Für die neunte Ausgabe des State of Software Security Reports hat Veracode, ein Anbieter einer Cloud-Plattform für den Schutz von Web- und Mobilanwendungen sowie für Applikationen von Drittherstellern, zwischen dem 1. April 2017 und dem 30. April 2018 mehr als zwei Billionen Codezeilen analysiert. Mehr als 85 Prozent der Anwendungen weisen laut dem Report mindestens eine Schwachstelle auf, über 13 Prozent sogar mindestens eine sehr schwerwiegende. Für Unternehmen bestehe somit in puncto Anwendungssicherheit noch viel Handlungsbedarf, so Veracode.

Alarmierend sei zudem, dass jedes Jahr die gleichen Schwachstellen im Code auftauchen. So litt die Mehrheit der Anwendungen im Untersuchungszeitraum unter Informationslecks, kryptografischen Problemen, schlechter Codequalität und CRLF-Injektion, so das Ergebnis der Studie. Zudem hat Veracode unter anderen hochgradig ausnutzbare Cross-Site-Scripting-Fehler in fast der Hälfte der Anwendungen entdeckt. SQL-Injection tauchte in knapp 28 Prozent der getesteten Software auf. Der Hersteller führt diese Probleme darauf zurück, dass Sicherheit bei der Ausbildung von Entwicklern eine eher sekundäre Rolle spielt.

Ist ein Fehler gefunden, dauert es laut dem Report eine Woche, bis Unternehmen 15 Prozent der Schwachstellen geschlossen haben, 30 Prozent der Lücken werden innerhalb des ersten Monats beseitigt. Nach drei Monaten schaffen es die Unternehmen noch nicht einmal, die Hälfte der Schwachstellen zu schließen (etwas mehr als 45 Prozent). Insgesamt ist jede vierte Schwachstelle laut Veracode noch über Jahr nach der ersten Entdeckung offen.

Die langsame Reaktion auf Schwachstellen ist laut dem Report äußerst gefährlich, da die Chance groß ist, dass auch Kriminelle darüber Bescheid wissen und diese ausnutzen: Sie brauchen häufig nur Stunden oder Tage, um Exploits für neu entdeckte Schwachstellen zu finden.

Ein weiteres Ergebnis der Analyse ist, dass die meisten Codes eine signifikante Anzahl von sicherheitsrelevanten Fehlern enthalten, deren Behebung sich nicht einfach oder schnell bewerkstelligen lässt. Daher gelten Priorisierungsregeln für die Anwendungssicherheit. Die für den Report ausgewerteten Daten zeigen, dass Unternehmen, obwohl sie ihre Fehler priorisieren, nicht immer alle wichtigen Variablen berücksichtigen. So priorisieren die meisten Firmen laut Veracode nach der Schwere des Fehlers, ohne jedoch Kritikalität oder Ausnutzbarkeit zu berücksichtigen.

Dabei können schon kleine Fehler Hackern ausreichend Systemwissen liefern, die sie später für einen Angriff nutzen können, so der Anbieter. Beispielsweise könne ein Fehler bei der Verwaltung von Anmeldeinformationen mit geringer Schwere, der möglicherweise nicht als sehr gefährlich eingestuft wird, für einen Angreifer der Schlüssel zu einem Konto sein, mit dem er schwerwiegendere Fehler an anderer Stelle in der Software angreifen kann. Der Hersteller hält Unternehmen daher dazu an, kritischer zu prüfen, welche Probleme sie zuerst angehen.

Ein weiteres Ergebnis des Reports: Unternehmen, die die Vorteile einer kontinuierlichen Softwarebereitstellung von DevSecsOps nutzen, können ihre Lecks schneller als andere Unternehmen schließen. Dies ergibt sich laut Veracode aus dem Fokus auf inkrementelle Verbesserungen in DevOps, da sich der Ansatz stark auf den Einsatz kleiner, häufiger Software-Builds konzentriert.

Unternehmen, die DevSecOps nutzen, integrieren Sicherheitsprüfungen in diese laufenden Builds und fügen so kontinuierliche Verbesserung der Anwendungssicherheit ein, so der Hersteller. So sei es einfacher, schrittweise Verbesserungen an einer Anwendung vorzunehmen.

Fehler bleiben laut Veracode 3,5-mal länger bestehen, wenn ein Unternehmen die Applikationen weniger als dreimal pro Jahr testet, als wenn es sieben bis zwölf Scans pro Jahr durchführt. Je höher die Testfrequenz ist, desto mehr lässt sich laut Studie das Risiko reduzieren.

Der vollständige Report ist hier erhältlich. Weitere Informationen finden sich unter www.veracode.com.

Timo Scheibe ist Redakteur bei der LANline.