Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf

• Fast 20 % der Anwendungen weisen "hochgradige" Schwachstellen auf.
• Die Software-Sicherheit in der EMEA-Region hinkt hinter anderen Regionen her.
• EMEA-Organisationen sind einem erhöhten Risiko durch Schwachstellen in Drittanbieter- und KI-generiertem Code ausgesetzt.

Veracode, ein weltweiter Anbieter von intelligenter Softwaresicherheit, veröffentlicht heute seine Studie „State of Software Security (SoSS)-Report EMEA“.  Die Ergebnisse im Report zeigen, dass Anwendungen, die von Organisationen in Europa, dem mittleren Osten und Afrika entwickelt werden, tendenziell mehr Sicherheitslücken enthalten als ihre Pendants aus US-amerikanischer Entwicklung. Unter allen Regionen weist die EMEA-Region auch den höchsten Prozentsatz an Schwachstellen mit hohem Schweregrad auf. Das bedeutet, dass bei Ausnutzung einer Schwachstelle ein kritisches Problem in der jeweiligen Anwendung entstehen könnte. Denn eine hohe Anzahl von Fehlern und Schwachstellen in Software-Code korreliert mit einem erhöhten Sicherheitsrisiko. Es ist also nicht verwunderlich, dass Cyberangriffe auf die Software-Lieferkette im Jahr 2023 die Schlagzeilen beherrschen.

Die Marktforscher fanden heraus, dass knapp über 80 Prozent der von EMEA-Organisationen entwickelten Anwendungen bei ihrer letzten Überprüfung innerhalb von 12 Monaten mindestens eine Sicherheitslücke aufwiesen. In den USA war das bei 73 Prozent der Organisationen der Fall. Darüber hinaus war der Prozentsatz der Anwendungen, die Schwachstellen mit hohem Schweregrad enthielten, mit fast 20 Prozent in EMEA der höchste von allen Regionen weltweit.

"Unsere Daten zeigen, dass Unternehmen weltweit eine hohe Anzahl von Anwendungen mit vielen der Top 25 CWE-Schwachstellen (Common Weakness Enumeration) einsetzen", so Chris Eng, Chief Research Officer bei Veracode. "Wir haben jedoch interessante regionale Unterschiede festgestellt, insbesondere in Bezug auf die Verwendung von Drittanbieter- oder Open-Source-Code und die Art und Weise, wie Schwachstellen über den gesamten Lebenszyklus einer Anwendung hinweg eingeführt werden", so Eng weiter.

Die Analyse von Daten aus mehr als 27 Millionen Scans von 750.000 Anwendungen bilden die Basis des „State of Software Security (SoSS)-Report“ von Veracode über den Status der Software-Sicherheit. Der aktuelle Bericht zeigt die EMEA-spezifischen Ergebnisse für 2023 für Großbritannien, Deutschland, Frankreich, Italien sowie den Nahen Osten und Afrika.

Doch Zahlen allein zeigen nicht, welche Folgen die Ausnutzung von Software-Schwachstellen durch Hacker haben kann. Da Unternehmen in der gesamten EMEA-Region eine immer komplexere Mischung aus Software von Drittanbietern nutzen, kann die Ausnutzung einer schwerwiegenden Sicherheitslücke Tausende von Opfern gleichzeitig treffen. Zu Beginn dieses Jahres wurde eine Schwachstelle in den Drucksoftware-Tools PaperCut MF und PaperCut NG von Hackern aktiv ausgenutzt. Bis zu 70.000 Organisationen in 200 Ländern wurden zu potenziellen Opfern. Strafverfolgungsbehörden zufolge gelang es Bedrohungsakteuren, damit Einrichtungen im Bildungssektor zu kompromittieren.

Java und Code von Drittanbietern bergen erhebliche Sicherheitslücken

Die Studie ergab bemerkenswerte regionale Unterschiede hinsichtlich der bevorzugten Programmiersprache. Java stellte sich als die bevorzugte Sprache für Entwickler in EMEA heraus. Außerdem zeigte die Studie: Teams, die Java verwenden, beheben Schwachstellen langsamer als Entwickler, die .NET oder JavaScript verwenden. Das führt dazu, dass viele Schwachstellen fortbestehen oder wesentlich länger unentdeckt bleiben, da Java-Anwendungen zu mehr als 95 Prozent aus Drittanbieter- oder Open-Source-Code bestehen. Damit ist die Java-Nutzung ein Schlüsselfaktor für den höheren Prozentsatz von Schwachstellen in Anwendungen in der EMEA-Region. Deswegen ist die Software Composition Analysis (SCA), die Schwachstellen in Open-Source-Code aufspürt, so wichtig. Die Studie zeigt auch, dass der Anteil der durch SCA gemeldeten Schwachstellen in EMEA höher ist als in anderen Regionen.

