Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Report ‚State of Software Security‘

Wie sicher sind die Anwendungen der Fertiger?

Beim allem technologischen Fortschritt sollten Nutzer nicht die IT-Sicherheit aus dem Blick verlieren. Der elfte State of Software Security (SoSS) Report zeigt, dass die Fertigungsindustrie im Vergleich zu anderen Branchen im Bereich der Anwendungssicherheit schlecht abschneidet. Julian Totzek-Hallhuber, Principal Solution Architect von Veracode, fasst die Ergebnisse zusammen.

 (Bild: ©dekdoyjaidee/stock.adobe.com)

(Bild: ©dekdoyjaidee/stock.adobe.com)

Im Fokus der SoSS stehen neben der Fertigungsindustrie die Finanzbranche, das Gesundheitswesen, Einzelhandel und Gastgewerbe, die Technologie-Branche und behördliche Einrichtungen. Für die Erhebung wurden rund 130.000 Anwendungen untersucht. Ein zentrales, branchenübergreifendes Ergebnis: IT-Teams beheben Sicherheitslücken mit unterschiedlicher Geschwindigkeit. Ausschlaggebend dafür ist das Entwicklerverhalten, das durch die gegebenen Eigenschaften der Entwicklungsumgebung (‚Nature‘) und die beeinflussbaren Faktoren bei der Entwicklung (‚Nurture‘) bestimmt wird. Aus der Veracode-Studie geht hervor, dass in der Fertigungsindustrie sowohl bei Aspekten der ‚Nature‘ als auch bei solchen der ‚Nurture‘ Luft nach oben ist. Die Lösung: DevSecOps-Praktiken.

Der Status Quo

Die Fertigungsindustrie verzeichnet im Bereich der Hochrisiko-Anwendungen Bestnoten in der Studie: Sie hat mit 21 Prozent aller gescannten Anwendungen den geringsten Anteil an risikohaften Sicherheitslücken im Vergleich zu den anderen untersuchten Branchen. In den restlichen Kategorien sieht das Ergebnis dagegen durchwachsen aus. So weisen 76 Prozent aller gescannten Anwendungen innerhalb der Fertigungsindustrie laut Studienergebnis mindestens eine Sicherheitslücke auf. Damit liegt die Branche im Vergleich auf einem unteren Rang, lediglich die Technologiebranche und behördliche Einrichtungen verzeichnen mehr Sicherheitslücken. Bei der Fehlerbehebungsrate und der Dauer, bis die Hälfte der Sicherheitslücken behoben wird, belegt die Fertigungsindustrie in der SoSS den mit Abstand letzten Platz. So verzeichnet die Branche lediglich eine 59 prozentige Fehlerbehebungsrate und die Dauer, bis die Hälfte der Sicherheitslücken behoben wird, liegt bei 297 Tagen.Zum Vergleich: Auf dem fünften Platz liegen in beiden Kategorien die behördlichen Einrichtungen. Diese weisen eine 66 prozentige Fehlerhebungsrate auf und beheben die Hälfte der Sicherheitslücken innerhalb von 233 Tagen.Um eine detailliertere Analyse der identifizierten Sicherheitslücken zu ermöglichen, teilt der SoSS diese in Kategorien ein. Im Vergleich werden in der Fertigungsindustrie kategorienübergreifend durchschnittlich gleich viele Sicherheitslücken gefunden wie in anderen Branchen. Die drei häufigsten Fehlerarten sind Datenlecks (57 Prozent), CLRF-Injections (51 Prozent) und die Qualität des Codes (49 Prozent). Dabei schneiden Anwendungen aus der Fertigungsindustrie bei der Qualität des Codes besser ab als der Durchschnitt (53 Prozent).

DevSecOps-Difizite beheben

Sowohl im Bereich der ‚Nurture‘-als auch im Bereich der ‚Nature‘-Aspekte belegt die Fertigungsindustrie in der Studie die mittleren bis unteren Ränge. Im Hinblick auf die ‚Nurture‘-Elemente befindet sie sich in den Kategorien Scan-Frequenz und der API-Nutzung auf dem letzten Platz. Außerdem greifen Entwickler hier im Vergleich zu anderen Branchen wenig auf die Software-Composition-Analyse (SCA) und die dynamische Analyse (DAST) zurück, zusätzlich liegt eine geringe Scan-Kadenz vor. Bei Kategorien aus dem Bereich der ‚Nature‘ fällt auf, dass die Anwendungen im Durchschnitt von allen Branchen am größten sind und zusätzlich relativ alt. Dies schafft eine herausfordernde Umgebung für Entwickler, was zu einer längeren Bearbeitungszeit von Sicherheitslücken führt. Branchenübergreifende Analysen zeigen: Gehört ein Unternehmen der Fertigungsindustrie an, ist die Wahrscheinlichkeit höher, langsam bei der Behebung von Sicherheitslücken zu sein. Zusätzlich geht aus den Analysen hervor, welche Praktiken und Eigenschaften zu einer schnelleren Behebung von Sicherheitslücken führen können. Neben häufigen Sicherheitsscans führt auch DAST kombiniert mit statischen Analysen (SAST), SAST durch API, eine kontinuierliche Scan-Kadenz und SCA mit SAST zu einer schnelleren Fehlerbehebung. Auf Basis dieser Erkenntnisse kann es sich für Akteure aus der Fertigungsindustrie lohnen, die bestehenden Defizite bei DevSecOps-Praktiken zu beheben. Werden die Schwachstellen in den ‚Nature‘- und ‚Nurture‘-Bereichen beseitigt, können Unternehmen aus der Fertigungsindustrie eine Entwicklungsumgebung schaffen, die die Entwickler und Anwendungssicherheit gleichermaßen unterstützt.


