Mehrheit glaubt, dass eine koordinierte Veröffentlichung von Sicherheitslücken ein öffentliches Gut ist, von dem alle profitieren können

Veracode: Sicherheitsexperten und Unternehmen kooperieren mehr denn je

26. September 2019, 8:51 Uhr | Von Dr. Jörg Schröper.

Veracode, Anbieter von Anwendungssicherheits-Tests (AST), veröffentlichte vor Kurzem die Ergebnisse der weltweiten Studie "Exploring Coordinated Disclosure". Thema der Befragung war die Offenlegung von Software-Schwachstellen. Untersucht wurden die Einstellungen und Erwartungen gegenüber der Kooperation von Organisationen und externen Sicherheitsexperten beim Identifizieren von Schwachstellen. Außerdem analysierten die Forscher vorliegende Richtlinien.

Die Studie deckt auf, dass so gut wie alle Software-Unternehmen und externe Sicherheitsexperten der Überzeugung sind, dass die Offenlegung von Schwachstellen im Rahmen einer verbesserten IT-Sicherheit Vorteile für alle mit sich bringt. 90 Prozent der Befragten gaben an, dass die öffentliche Bekanntgabe von Schwachstellen einem "höheren Sinn folgt, da sich so die Art und Weise verändert, wie Software entwickelt, genutzt und repariert wird." Diese Erkenntnis markiert einen wichtigen Punkt der Selbstreflexion in der Software-Branche. Es sei deutlich, dass nicht behobene Schwachstellen ein enormes Risiko für Unternehmensinteressen, Konsumenten und sogar die Stabilität der globalen Wirtschaft darstellen.

"Die vorherrschende Entwicklung, die die Studie zeigt, ist sehr positiv zu bewerten", sagt Veracodes Chief Technology Officer und Mitgründer, Chris Wysopal, "Eine Herausforderung besteht jedoch: die inkonsistenten Richtlinien betreffend der Offenlegung von Schwachstellen. Wenn sich Sicherheitsexperten unsicher sind, wie sie nach der Identifikation einer Schwachstelle im System vorgehen müssen, ist das Unternehmen Sicherheitsrisiken ausgesetzt, die Cyberkriminelle ausnutzen können. Heutzutage haben wir sowohl Instrumente als auch Prozesse, die es ermöglichen, Fehler oder Schwachstellen im Code, sogenannte Softwarebugs, während des Entwicklungsprozess zu finden und zu reduzieren. Trotzdem werden jeden Tag neue Bugs identifiziert. Eine strikte Veröffentlichungs-Richtlinie ist ein notwendiger Bestandteil der Sicherheitsstrategie eines Unternehmens und erlaubt den externen Fachkräften, effizient mit Unternehmen zusammenzuarbeiten, um deren Aussetzung von Risiken zu reduzieren."

Eine gute Veröffentlichungs-Richtlinie umfasse laut dem Experten standardisierte Prozesse, die die Zusammenarbeit zwischen Unternehmen und externen Sicherheitsexperten unterstützen. Beinhalten sollten diese Deadlines für Fixes und eine Übersicht der jeweiligen Ergebnisse. Außerdem sollte eine der darin festgehaltenen Aufgaben sein, Software vor ihrer Veröffentlichung auf Fehler zu überprüfen und diese gegebenenfalls zu beheben.

Zu den wichtigsten Ergebnissen der Studie zählen unter anderem:

