Mängel an Applikationen

Entwickler schludern bei der IT-Sicherheit

23.12.2010
Von 
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Weitere Artikel des Autors
Insgesamt 50 Prozent aller Attacken auf Web-Anwendungen basieren auf Cross-site-Scripting (XSS). Besonders anfällig für XSS-Angriffe sind .NET-basierte Applikationen.
Insgesamt 50 Prozent aller Attacken auf Web-Anwendungen basieren auf Cross-site-Scripting (XSS). Besonders anfällig für XSS-Angriffe sind .NET-basierte Applikationen.
Foto: Veracode

Ein interessantes Detail ist, dass Anwendungen für Finanzdienstleister nur halb so viele XSS-Lücken aufweisen wie Applikationen für BankenBanken und VersicherungenVersicherungen. Enterprise-Lösungen für Finanzdienstleister erzielen im Vergleich mit anderen Industrien das höchste Sicherheitsniveau beim ausgelieferten Roh-Code. Andererseits gibt es - bezogen auf ihre Kritikalität - erhebliche Defizite beim Risiko-Management dieser Anwendungen. Top-Firmen der Branche Banken Top-Firmen der Branche Versicherungen

41 Prozent der untersuchten Business-Anwendungen sind zudem offen für Angriffe, weil Geschäftsdaten entweder unverschlüsselt vorliegen oder völlig unzureichend verschlüsselt sind. Laut Bericht unterstreichen diese Zahlen, dass Entwickler eine bessere Ausbildung und besseres technisches Equipment brauchen.

Pfusch von Software-Lieferanten

Im Schnitt werden Programmierfehler, die zu Sicherheitslücken in Applikationen führen, innerhalb von 16 Tagen behoben.
Im Schnitt werden Programmierfehler, die zu Sicherheitslücken in Applikationen führen, innerhalb von 16 Tagen behoben.
Foto: Veracode

Unternehmen, die Anwendungen von einem externen Software-Lieferanten beziehen, müssen damit rechnen, dass die ausgelieferten Applikationen zu über 80 Prozent schwere Sicherheitslücken aufweisen. Das ist insofern von Bedeutung, weil der Anteil fremder Software-Codes im IT-Portfolio von Firmen inzwischen im Schnitt bei rund 30 Prozent liegt.

Besonders häufig, nämlich in 60 Prozent der Fälle, müssen entwickelte Cloud-Applikationen und Web-Anwendungen im Rahmen von Change Requests an die Lieferanten zurückgeschickt werden. Bei entsprechenden Lösungen von System-Integratoren oder von Software-Herstellern liegt die Quote bei jeweils rund 20 Prozent.

Positiv ist, dass Lieferanten die nach der ersten Auslieferung bei einer Anwendung festgestellten Sicherheitsmängel im Schnitt innerhalb von 16 Tagen reparieren und diese wieder an den Kunden ausliefern konnten.

Zur Startseite