Anzeige
Anzeige
Beitrag drucken

Report ‚State of Software Security‘

Wie sicher sind die Anwendungen der Fertiger?

Beim allem technologischen Fortschritt sollten Nutzer nicht die IT-Sicherheit aus dem Blick verlieren. Der elfte State of Software Security (SoSS) Report zeigt, dass die Fertigungsindustrie im Vergleich zu anderen Branchen im Bereich der Anwendungssicherheit schlecht abschneidet. Julian Totzek-Hallhuber, Principal Solution Architect von Veracode, fasst die Ergebnisse zusammen.

 (Bild: ©dekdoyjaidee/stock.adobe.com)

(Bild: ©dekdoyjaidee/stock.adobe.com)

Im Fokus der SoSS stehen neben der Fertigungsindustrie die Finanzbranche, das Gesundheitswesen, Einzelhandel und Gastgewerbe, die Technologie-Branche und behördliche Einrichtungen. Für die Erhebung wurden rund 130.000 Anwendungen untersucht. Ein zentrales, branchenübergreifendes Ergebnis: IT-Teams beheben Sicherheitslücken mit unterschiedlicher Geschwindigkeit. Ausschlaggebend dafür ist das Entwicklerverhalten, das durch die gegebenen Eigenschaften der Entwicklungsumgebung (‚Nature‘) und die beeinflussbaren Faktoren bei der Entwicklung (‚Nurture‘) bestimmt wird. Aus der Veracode-Studie geht hervor, dass in der Fertigungsindustrie sowohl bei Aspekten der ‚Nature‘ als auch bei solchen der ‚Nurture‘ Luft nach oben ist. Die Lösung: DevSecOps-Praktiken.

Der Status Quo

Die Fertigungsindustrie verzeichnet im Bereich der Hochrisiko-Anwendungen Bestnoten in der Studie: Sie hat mit 21 Prozent aller gescannten Anwendungen den geringsten Anteil an risikohaften Sicherheitslücken im Vergleich zu den anderen untersuchten Branchen. In den restlichen Kategorien sieht das Ergebnis dagegen durchwachsen aus. So weisen 76 Prozent aller gescannten Anwendungen innerhalb der Fertigungsindustrie laut Studienergebnis mindestens eine Sicherheitslücke auf. Damit liegt die Branche im Vergleich auf einem unteren Rang, lediglich die Technologiebranche und behördliche Einrichtungen verzeichnen mehr Sicherheitslücken. Bei der Fehlerbehebungsrate und der Dauer, bis die Hälfte der Sicherheitslücken behoben wird, belegt die Fertigungsindustrie in der SoSS den mit Abstand letzten Platz. So verzeichnet die Branche lediglich eine 59 prozentige Fehlerbehebungsrate und die Dauer, bis die Hälfte der Sicherheitslücken behoben wird, liegt bei 297 Tagen.Zum Vergleich: Auf dem fünften Platz liegen in beiden Kategorien die behördlichen Einrichtungen. Diese weisen eine 66 prozentige Fehlerhebungsrate auf und beheben die Hälfte der Sicherheitslücken innerhalb von 233 Tagen.Um eine detailliertere Analyse der identifizierten Sicherheitslücken zu ermöglichen, teilt der SoSS diese in Kategorien ein. Im Vergleich werden in der Fertigungsindustrie kategorienübergreifend durchschnittlich gleich viele Sicherheitslücken gefunden wie in anderen Branchen. Die drei häufigsten Fehlerarten sind Datenlecks (57 Prozent), CLRF-Injections (51 Prozent) und die Qualität des Codes (49 Prozent). Dabei schneiden Anwendungen aus der Fertigungsindustrie bei der Qualität des Codes besser ab als der Durchschnitt (53 Prozent).

