Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

State of Software Security

Anwendungssicherheit in der Fertigungsindustrie

Die Zukunft ist digital. Doch sollte man im Rahmen des technologischen Fortschritts nicht die IT-Sicherheit aus den Augen verlieren. Der elfte State of Software Security (SoSS) Report zeigt, dass die Fertigungsindustrie im Vergleich zu anderen Branchen im Bereich der Anwendungssicherheit schlecht abschneidet. Julian Totzek-Hallhuber, Principal Solution Architect von Veracode, fasst die Ergebnisse zusammen.

 (Bild: ©dekdoyjaidee/stock.adobe.com)

(Bild: ©dekdoyjaidee/stock.adobe.com)

Im Fokus der SoSS stehen neben der Fertigungsindustrie die Finanzbranche, das Gesundheitswesen, Einzelhandel und Gastgewerbe, die Technologie-Branche und behördliche Einrichtungen. Für die Erhebung wurden rund 130.000 Anwendungen untersucht. Ein zentrales, branchenübergreifendes Ergebnis: IT-Teams beheben Sicherheitslücken mit unterschiedlicher Geschwindigkeit. Ausschlaggebend dafür ist das Entwicklerverhalten, das durch die gegebenen Eigenschaften der Entwicklungsumgebung (’Nature’) und die beeinflussbaren Faktoren bei der Entwicklung (’Nurture’) bestimmt wird. Aus der Veracode-Studie geht hervor, dass in der Fertigungsindustrie sowohl bei Aspekten der ’Nature’ als auch bei solchen der ’Nurture’ Luft nach oben ist. Die Lösung: DevSecOps-Praktiken.

Der Status Quo

Die Fertigungsindustrie verzeichnet im Bereich der Hochrisiko-Anwendungen Bestnoten in der Studie: Sie hat mit 21 Prozent aller gescannten Anwendungen den geringsten Anteil an risikohaften Sicherheitslücken im Vergleich zu den anderen untersuchten Branchen. In den restlichen Kategorien sieht das Ergebnis dagegen durchwachsen aus. So weisen 76 Prozent aller gescannten Anwendungen innerhalb der Fertigungsindustrie laut Studienergebnis mindestens eine Sicherheitslücke auf. Damit liegt die Branche im Vergleich auf einem unteren Rang, lediglich die Technologiebranche und behördliche Einrichtungen verzeichnen mehr Sicherheitslücken. Bei der Fehlerbehebungsrate und der Dauer, bis die Hälfte der Sicherheitslücken behoben wird, belegt die Fertigungsindustrie in der SoSS den mit Abstand letzten Platz. So verzeichnet die Branche lediglich eine 59 prozentige Fehlerbehebungsrate und die Dauer, bis die Hälfte der Sicherheitslücken behoben wird, liegt bei 297 Tagen.

Zum Vergleich: Auf dem fünften Platz liegen in beiden Kategorien die behördlichen Einrichtungen. Diese weisen eine 66 prozentige Fehlerhebungsrate auf und beheben die Hälfte der Sicherheitslücken innerhalb von 233 Tagen.

Um eine detailliertere Analyse der identifizierten Sicherheitslücken zu ermöglichen, teilt der SoSS diese in Kategorien ein. Im Vergleich werden in der Fertigungsindustrie kategorienübergreifend durchschnittlich gleich viele Sicherheitslücken gefunden wie in anderen Branchen. Die drei häufigsten Fehlerarten sind Datenlecks (57 Prozent), CLRF-Injections (51 Prozent) und die Qualität des Codes (49 Prozent). Dabei schneiden Anwendungen aus der Fertigungsindustrie bei der Qualität des Codes besser ab als der Durchschnitt (53 Prozent).

