{"id":279510,"date":"2023-04-10T09:52:51","date_gmt":"2023-04-10T07:52:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279510"},"modified":"2023-04-10T09:55:13","modified_gmt":"2023-04-10T07:55:13","slug":"die-software-lieferkette-des-ffentlichen-sektors-weist-erhebliche-sicherheitslcken-auf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/10\/die-software-lieferkette-des-ffentlichen-sektors-weist-erhebliche-sicherheitslcken-auf\/","title":{"rendered":"Die Software-Lieferkette des öffentlichen Sektors weist erhebliche Sicherheitslücken auf"},"content":{"rendered":"

\"SicherheitEs ist erschreckend, was Veracode bereits vor l\u00e4ngerem herausgefunden hat. In 82 Prozent der Softwareanwendungen, die im \u00f6ffentlichen Sektor zum Einsatz kommen, wurden Sicherheitsl\u00fccken nachgewiesen.<\/em> Analysen mit Application Security Testing (AST) zeigen, dass der \u00f6ffentliche Sektor im Vergleich zu anderen Branchen den h\u00f6chsten Anteil an Sicherheitsl\u00fccken in seinen Anwendungen aufweist. Zudem verzeichnet er auch die niedrigsten und langsamsten Behebungsraten.<\/p>\n

<\/p>\n

Das ist das Resultat einer Datenanalyse von 20 Millionen Scans aus einer halben Million Anwendungen, die bereits 2022 im State of Software Security<\/a> Report<\/u> (SoSS) von Veracode ver\u00f6ffentlicht wurden. Dazu erkl\u00e4rt Chris Eng, Chief Research Officer bei Veracode:<\/p>\n

\n

Politische Entscheidungstr\u00e4ger und F\u00fchrungskr\u00e4fte im \u00f6ffentlichen Sektor sind sich bewusst, dass staatliche Anwendungen aufgrund von veralteten Technologien und gro\u00dfen Mengen an sensiblen Daten f\u00fcr Akteure mit b\u00f6swilligen Absichten ein bevorzugtes Ziel sind. Deshalb arbeitet das Wei\u00dfe Haus gemeinsam mit dem U.S.-Kongress an einer Aktualisierung der Vorschriften f\u00fcr Cybersecurity Compliance. Im Zuge der Executive Order aus Mai 2021 zur Verbesserung der nationalen Cybersicherheit und zum Schutz von Regierungsnetzwerken haben das U.S. Office of Management and Budget, das Verteidigungsministerium sowie das Wei\u00dfe Haus vier Memos herausgegeben, die sich mit der Notwendigkeit befassen, Zero-Trust-Cybersecurity-Prinzipien zu \u00fcbernehmen und die Sicherheit der Software-Lieferkette zu verbessern. Unsere Studie best\u00e4tigt diese Notwendigkeit.<\/p>\n<\/blockquote>\n

Wir sind jetzt zwei Jahre weiter – aber so richtig viel hat sich meinen  Beobachtungen nach nicht getan. Die Sicherheitsvorf\u00e4lle h\u00e4ufen sich und die politisch Verantwortlichen geben dann die Devise \"waren ausgebuffte und sehr erfahrene Angreifer mit hoher krimineller Energie – da kann man nichts machen, das kann doch jedem passieren\" aus, selbst wenn gravierende Sicherheitsm\u00e4gel vorliegen. <\/p>\n

Schneller mehr Schwachstellen beheben<\/h2>\n

In der Analyse von Veracode weist der \u00f6ffentliche Sektor im Vergleich zu anderen Branchen mit 82 Prozent den h\u00f6chsten Anteil an Anwendungen mit Sicherheitsl\u00fccken auf. Und auch bei der Behebung von Schwachstellen, nachdem diese entdeckt wurden, sind Organisationen des \u00f6ffentlichen Sektors im Durchschnitt am langsamsten \u2013 sie ben\u00f6tigen ungef\u00e4hr doppelt so lange wie Organisationen in anderen Branchen. <\/p>\n

Dar\u00fcber hinaus ergab die Untersuchung, dass 60 Prozent der Schwachstellen in Bibliotheken von Drittanbietern auch nach zwei Jahren noch nicht behoben sind. Dieser Wert ist doppelt so hoch wie in anderen Sektoren und liegt mehr als 15 Monate \u00fcber dem branchen\u00fcbergreifenden Durchschnitt. Schlie\u00dflich steht der \u00f6ffentliche Sektor mit einer Behebungsrate von insgesamt nur 22 Prozent vor der Herausforderung, daf\u00fcr zu sorgen, dass Angriffe auf die Software-Lieferkette nicht wichtige staatliche und kommunale Anwendungen sowie Anwendungen aus dem Bildungssektor beeintr\u00e4chtigen. <\/p>\n

Chris Eng, Chief Research Officer bei Veracode schreibt: \"Organisationen in diesem Sektor m\u00fcssen dringend handeln. Sie k\u00f6nnen ihre sicheren DevOps-Praktiken erheblich verbessern, indem sie verschiedene Arten von Scans \u2013 statische, dynamische und Software Composition Analysis \u2013 einsetzen. Dadurch erhalten sie ein vollst\u00e4ndigeres Bild der Sicherheit einer Anwendung. Dies hilft ihnen wiederum, die Behebungszeiten zu reduzieren, Branchenvorschriften einzuhalten und ihre Budgets f\u00fcr die Anwendungssicherheit zu erh\u00f6hen.\" <\/p>\n

Schwerwiegende Sicherheitsl\u00fccken haben Vorrang<\/h2>\n<\/p>\n

Es gibt aber auch einen positiven Trend: der \u00f6ffentliche Sektor schneidet bei der Behebung schwerwiegender Schwachstellen gut ab. Regierungsbeh\u00f6rden haben hierbei gro\u00dfe Fortschritte gemacht, wie die Untersuchung zeigt, auch wenn schwerwiegende Schwachstellen nur in 16 Prozent der Anwendungen auftreten. Tats\u00e4chlich ist die Zahl der schwerwiegenden Schwachstellen allein im vergangenen Jahr um 30 Prozent zur\u00fcckgegangen. Dies deutet darauf hin, dass die Entwickler im \u00f6ffentlichen Sektor zunehmend realisieren, wie wichtig es ist, die Schwachstellen zu priorisieren, die die gr\u00f6\u00dften Risiken darstellen. <\/p>\n

Diese Fortschritte seien laut Veracode ermutigend und spiegeln m\u00f6glicherweise das wachsende Verst\u00e4ndnis f\u00fcr neue Software-Sicherheitsrichtlinien wider, wie sie zum Beispiel in der U.S. Executive Order zur Cybersecurity und der U.K. Government Cyber Security Strategy 2022 \u2013 2030 zu finden sind. <\/p>\n

Eng erg\u00e4nzt: \"In dem Bewusstsein, dass die Zeit dr\u00e4ngt, fangen die Verantwortlichen im \u00f6ffentlichen Sektor an, Timelines zu erstellen. So hat etwa die US-Amerikanerin Shalanda Young, Direktorin der US-Bundesbeh\u00f6rde f\u00fcr Verwaltung und Haushaltswesen, die Strategie 'Moving the US Government Toward Zero Trust Cybersecurity Principles' mit einer Frist bis zum 30. September 2024 versehen. Bis dahin m\u00fcssen alle US-Bundesbeh\u00f6rden bestimmte Cybersicherheitsstandards erf\u00fcllen. Wir glauben, dass die Fortschritte bei der Behebung von schwerwiegenden Sicherheitsm\u00e4ngeln daf\u00fcr ein guter Ausgangspunkt ist und unterst\u00fctzen alle Beh\u00f6rden, die eine bessere Kontrolle \u00fcber ihre Software-Lieferkette anstreben.\" <\/p>\n

Die vollst\u00e4ndige Analyse zum \u00f6ffentlichen Sektor im Rahmen des State of Software Security Report von Veracode ist hier<\/a> verf\u00fcgbar und bietet zentrale Vergleichsdaten zwischen Regierungsbeh\u00f6rden. Hier<\/a> ist zudem ein Video verf\u00fcgbar. Der State of Software Security v12 steht hier<\/a> zum Download bereit.<\/p>\n","protected":false},"excerpt":{"rendered":"

Es ist erschreckend, was Veracode bereits vor l\u00e4ngerem herausgefunden hat. In 82 Prozent der Softwareanwendungen, die im \u00f6ffentlichen Sektor zum Einsatz kommen, wurden Sicherheitsl\u00fccken nachgewiesen. Analysen mit Application Security Testing (AST) zeigen, dass der \u00f6ffentliche Sektor im Vergleich zu anderen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-279510","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=279510"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279510\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=279510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=279510"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=279510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}