Veracode-Studie zeigt: Automatisierung und Schulung sind die wichtigsten Treiber für Softwaresicherheit bei Finanzdienstleistern

• 72 % der Finanzdienstleistungsanwendungen enthalten Sicherheitslücken. 
• Durch API-gestütztes Scannen und interaktives Sicherheitstraining sinkt die Wahrscheinlichkeit, dass ein Fehler in Code eingeführt wird, auf 22 %.  
• Der Finance-Sektor schneidet unter allen Branchen laut dem Software-Security Report 2023 am besten ab.

Veracode, ein weltweit führender Anbieter von intelligenter Softwaresicherheit, veröffentlicht einen Studien-Report, der die Schlüsselfaktoren für die Einführung und Häufung von Sicherheitslücken im Finanzdienstleistungssektor aufzeigt. Anwendungen der Finanzbranche sind im Allgemeinen sicherer als in anderen Branchen. Automatisierung, gezielte Sicherheitsschulungen und Scans der Anwendungsprogrammierschnittstelle (API) tragen dazu bei, dass die Anzahl an Schwachstellen von Jahr zu Jahr geringer wird. 

Vor dem Hintergrund des Digital Operational Resilience Act (DORA) der EU, der sich auf den Finanzdienstleistungssektor auswirkt, gibt die Studie von Veracode Empfehlungen zur Reduzierung von Schwachstellen in Software. Obwohl fast 72 Prozent der Anwendungen im Finanzdienstleistungssektor Sicherheitslücken aufweisen, ist dies der niedrigste Wert aller untersuchten Branchen und eine Verbesserung gegenüber dem letzten Jahr.  

"Finanzdienstleister haben in der diesjährigen Analyse in allen Bereichen gute Ergebnisse erzielt", sagt Chris Eng, Chief Research Officer bei Veracode. "Der zunehmende Wettbewerb und die steigenden Kundenerwartungen in Verbindung mit strengeren Vorschriften in der gesamten Branche haben den Druck auf Entwickler und Sicherheitsteams erhöht, Schwachstellen in großem Umfang zu finden und zu beheben. KI und maschinelles Lernen haben das Tempo der Softwareentwicklung auf ein neues Niveau gehoben, was allerdings zu einer übermäßigen Verbreitung von Fehlern führt. Die Branche hat gute Arbeit geleistet, um hier ihre Leistung zu steigern, aber es gibt immer noch Verbesserungspotenzial. Finanzunternehmen würden von einer stärkeren Automatisierung und sicheren Codierungstechniken profitieren, die ihnen helfen, Schwachstellen schneller als je zuvor zu verhindern bzw. zu erkennen und darauf zu reagieren." 

API-Scans und Schulungen verringern die Wahrscheinlichkeit, Schwachstellen einzuführen 

Die Untersuchung von Veracode hat ergeben, dass Finanzdienstleister im Vergleich zum branchenübergreifenden Durchschnitt stärker vom Scannen über APIs und von Sicherheitsschulungen profitieren. Scannen über API ist ein Maß für die Reife eines Software-Sicherheitsprogramms. Unternehmen, die die API-Nutzung integrieren, verfügen über eine größere Automatisierung und Kontrolle ihrer Entwicklungspipeline. Finanzinstitute, die das Scannen über APIs nutzen, codieren pro Monat sogar 11 Prozent weniger Schwachstellen als der Durchschnitt aller Unternehmen anderer Branchen. Wenn zusätzliche Sicherheitsschulungen durchgeführt werden, sinkt die Wahrscheinlichkeit der Einführung von Schwachstellen um 19 Prozent pro Monat.  

Die Auswirkungen von API-Scanning und von Sicherheitsschulungen auf die Anzahl codierter Schwachstellen sind sogar noch ausgeprägter. Wenn Sicherheits-Teams bei Finanzinstituten 10 interaktive Sicherheitsschulungsmodule absolvierten, wurden 26 Prozent weniger Schwachstellen im Code gefunden. Damit liegt die Leistung der Branche deutlich über dem Durchschnitt aller Branchen. Auch der Start von Scans über eine API hatte einen stärkeren Einfluss auf die Anzahl der Schwachstellen, die in Anwendungen der Finanzbranche enthalten sind, als in anderen Branchen. 

"Die Daten zeigen, dass Finanzdienstleistungsunternehmen erheblich von der Automatisierung durch die Nutzung von APIs profitieren", so Eng. "Automatisierung ist für viele Unternehmen ein erstrebenswertes Ziel. Wir sehen, dass der Start von Scans über APIs mit einer geringeren Wahrscheinlichkeit korreliert, dass Fehler in Code eingeschleust werden. Die Anzahl der Mängel, die ihren Weg in Software finden, wird reduziert. Es überrascht nicht, dass auch Schulungen in direktem Zusammenhang mit einer geringeren Einschleusung von Fehlern stehen." 

Die Power von KI und maschinellem Lernen 

Der State of Software Security Report analysierte außerdem die Präferenz für Programmiersprachen nach Branchen. Java ist demnach mit 51 Prozent fast ein De-facto-Standard im Finanzdienstleistungssektor. Veracode Fix, ein KI-gestütztes Hilfs-Tool, das Anfang des Jahres auf den Markt kam, nutzt maschinelles Lernen, um Korrekturen für 74 Prozent der statischen Java-Sicherheitslücken zu generieren. Durch die drastische Verringerung des Zeit- und Arbeitsaufwands sind Unternehmen dazu fähig, ihre Sicherheitslage zu verbessern und ihr Risiko weiter zu senken. So werden Kapazitäten für Innovationen und neue Entwicklungen frei. Da Java-Anwendungen zu mehr als 95 Prozent aus dem Code von Drittanbietern bestehen, zeigen die Daten aus der Studie von Veracode außerdem die Vorteile der Software Composition Analyse für die Finanzbranche, um die Sicherheit und Integrität von Open-Source-Code zu verbessern. 

Der Veracode State of Software Security Financial Services Report mit allen Details und Empfehlungen steht auf der Veracode-Website zum Download bereit.  

Über den State of Software Security Report   
Die 13. Ausgabe des jährlichen State of Software Security Reports von Veracode untersucht die Trends der Softwarelandschaft und wie sich Sicherheitspraktiken entlang dieser Trends entwickeln. Die diesjährigen Ergebnisse basieren auf historischen Daten von Veracode und seiner Kunden. Sie repräsentieren einen Querschnitt von Anwendungen großer und kleiner Unternehmen, kommerzieller Softwareanbieter, Software-Outsourcer und von Open-Source-Projekten. Der Bericht enthält Erkenntnisse über Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die cloudbasierte Plattform von Veracode unterzogen wurden.