DevSecOps-Difizite beheben

Sowohl im Bereich der ’Nurture’-als auch im Bereich der ’Nature‘-Aspekte belegt die Fertigungsindustrie in der Studie die mittleren bis unteren Ränge. Im Hinblick auf die ’Nurture’-Elemente befindet sie sich in den Kategorien Scan-Frequenz und der API-Nutzung auf dem letzten Platz. Außerdem greifen Entwickler hier im Vergleich zu anderen Branchen wenig auf die Software-Composition-Analyse (SCA) und die dynamische Analyse (DAST) zurück, zusätzlich liegt eine geringe Scan-Kadenz vor. Bei Kategorien aus dem Bereich der ’Nature’ fällt auf, dass die Anwendungen im Durchschnitt von allen Branchen am größten sind und zusätzlich relativ alt. Dies schafft eine herausfordernde Umgebung für Entwickler, was zu einer längeren Bearbeitungszeit von Sicherheitslücken führt. Branchenübergreifende Analysen zeigen: Gehört ein Unternehmen der Fertigungsindustrie an, ist die Wahrscheinlichkeit höher, langsam bei der Behebung von Sicherheitslücken zu sein. Zusätzlich geht aus den Analysen hervor, welche Praktiken und Eigenschaften zu einer schnelleren Behebung von Sicherheitslücken führen können. Neben häufigen Sicherheitsscans führt auch DAST kombiniert mit statischen Analysen (SAST), SAST durch API, eine kontinuierliche Scan-Kadenz und SCA mit SAST zu einer schnelleren Fehlerbehebung. Auf Basis dieser Erkenntnisse kann es sich für Akteure aus der Fertigungsindustrie lohnen, die bestehenden Defizite bei DevSecOps-Praktiken zu beheben. Werden die Schwachstellen in den ’Nature’- und ’Nurture‘-Bereichen beseitigt, können Unternehmen aus der Fertigungsindustrie eine Entwicklungsumgebung schaffen, die die Entwickler und Anwendungssicherheit gleichermaßen unterstützt.


Das könnte Sie auch interessieren:

Im Werkzeugmanagement eröffnet das Kennzeichnen von Assets mit Data Matrix Codes die Möglichkeit, Werkzeuge zu tracken und mit ihren Lebenslaufdaten zu verheiraten.‣ weiterlesen

Google Cloud gab kürzlich die Einführung der beiden Lösungen Manufacturing Data Engine und Manufacturing Connect bekannt. Mit den Tools lassen sich Assets einer Fertigungsumgebung vernetzen, Daten verarbeiten und standardisieren.‣ weiterlesen

Virtuelle multicloudfähige Plattformen können in Fertigungsbetrieben das Fundament bilden, um IT-Infrastruktur und Betriebsabläufe zu modernisieren und effizient zu betreiben. Denn das nahtlose Zusammenspiel von Cloud-Anwendungen, Softwarebereitstellung sowie Remote Work lassen sich mit digitalen Plattformen vergleichsweise einfach und global orchestrieren.‣ weiterlesen

Wibu-Systems ist Anwendungspartner im Projekt KoMiK. Im Mai wurde das Projekt abgeschlossen und der Karlsruher Lizensierungsspezialist hat zusammen mit den Projektpartnern aus Wirtschaft und Wissenschaft Empfehlungen zur Auswahl eines digitalen Kooperationssystems erarbeitet, inklusive eines Screening-Tools.‣ weiterlesen

MES-Lösungen verfügen über unterschiedliche Erweiterungsmodule, etwa für das Qualitätsmanagement. Der Ausbau der Basisfunktionen sorgt jedoch oft für Aufwand. Eine Alternative versprechen Cloudlösungen.‣ weiterlesen

Bei ihrer digitalen Transformation adaptieren Fertigungsunternehmen Technologien wie künstliche Intelligenz, Machine Learning und digitale Zwillinge. Cloud Computung hilft, dafür erforderliche Kapazitäten skaliert bereitzustellen.‣ weiterlesen

Mit mehreren neuen Partnern erweitert der Softwareanbieter ZetVisions sein Partnerangebot. Unter anderem sollen Pikon und People Consolidated das Beratungsangebot des Heidelberger Unternehmens ergänzen.‣ weiterlesen

Viele Deep-Learning- und Machine-Vision-Anwendungen stellen hohe Ansprüche an die eingesetzten Industrie-Rechner. Für den Einsatz in diesem Umfeld hat Hardware-Spezialist Spectra die PowerBox 4000AC C621A ins Programm genommen.‣ weiterlesen

Mit Hybrid Cloud-Lösungen wollen Firmen die Vorteile des privaten und öffentlichen Cloud-Betriebs erschließen. Managed Cloud Service Provider sind darin geschult, Fallstricke bei der Cloud-Nutzung solcher Infrastrukturen zu bewältigen.‣ weiterlesen

Per Low-Code-Tool können Anwender Prozesskonfigurationen selbst umsetzen. Im MES-Bereich ist dieser Ansatz noch selten zu finden, doch einige Lösungen gibt es bereits.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige