jeweiliges Land und seine Bürger schützen", sagte Chris Eng, Chief Research Officer bei Veracode.

Schwere Lücken seltener

Besser steht der öffentliche Sektor da, wenn es um Schwachstellen mit „hohen Schweregrad“ geht. Im 12-Monats-Zeitraum der Studie war der Prozentsatz der Anwendungen mit schwerwiegenden Sicherheitslücken im öffentlichen Sektor (16,5 Prozent) geringer als bei Privatunternehmen (19 Prozent).

"Da sich moderne IT-Systeme weiterentwickelt haben und immer komplexer geworden sind, ist die Taxonomie der Anwendungsfehler vielfältiger geworden. Daher ist die Verwendung mehrerer Scan-Typen zum Auffinden und Beheben von Schwachstellen eine bewährte Praxis", so Eng. Er rät zum Einsatz von statischen Anwendungssicherheitstests (SAST) und Softwarekompositionsanalysen (SCA).

Altanwendungen werden im öffentlichen Sektor besser gepflegt

Weiteres Studienergebnis: In Bezug auf die Rate, in der Scans neue Schwachstellen in alternder Software finden, gebe es große Unterschiede zwischen dem öffentlichen und privaten Sektor. Bei Anwendungen, die bereits seit fünf Jahren im Einsatz sind, steigen die Sicherheitsmängel im privaten Sektor, bei öffentlichen Organisationen nehmen sie hingegen ab. Das zeige, dass Organisationen der öffentlichen Hand auch über Jahre hinweg auf die Sicherheit ihrer Anwendungen achten und nicht nur ganz am Anfang des Lebenszyklus.

„Der öffentliche Sektor hat bei der Verbesserung der Sicherheit seiner Anwendungen einen weiten Weg zurückgelegt. Trotzdem bleibt noch viel zu tun, damit Behörden ihre Cybersicherheit verbessern und neue Bedrohungen abwehren können“, so Julian Totzek-Hallhuber, Manager Solution Architects EMEA & APAC bei Veracode. „Indem sie ihre Sicherheitsanstrengungen auf die eigentliche Ursache der meisten Cyberverletzungen – die Anwendungsebene – konzentrieren, können sie erhebliche Verbesserungen erzielen. Regelmäßige Scans mit verschiedenen Testmethoden und die anschließende Beseitigung von Sicherheitslücken werden den Weg in eine sicherere Zukunft für den öffentlichen Sektor ebnen.“

(ID:49587014)