72 Prozent der Anwendungen enthalten Schwachstellen; 12 Prozent davon werden mit „hohem Schweregrad“ eingestuft. Das entspricht den geringsten prozentualen Werten in sämtlichen analysierten Branchen.
In der Branche gibt es dennoch Verbesserungspotenzial; sie verfügt über die geringste Behebungsrate und die längste Behebungsdauer, insbesondere bei Open-Source-Sicherheitslücken.
BURLINGTON (Massachusetts/USA)–(BUSINESS WIRE)–Veracode, ein führender globaler Anbieter von Lösungen zum Testen der Anwendungssicherheit, gab heute bekannt, dass in der Fertigungsindustrie die geringste Zahl von Software-Sicherheitslücken auftreten. Dadurch wird die Finanzdienstleistungsbranche, die im vergangenen Jahr den ersten Platz einnahm, von ihrer Führungsposition verdrängt. Die Daten wurden im jährlichen State of Software Security (SoSS) Report v12 des Unternehmens veröffentlicht, in dem 20 Millionen Scans von einer halben Million Anwendungen aus den Bereichen Fertigungsindustrie, Gesundheitswesen, Finanzdienstleistungen, Technologie, Einzelhandel und Behörden analysiert wurden.
Die Fertigungsindustrie hat mit dem zunehmenden Druck und der steigenden Nachfrage in der Lieferkette zu kämpfen. Sie ist der im Jahr 2021 am häufigsten von Cyberkriminellen angegriffene Wirtschaftssektor, wobei die Ausnutzung von Schwachstellen als wichtigster primärer Angriffsvektor identifiziert wurde*. Seit Vorschriften wie die US-amerikanische Durchführungsverordnung zur Cybersicherheit und das EU-Gesetz über Cyberresilienz das Thema ins Rampenlicht rücken, ist die Sicherung der Software-Lieferkette deshalb heute wichtiger denn je.
Chris Eng, Chief Research Officer bei Veracode, äußerte sich dazu wie folgt: „Es ist ermutigend, dass die Zahl der Sicherheitslücken im vergangenen Jahr zurückgegangen ist, da Fertigungsunternehmen der Softwaresicherheit weiterhin hohe Priorität einräumen – vor allem, weil technologische Innovationen zu einer verstärkten Einführung neuer Plattformen und Umgebungen geführt haben. Im vergangenen Jahr stellten wir fest, dass 76 Prozent der Anwendungen in der Fertigungsindustrie Sicherheitslücken enthielten, von denen 21 Prozent mit „hohem Schweregrad“ eingestuft wurden. Diese Zahlen sind deutlich zurückgegangen.“
Open-Source-Sicherheitslücken haben länger Bestand
Trotz der positiven Ergebnisse, was die Häufigkeit von Sicherheitslücken betrifft, hat die Untersuchung von Veracode gezeigt, dass in der Fertigungsindustrie, neben dem Gesundheitswesen und der Technologiebranche, der Anteil von Sicherheitslücken, die nach ihrer Entdeckung behoben werden, am geringsten ist. Noch beunruhigender ist die Zeitdauer, die für die Behebung von Sicherheitslücken benötigt wird: Die Fertigungsindustrie zählt zu den Branchen mit der längsten Zeitspanne für die Behebung von Sicherheitslücken, welche durch statische Analyse (SAST), dynamische Analyse (DAST) und Software Composition Analysis (SCA) gefunden wurden. So sind beispielsweise rund 55 Prozent der durch statische Analyse gefundenen Sicherheitslücken nach einem Jahr noch nicht behoben. Die Fertigungsindustrie liegt hier durchweg vier Monate hinter dem Gesamtdurchschnitt zurück.
Sicherheitslücken in Bibliotheken von Drittanbietern, die durch SCA gefunden wurden, haben in allen Branchen länger Bestand: Bei 30 Prozent der anfälligen Bibliotheken sind nach zwei Jahren die Sicherheitslücken noch nicht behoben. In der Fertigungsindustrie steigt diese Zahl auf über 40 Prozent und liegt damit mehr als sechs Monate hinter dem branchenübergreifenden Durchschnitt zurück.
Eng weiter: „Dies kann zum Teil auf eine größere Anzahl spezialisierter industrieller Anwendungen zurückgeführt werden, die weniger, aber schwieriger zu behebende Sicherheitslücken aufweisen als in anderen Branchen. Diese Ergebnisse unterstreichen die Notwendigkeit für die Fertigungsunternehmen, sich auf die rechtzeitige Behebung von Sicherheitslücken zu konzentrieren.“
Einige Sicherheitslücken treten häufiger auf als andere
Im Rahmen der Untersuchung wurde auch die Art der Sicherheitslücken in den Programmiersprachen analysiert, die für Anwendungen in der Fertigungsindustrie genutzt werden, darunter Java, .NET und JavaScript. Die Untersuchung von Veracode analysierte die verschiedenen Arten von Sicherheitslücken, die bei den jeweiligen Anwendungen auftreten. Dabei wurde festgestellt, dass die Serverkonfiguration, unsichere Abhängigkeiten und Datenlecks zu den am häufigsten entdeckten Schwachstellen in der Fertigungsindustrie zählen.
Eng bemerkte abschließend: „Die Sicherheit von Unternehmen und kritischen Infrastrukturen hängt in hohem Maße davon ab, ob die Software-Lieferkette abgesichert ist. Das kann nur erreicht werden, wenn man die einzelnen Komponenten im Blick behält. Die frühzeitige Integration von Sicherheitsaspekten in die Softwareentwicklungsprozesse und der Einsatz von Tools zur Erstellung einer Software Bill of Materials (SBOM) geben Fertigungsunternehmen die Gewissheit, dass die Produkte, die sie auf den Markt bringen, weniger Schwachstellen und damit weniger Risiken aufweisen.“
Der Manufacturing-Snapshot von Veracode State of Software Security v12 steht hier zum Download bereit. Der vollständige Bericht ist hier verfügbar.
* IBM Security, „X-Force Threat Intelligence Index“, Februar 2022
Über den State of Software Security Report
Im Veracode State of Software Security Report (SoSS) v12 wurden die vollständigen historischen Daten über Veracode-Dienste und -Kunden analysiert. Dies entspricht insgesamt mehr als einer halben Million Anwendungen (592.720), die alle Scan-Typen verwendeten, mehr als einer Million dynamischer Analyse-Scans (1.034.855), mehr als fünf Millionen statischer Analyse-Scans (5.137.882) und mehr als 18 Millionen Software Composition Analysis-Scans (18.473.203). Alle diese Scans ergaben 42 Millionen statische Ergebnisse, 3,5 Millionen dynamische Ergebnisse und sechs Millionen SCA-Rohdaten-Ergebnisse.
Die Daten stammen von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. In den meisten Analysen wurde eine Anwendung nur einmal gezählt, selbst wenn mehrfach übermittelt wurde, dass Schwachstellen behoben und neue Versionen hochgeladen wurden.
Über Veracode
Veracode ist ein führender Anwendungssicherheitspartner für die Erstellung sicherer Software, die Minderung der Gefahr von Sicherheitsverletzungen und die Steigerung der Produktivität von Sicherheits- und Entwicklungsteams. Infolgedessen können Unternehmen, die Veracode verwenden, sowohl ihren Betrieb als auch die ganze Welt voranbringen. Mit einer Kombination aus Prozessautomatisierung, Integrationen, Geschwindigkeit und Reaktionsfähigkeit unterstützt Veracode Unternehmen dabei, genaue und zuverlässige Ergebnisse zu erhalten, damit sie sich auf die Behebung und nicht nur auf das Auffinden potenzieller Schwachstellen konzentrieren können. Weitere Informationen finden Sie unter www.veracode.com, im Blog von Veracode und auf Twitter.
Copyright © 2022 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Ländern eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum der jeweiligen Inhaber.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Contacts
Katy Gwilliam
kgwilliam@veracode.com