State of Software Security

Anwendungssicherheit in der Fertigungsindustrie

Die Zukunft ist digital. Doch sollte man im Rahmen des technologischen Fortschritts nicht die IT-Sicherheit aus den Augen verlieren. Der elfte State of Software Security (SoSS) Report zeigt, dass die Fertigungsindustrie im Vergleich zu anderen Branchen im Bereich der Anwendungssicherheit schlecht abschneidet. Julian Totzek-Hallhuber, Principal Solution Architect von Veracode, fasst die Ergebnisse zusammen.

 (Bild: ©dekdoyjaidee/stock.adobe.com)
(Bild: ©dekdoyjaidee/stock.adobe.com)

Im Fokus der SoSS stehen neben der Fertigungsindustrie die Finanzbranche, das Gesundheitswesen, Einzelhandel und Gastgewerbe, die Technologie-Branche und behördliche Einrichtungen. Für die Erhebung wurden rund 130.000 Anwendungen untersucht. Ein zentrales, branchenübergreifendes Ergebnis: IT-Teams beheben Sicherheitslücken mit unterschiedlicher Geschwindigkeit. Ausschlaggebend dafür ist das Entwicklerverhalten, das durch die gegebenen Eigenschaften der Entwicklungsumgebung (’Nature’) und die beeinflussbaren Faktoren bei der Entwicklung (’Nurture’) bestimmt wird. Aus der Veracode-Studie geht hervor, dass in der Fertigungsindustrie sowohl bei Aspekten der ’Nature’ als auch bei solchen der ’Nurture’ Luft nach oben ist. Die Lösung: DevSecOps-Praktiken.

Der Status Quo

Die Fertigungsindustrie verzeichnet im Bereich der Hochrisiko-Anwendungen Bestnoten in der Studie: Sie hat mit 21 Prozent aller gescannten Anwendungen den geringsten Anteil an risikohaften Sicherheitslücken im Vergleich zu den anderen untersuchten Branchen. In den restlichen Kategorien sieht das Ergebnis dagegen durchwachsen aus. So weisen 76 Prozent aller gescannten Anwendungen innerhalb der Fertigungsindustrie laut Studienergebnis mindestens eine Sicherheitslücke auf. Damit liegt die Branche im Vergleich auf einem unteren Rang, lediglich die Technologiebranche und behördliche Einrichtungen verzeichnen mehr Sicherheitslücken. Bei der Fehlerbehebungsrate und der Dauer, bis die Hälfte der Sicherheitslücken behoben wird, belegt die Fertigungsindustrie in der SoSS den mit Abstand letzten Platz. So verzeichnet die Branche lediglich eine 59 prozentige Fehlerbehebungsrate und die Dauer, bis die Hälfte der Sicherheitslücken behoben wird, liegt bei 297 Tagen.

Zum Vergleich: Auf dem fünften Platz liegen in beiden Kategorien die behördlichen Einrichtungen. Diese weisen eine 66 prozentige Fehlerhebungsrate auf und beheben die Hälfte der Sicherheitslücken innerhalb von 233 Tagen.

Um eine detailliertere Analyse der identifizierten Sicherheitslücken zu ermöglichen, teilt der SoSS diese in Kategorien ein. Im Vergleich werden in der Fertigungsindustrie kategorienübergreifend durchschnittlich gleich viele Sicherheitslücken gefunden wie in anderen Branchen. Die drei häufigsten Fehlerarten sind Datenlecks (57 Prozent), CLRF-Injections (51 Prozent) und die Qualität des Codes (49 Prozent). Dabei schneiden Anwendungen aus der Fertigungsindustrie bei der Qualität des Codes besser ab als der Durchschnitt (53 Prozent).

DevSecOps-Difizite beheben

Sowohl im Bereich der ’Nurture’-als auch im Bereich der ’Nature‘-Aspekte belegt die Fertigungsindustrie in der Studie die mittleren bis unteren Ränge. Im Hinblick auf die ’Nurture’-Elemente befindet sie sich in den Kategorien Scan-Frequenz und der API-Nutzung auf dem letzten Platz. Außerdem greifen Entwickler hier im Vergleich zu anderen Branchen wenig auf die Software-Composition-Analyse (SCA) und die dynamische Analyse (DAST) zurück, zusätzlich liegt eine geringe Scan-Kadenz vor. Bei Kategorien aus dem Bereich der ’Nature’ fällt auf, dass die Anwendungen im Durchschnitt von allen Branchen am größten sind und zusätzlich relativ alt. Dies schafft eine herausfordernde Umgebung für Entwickler, was zu einer längeren Bearbeitungszeit von Sicherheitslücken führt. Branchenübergreifende Analysen zeigen: Gehört ein Unternehmen der Fertigungsindustrie an, ist die Wahrscheinlichkeit höher, langsam bei der Behebung von Sicherheitslücken zu sein. Zusätzlich geht aus den Analysen hervor, welche Praktiken und Eigenschaften zu einer schnelleren Behebung von Sicherheitslücken führen können. Neben häufigen Sicherheitsscans führt auch DAST kombiniert mit statischen Analysen (SAST), SAST durch API, eine kontinuierliche Scan-Kadenz und SCA mit SAST zu einer schnelleren Fehlerbehebung. Auf Basis dieser Erkenntnisse kann es sich für Akteure aus der Fertigungsindustrie lohnen, die bestehenden Defizite bei DevSecOps-Praktiken zu beheben. Werden die Schwachstellen in den ’Nature’- und ’Nurture‘-Bereichen beseitigt, können Unternehmen aus der Fertigungsindustrie eine Entwicklungsumgebung schaffen, die die Entwickler und Anwendungssicherheit gleichermaßen unterstützt.