  • Unaufgeforderte Offenlegung von Schwachstellen erfolgt regelmäßig. Die Untersuchungen ergaben, dass mehr als ein Drittel der Unternehmen in den vergangenen zwölf Monaten einen nicht angeforderten Offenlegungsbericht erhalten hat. Diese können Zusammenarbeit mit den Akteuren initiieren, die den Bericht erstellt haben. Damit können Unternehmen Schwachstellen beheben und anschließend publik machen, um eine generelle Verbesserung der Sicherheit zu erzielen. Die Unternehmen, die einen unaufgeforderten Bericht erhielten, konnten 90 Prozent der Schwachstellen koordiniert beheben. Dies erfolgte durch eine Zusammenarbeit zwischen den Sicherheitsexperten und dem Unternehmen. Ein klarer Sinneswandel sei identifizierbar: Gemeinsam zu arbeiten werde nun als der effektivste Ansatz für die Steigerung von Transparenz und Sicherheit gesehen.
  • Das Gemeinwohl motiviert Sicherheitsexperten. Die Studie zeigt, dass Sicherheitsexperten gewissenhaft sind und im Sinne des Gemeinwohls agieren. Ganze 57 Prozent der Fachkräfte erwarten, darüber informiert zu werden, wenn eine Schwachstelle behoben wurde. 47 Prozent erwarten regelmäßige Updates über die Entwicklung der Korrektur, 37 Prozent wollen die Fixes selbst validieren. Nur 18 Prozent der Befragten erwarten eine Bezahlung und nur 16 Prozent erwarten Anerkennung für die von ihnen identifizierten Schwachstellen.
  • Organisationen kooperieren, um Probleme zu beheben. Drei von vier Unternehmen geben an, dass sie eine etablierte Methode haben, auf den Bericht von einem externen Sicherheitsexperten zu reagieren. 71 Prozent der Entwickler sind der Meinung, dass Sicherheitsfachkräfte in der Lage sein sollten, unaufgefordert Tests durchzuführen. Dies wirke zunächst kontraintuitiv, da bei möglichen Notfall-Eingriffen am ehesten der Workflow von Entwicklern gestört wird. Die Daten legen aber nahe, dass Entwickler eine koordinierte Offenlegung als Teil eines sicheren Entwicklungsprozesses ansehen. Sie erwarten, dass ihre Arbeit außerhalb des Unternehmens Tests unterzogen wird und sind bereit, identifizierte Probleme zu beheben.
  • Sicherheitsfachkräfte haben oft unrealistische Erwartungen bezüglich der Geschwindigkeit der Fehlerbehebung. Die Daten zeigen, dass 65 Prozent der Sicherheitsexperten erwarten, dass die identifizierte Schwachstelle innerhalb von weniger als 60 Tagen behoben wird. Diese Zeitspanne scheint unrealistisch kurz, vor allem wenn man die aktuellen Ergebnisse des "Veracode State of Software Security Volume 9"-Berichts betrachtet, der offenlegte, dass 70 Prozent aller identifizierten Schwachstellen bis zu einen Monat nach der Entdeckung bestehen bleiben - 55 Prozent sogar bis zu drei Monate. Die Untersuchung zeigt, dass Unternehmen eine gewisse Zeit brauchen, um Sicherheitslücken zu beseitigen - sie aber durchaus gewillt sind, dies zu tun und im Anschluss die Schwachstellen zu veröffentlichen.
  • Bug-Bounties sind kein Allheilmittel. Bevorzugte Anreizstruktur für die Offenlegung von Sicherheitslücken sind oftmals Bug-Bounties, also Prämien für jeden gemeldeten Fehler. Die vorliegende Studie belegt jetzt, dass monetäre Anreize nicht die Triebkraft für die meisten Offenlegungen sind. Fast die Hälfte (47 Prozent) der Unternehmen haben Prämienprogramme für das Identifizieren von Bugs implementiert, aber nur 19 Prozent der identifizierten Schwachstellen werden im Rahmen dieser gemeldet. Bug-Bounties können übergeordnet Teil einer Sicherheitsstrategie sein, sind jedoch meist ineffizient und teuer. Da die meisten Sicherheitsexperten hauptsächlich durch die Behebung der Schwachstelle motiviert sind, sollten Unternehmen ihre Ressourcen auf eine sichere Softwareentwicklung fokussieren, die Schwachstellen innerhalb des Software-Entwicklungszyklus identifiziert.

Die Daten, die dem Bericht zugrunde liegen, wurden von 451 Research von Dezember 2018 bis Januar 2019 im Rahmen einer von Veracode in Auftrag gegebenen Umfrage erhoben. Die repräsentative Stichprobe umfasste 1.000 Befragte. Diese kamen aus unterschiedlich großen Unternehmen und verschiedenen Branchen in den USA, Deutschland, Frankreich, Italien und Großbritannien. Die Tätigkeiten der Befragten umfassten den Bereich Anwendungs-Entwicklung, Infrastruktur und Informations-Sicherheit, aber auch Sicherheitsberater, Drittanbieter von Sicherheitsbeurteilungen oder Penetrationstester und unabhängige Sicherheitsexperten gehörten dazu. Um an der Studie teilnehmen zu können, mussten die Befragten ein durchschnittliches bis hohes Maß an Vertrautheit mit den Modellen zur Offenlegung von Schwachstellen vorweisen. Weitere Informationen stehen auf www.veracode.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu RPV - Rainer Pahl Distribution

Weitere Artikel zu Karl Jautz GmbH & Co. KG

Weitere Artikel zu Motorola GmbH Idstein

Weitere Artikel zu Davidsmeyer & Paul GmbH Elektronik

Weitere Artikel zu XLayer

Matchmaker+