DevSecOps-Difizite beheben

Sowohl im Bereich der ‚Nurture‘-als auch im Bereich der ‚Nature‘-Aspekte belegt die Fertigungsindustrie in der Studie die mittleren bis unteren Ränge. Im Hinblick auf die ‚Nurture‘-Elemente befindet sie sich in den Kategorien Scan-Frequenz und der API-Nutzung auf dem letzten Platz. Außerdem greifen Entwickler hier im Vergleich zu anderen Branchen wenig auf die Software-Composition-Analyse (SCA) und die dynamische Analyse (DAST) zurück, zusätzlich liegt eine geringe Scan-Kadenz vor. Bei Kategorien aus dem Bereich der ‚Nature‘ fällt auf, dass die Anwendungen im Durchschnitt von allen Branchen am größten sind und zusätzlich relativ alt. Dies schafft eine herausfordernde Umgebung für Entwickler, was zu einer längeren Bearbeitungszeit von Sicherheitslücken führt. Branchenübergreifende Analysen zeigen: Gehört ein Unternehmen der Fertigungsindustrie an, ist die Wahrscheinlichkeit höher, langsam bei der Behebung von Sicherheitslücken zu sein. Zusätzlich geht aus den Analysen hervor, welche Praktiken und Eigenschaften zu einer schnelleren Behebung von Sicherheitslücken führen können. Neben häufigen Sicherheitsscans führt auch DAST kombiniert mit statischen Analysen (SAST), SAST durch API, eine kontinuierliche Scan-Kadenz und SCA mit SAST zu einer schnelleren Fehlerbehebung. Auf Basis dieser Erkenntnisse kann es sich für Akteure aus der Fertigungsindustrie lohnen, die bestehenden Defizite bei DevSecOps-Praktiken zu beheben. Werden die Schwachstellen in den ‚Nature‘- und ‚Nurture‘-Bereichen beseitigt, können Unternehmen aus der Fertigungsindustrie eine Entwicklungsumgebung schaffen, die die Entwickler und Anwendungssicherheit gleichermaßen unterstützt.


Das könnte Sie auch interessieren:

Wer Produktion und Logistik in einer Echtzeit-Visualisierung abbildet, kann niedrigschwellig in die digitale Transformation einsteigen und viel Papier aus dem Shopfloor bannen. Ergänzt um zentrale MES-Funktionen lassen sich solche Visualisierungssysteme zur Operational Excellence-Plattform ausprägen, die bei fortlaufenden Prozessoptimierungen unterstützt.‣ weiterlesen

Industrielle Trends wie IIoT und Digitalisierung setzen immense Datenströme voraus. Doch im Gegensatz zur IT-Security für Büros müssen Fabrikbetreiber auf wesentlich mehr Stolpersteine achten, damit ihre Anlagen nicht schon einfachen Angriffen zum Opfer fallen.‣ weiterlesen

Ab und zu fehlte ein Schlüssel im Kloster der Franziskanerinnen der ewigen Anbetung von Schwäbisch Gmünd. Beim letzten Mal gab das den Impuls, anstatt neue mechanische Zylinder in die rund 220 Türen des Komplexes einzubauen, die alte Technik durch das Bluesmart-System von Winkhaus zu ersetzen.‣ weiterlesen

Mit 100,5 Punkten hält sich das IAB-Arbeitsmarktbarometer im November stabil und liegt weiter im leicht über der neutralen Marke. Auf europäischer Ebene sank der Frühindikator allerdings erneut.‣ weiterlesen

In einer neuen Expertise des Forschungsbeirats Industrie 4.0 untersuchen das FIR an der RWTH Aachen und das Industrie 4.0 Maturity Center den Status-quo und die aktuellen Herausforderungen der deutschen Industrie bei der Nutzung und wirtschaftlichen Verwertung von industriellen Daten und geben Handlungsempfehlungen für Unternehmen, Verbände, Politik und Wissenschaft.‣ weiterlesen

Im Forschungsprojekt FabOS soll eine KI-Bin-Picking-Anwendung entstehen, die ein verbessertes Erkennen, Greifen und definiertes Ablegen von Blechteilen in der Produktion ermöglicht.‣ weiterlesen

Die Digitalisierung des Qualitätsmanagements stellt Unternehmen vor Herausforderungen. Daher haben das Fraunhofer IPT und die FH Südwestfalen im Forschungsvorhaben 'Qbility - Quality 4.0 Capability Determination Model' ein datengetriebenes Reifegradmodell entwickelt, das die Anforderungen eines digitalisierten Qualitätsmanagements bei KMU adressiert.‣ weiterlesen