Das könnte Sie auch interessieren:

Im Anschluss eines IT-Projektes setzen viele Unternehmen auf eine Rückschau, um daraus Erkenntnisse für kommende Projekte zu gewinnen. Für das Projekt selbst kommt dieses Wissen zu spät. Beim agilen Projektmanagement ist das anders. Aber passen Sprints und 'Lessons-Learned' zur Projektarbeit mit hohen Compliance-Ansprüchen?‣ weiterlesen

Um Maschinendaten etwa für Predictive Maintenance zu erfassen und zu verarbeiten, gibt es sehr individuelle Lösungen. Vom Mini-PC bis zum Edge Device samt Middleware lassen sich Konzepte für datengetriebene Aufgaben realisieren. Am Beispiel des SAP-Portfolios zeichnet der Beitrag die Szenarien nach.‣ weiterlesen

Um digitale Zwillinge produktiv einzusetzen, muss das Zusammenspiel der Informationen aus Engineering, Shopfloor und Topfloor rund laufen. Mit dem SAP-Portfolio lässt sich dieser Digital Thread spannen, wie neue Geschäftsmodelle des Prozesstechnikherstellers Endress+Hauser belegen.‣ weiterlesen

Auch 2022 werden sich die IT-Systeme von Unternehmen weiterentwickeln. Oliver Rozić, Vice President Product Engineering bei Sage, weiß wie und welche Trends dabei eine Rolle spielen könnten.‣ weiterlesen

Die Bamberger Docufy hat im März 2021 die Instandhaltungssoftware Maintenance Manager auf den Markt gebracht. Das System soll Anlagenbetreibern helfen, ihre Regelwartung mit Maschinendaten so zu verknüpfen, dass eine vorausschauende und zeitoptimierte Wartung möglich wird. Zudem kommen Firmen mit dem Computerized Maintenance Management System einen großen Schritt weiter in Richtung Predictive Maintenance.‣ weiterlesen

Im internationalen Vergleich belegt Deutschland bei der Digitalisierung keine Spitzenposition, sondern tendiert eher zum Mittelfeld. So zumindest legt es eine Studie des Ifo Instituts nahe. Demnach sei nicht nur die Politik, sondern auch die Unternehmen selbst gefragt.‣ weiterlesen

Gerade betagte Bestandsmaschinen lassen sich oft nur schwierig an IT-Systeme anbinden. Für eine tiefe Integration müsste häufig sogar deren Automatisierungstechnik getauscht werden, was dann aus Kostengründen unterbleibt. Doch Edge-Boxen können selbst älteren Maschinen eine Menge Daten für Optimierungsprojekte und die Mitarbeitervernetzung entlocken.‣ weiterlesen

Kontron Electronics hat mit Wirkung zum 1. Dezember den Geschäftsbetrieb des EMS-Dienstleisters Ultraschalltechnik Halle (UST) übernommen. Ziel der Übernahme ist es laut Pressemitteilung, die eigene Kompetenz im Bereich Entwicklung und Produktion auszubauen.‣ weiterlesen

Bauteilschwingungen, die bei vielen Fertigungsverfahren entstehen, führen oftmals dazu, dass die Oberfläche des Werkstücks beschädigt wird. Darüber hinaus sind sie ein Grund für erhöhten Werkzeugverschleiß. Das Fraunhofer-Institut für Produktionstechnologie IPT hat gemeinsam mit Industriepartnern einen digitalen Zwilling entwickelt, mit dem Bauteilschwingungen bei der Fräsbearbeitung vorhergesagt werden können.‣ weiterlesen

Jacqueline Fechner ist neue General-Managerin für die DACH-Region bei DXC Technology und soll künftig die Geschicke des IT-Dienstleisters in Deutschland, Österreich und der Schweiz verantworten.‣ weiterlesen

Ein Erfolgsfaktor für das Konzept des digitalen Zwillings ist, dass es sich entlang des gesamten Lebenszyklus eines Produkts anwenden lässt. Bevor mittelständische Unternehmen seinen individuellen Nutzen erschließen können, müssen sie einige praktische Herausforderungen lösen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige