State of Software Security

Anwendungssicherheit in der Fertigungsindustrie

Die Zukunft ist digital. Doch sollte man im Rahmen des technologischen Fortschritts nicht die IT-Sicherheit aus den Augen verlieren. Der elfte State of Software Security (SoSS) Report zeigt, dass die Fertigungsindustrie im Vergleich zu anderen Branchen im Bereich der Anwendungssicherheit schlecht abschneidet. Julian Totzek-Hallhuber, Principal Solution Architect von Veracode, fasst die Ergebnisse zusammen.

(Bild: ©dekdoyjaidee/stock.adobe.com)

Im Fokus der SoSS stehen neben der Fertigungsindustrie die Finanzbranche, das Gesundheitswesen, Einzelhandel und Gastgewerbe, die Technologie-Branche und behördliche Einrichtungen. Für die Erhebung wurden rund 130.000 Anwendungen untersucht. Ein zentrales, branchenübergreifendes Ergebnis: IT-Teams beheben Sicherheitslücken mit unterschiedlicher Geschwindigkeit. Ausschlaggebend dafür ist das Entwicklerverhalten, das durch die gegebenen Eigenschaften der Entwicklungsumgebung (’Nature’) und die beeinflussbaren Faktoren bei der Entwicklung (’Nurture’) bestimmt wird. Aus der Veracode-Studie geht hervor, dass in der Fertigungsindustrie sowohl bei Aspekten der ’Nature’ als auch bei solchen der ’Nurture’ Luft nach oben ist. Die Lösung: DevSecOps-Praktiken.

Der Status Quo

Die Fertigungsindustrie verzeichnet im Bereich der Hochrisiko-Anwendungen Bestnoten in der Studie: Sie hat mit 21 Prozent aller gescannten Anwendungen den geringsten Anteil an risikohaften Sicherheitslücken im Vergleich zu den anderen untersuchten Branchen. In den restlichen Kategorien sieht das Ergebnis dagegen durchwachsen aus. So weisen 76 Prozent aller gescannten Anwendungen innerhalb der Fertigungsindustrie laut Studienergebnis mindestens eine Sicherheitslücke auf. Damit liegt die Branche im Vergleich auf einem unteren Rang, lediglich die Technologiebranche und behördliche Einrichtungen verzeichnen mehr Sicherheitslücken. Bei der Fehlerbehebungsrate und der Dauer, bis die Hälfte der Sicherheitslücken behoben wird, belegt die Fertigungsindustrie in der SoSS den mit Abstand letzten Platz. So verzeichnet die Branche lediglich eine 59 prozentige Fehlerbehebungsrate und die Dauer, bis die Hälfte der Sicherheitslücken behoben wird, liegt bei 297 Tagen.

Zum Vergleich: Auf dem fünften Platz liegen in beiden Kategorien die behördlichen Einrichtungen. Diese weisen eine 66 prozentige Fehlerhebungsrate auf und beheben die Hälfte der Sicherheitslücken innerhalb von 233 Tagen.

Um eine detailliertere Analyse der identifizierten Sicherheitslücken zu ermöglichen, teilt der SoSS diese in Kategorien ein. Im Vergleich werden in der Fertigungsindustrie kategorienübergreifend durchschnittlich gleich viele Sicherheitslücken gefunden wie in anderen Branchen. Die drei häufigsten Fehlerarten sind Datenlecks (57 Prozent), CLRF-Injections (51 Prozent) und die Qualität des Codes (49 Prozent). Dabei schneiden Anwendungen aus der Fertigungsindustrie bei der Qualität des Codes besser ab als der Durchschnitt (53 Prozent).

DevSecOps-Difizite beheben

Sowohl im Bereich der ’Nurture’-als auch im Bereich der ’Nature‘-Aspekte belegt die Fertigungsindustrie in der Studie die mittleren bis unteren Ränge. Im Hinblick auf die ’Nurture’-Elemente befindet sie sich in den Kategorien Scan-Frequenz und der API-Nutzung auf dem letzten Platz. Außerdem greifen Entwickler hier im Vergleich zu anderen Branchen wenig auf die Software-Composition-Analyse (SCA) und die dynamische Analyse (DAST) zurück, zusätzlich liegt eine geringe Scan-Kadenz vor. Bei Kategorien aus dem Bereich der ’Nature’ fällt auf, dass die Anwendungen im Durchschnitt von allen Branchen am größten sind und zusätzlich relativ alt. Dies schafft eine herausfordernde Umgebung für Entwickler, was zu einer längeren Bearbeitungszeit von Sicherheitslücken führt. Branchenübergreifende Analysen zeigen: Gehört ein Unternehmen der Fertigungsindustrie an, ist die Wahrscheinlichkeit höher, langsam bei der Behebung von Sicherheitslücken zu sein. Zusätzlich geht aus den Analysen hervor, welche Praktiken und Eigenschaften zu einer schnelleren Behebung von Sicherheitslücken führen können. Neben häufigen Sicherheitsscans führt auch DAST kombiniert mit statischen Analysen (SAST), SAST durch API, eine kontinuierliche Scan-Kadenz und SCA mit SAST zu einer schnelleren Fehlerbehebung. Auf Basis dieser Erkenntnisse kann es sich für Akteure aus der Fertigungsindustrie lohnen, die bestehenden Defizite bei DevSecOps-Praktiken zu beheben. Werden die Schwachstellen in den ’Nature’- und ’Nurture‘-Bereichen beseitigt, können Unternehmen aus der Fertigungsindustrie eine Entwicklungsumgebung schaffen, die die Entwickler und Anwendungssicherheit gleichermaßen unterstützt.