Da generative KI in der Softwareentwicklung immer mehr an Bedeutung gewinnt, steigt das Risiko von Schwachstellen aus externen Quellen. Eine Studie, die 2022 auf der Black Hat vorgestellt wurde, zeigte Schwachstellen in 40 Prozent des Codes, der von generativer KI geschrieben wurde, die auf riesigen, nicht aufbereiteten Datenmengen, inklusive Milllionen von öffentlichen GitHub Repositories, trainiert worden war. Daher ist es von entscheidender Bedeutung, dass Unternehmen SCA-Tools einsetzen, um Schwachstellen zu finden und zu beheben. So können Entwickler von den Vorteilen von KI profitieren, ohne die Sicherheit der Anwendungen zu gefährden.

Anwendungen werden mit der Zeit immer anfälliger

Neue Schwachstellen im Code treten in EMEA über den gesamten Lebenszyklus von Anwendungen hinweg in weitaus höherem Maße auf als in anderen Regionen. Zwar halten Unternehmen in der EMEA-Region ihre Anwendungen auf dem neuesten Stand, aber es wird weniger auf die Qualität geachtet. So weißen nach einem Zeitraum von fünf Jahren 50 Prozent der Anwendungen in der EMEA-Region nach wie vor neue Fehler auf. Weltweit ist das im Vergleich nur bei rund 30 Prozent so. Insgesamt liegt die Wahrscheinlichkeit, dass in einem bestimmten Monat eine Schwachstelle auftritt, bei 27 Prozent.

Für Unternehmen in der EMEA-Region wäre es daher von Vorteil, dem letzten Teil des Anwendungslebenszyklus mehr Aufmerksamkeit zu schenken und Anwendungen regelmäßiger zu scannen. Außerdem sollten sie der Sicherheitsschulung von Entwicklern Vorrang einräumen. Denn die Studie zeigt: Die Wahrscheinlichkeit, dass eine Schwachstelle auftritt, sinkt durch die Teilnahme an 10 interaktiven Sicherheitsübungen von 27 Prozent auf etwa 25 Prozent.

"Der diesjährige SoSS-Report verdeutlicht, wie wichtig es ist, das Thema Sicherheit über den gesamten Software-Lebenszyklus hinweg im Auge zu behalten. Vor allem die Betrachtung der Risiken von Drittanbieter- und KI-generiertem Code spielt dabei eine bedeutende Rolle", so Eng weiter. "Weltweit stellen wir immer noch eine besorgniserregende Anzahl von Schwachstellen fest – und in der EMEA-Region sind sie bei fast allen Erhebungen höher. Entwicklungsteams in EMEA sollten die Softwaresicherheit mit regelmäßigen Scans automatisieren und den Einsatz von KI-Tools sorgfältig prüfen, sowohl um die Sicherheit zu erhöhen als auch die Entwickler zu entlasten".

Der Veracode State of Software Security EMEA 2023 empfiehlt Software-Entwicklungsteams vier Maßnahmen, um die Cybersicherheit zu verbessern. Er steht hier zum Download bereit.

Der globale Veracode State of Software Security Bericht 2023 steht hier zum Download bereit. 

Über den State of Software Security Report 

Die 13. Ausgabe des jährlichen State of Software Security Reports von Veracode untersucht historische Trends, die die Softwarelandschaft prägen und wie sich die Sicherheitspraktiken mit diesen Trends weiterentwickeln. Die diesjährigen Ergebnisse basieren auf den vollständigen historischen Daten, die von den Veracode und seinen Kunden zur Verfügung stehen, und repräsentieren einen Querschnitt großer und kleiner Unternehmen, kommerzieller Softwareanbieter, Software-Outsourcer und Open-Source-Projekte. Der Bericht enthält Erkenntnisse über Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die cloudbasierte Plattform von Veracode unterzogen wurden.