Das könnte Sie auch interessieren:

Neuer Vorstand
Wechsel an der Spitze bei DMG Mori

Christian Thönes, Vorstandsvorsitzender bei DMG Mori, hat am Donnerstag sein Amt niedergelegt. Sein Vertrag wurde im Rahmen einer Aufsichtsratssitzung einvernehmlich beendet. Alfred Geißler wurde vom Aufsichtsrat zum Nachfolger bestellt.‣ weiterlesen

40 Jahre Microsoft in Deutschland
Microsoft feiert Geburtstag und eröffnet Experience Center

Microsoft feiert 40. Geburtstag in Deutschland und eröffnet ein europäisches Experience Center in München. Es ist eines von vier Experience Centern weltweit.‣ weiterlesen

Neues Whitepaper der Plattform Lernende Systeme
Wo bleiben die europäischen KI-Sprachmodelle?

Expertinnen und Experten der Plattform Lernende Systeme beleuchten in einem neuen Whitepaper, wie es um die Entwicklung europäischer bzw. deutscher KI-Sprachmodelle bestellt ist.‣ weiterlesen

Ifo Geschäftsklimaindex im Mai
Skeptischer Blick auf den Sommer

Nach 93,4 Punkten im Vormonat, fällt der Ifo Geschäftsklimaindex im Mai auf 91,7 Punkte – der erste Rückgang in sechs Montanen. ‣ weiterlesen

Neuer Sonderforschungsbereich am KIT
Schnellere Updates für Cyber-physikalische Systeme

Cyber-physikalische Systeme (CPS), wie etwa Autos oder Produktionsanlagen, stecken voller elektronischer und mechanischer Komponenten, die von Software gesteuert werden. Jedoch ist es eine Herausforderung, die Systemarchitekturen solcher Systeme fortwährend konsistent zu halten. Neue Methoden dafür soll ein Sonderforschungsbereich (SFB) am Karlsruher Institut für Technologie (KIT) entwickeln.‣ weiterlesen

Transport und Logistik
G+D erweitert IoT-Portfolio mit Erwerb von Mecomo

Mit der Akquisition der Pod Group hat G+D bereits 2021 sein Portfolio im IoT-Bereich erweitert. Durch den Erwerb von Mecomo geht das Unternehmen nun einen weiteren Schritt in Richtung IoT-Komplettanbieter im Transport- und Logistikbereich.‣ weiterlesen

17. Produktionstechnisches Kolloquium
PTK diskutiert Herausforderungen für die Industrie

Im September laden Fraunhofer IPK und IWF der TU Berlin zum Produktionstechnischen Kolloquium. Im Fokus der Veranstaltung stehen Digitalisierung und Dekarbonisierung der Industrie. ‣ weiterlesen

Datenanalyse
Qlik übernimmt Talend

Mit der Übernahme von Talend will das Softwareunternehmen Qlik das eigene Portfolio erweitern. Die Leitung des neuen Unternehmens übernimmt Qlik-CEO Mike Capone.

‣ weiterlesen

Webbasiertes Anfragemanagement
Kundenanfragen schneller bearbeiten

Die Grimme-Gruppe produziert individuell konfigurierte Landmaschinen. Was für den Wettbewerb Vorteile bringt, ist allerdings mit großem Aufwand verbunden - so verwaltete Grimme Kundenanfragen lange über ein Excel-Tool. Mit dem Softwareanbieter Slashwhy zusammen wurde dies durch ein webbasiertes Anfragemanagement-Programm abgelöst.‣ weiterlesen

Mit Moryx modulare Fertigungsanlagen steuern
Linie ohne Stau

Die Software Moryx hilft der Fertigungssteuerung, Maschinen schnell auf einen neuen Kurs zu bringen oder sie für den nächsten Auftrag anzupassen. Mit seinen einheitlichen Bedienoberflächen und seiner niedrigen Einstiegshürde ist das Tool von Phoenix Contact insbesondere auf den Einsatz in Fertigungen mit der Losgröße 1 ausgerichtet.‣ weiterlesen

Gartner-Umfrage
CEOs sehen KI als wichtigste disruptive Technologie

Eine Umfrage von Gartner unter CEOs und leitenden Angestellten hat ergeben, dass künstliche Intelligenz (KI) die Top-Technologie ist, von der die Befragten glauben, dass sie ihre Branche in den nächsten drei Jahren erheblich beeinflussen wird. 21 Prozent der Studienteilnehmer geben dies an.‣ weiterlesen