Home » News » Security Management » Studie: Öffentliche Organisationen in Sachen Softwaresicherheit im Rückstand

Studie: Öffentliche Organisationen in Sachen Softwaresicherheit im Rückstand

Eine aktuelle Studie verdeutlicht, dass öffentliche Organisationen im Vergleich zur Privatwirtschaft bei der Sicherheit ihrer Softwareanwendungen hinterherhinken. So weisen 82 Prozent der Softwareanwendungen im öffentlichen Sektor Sicherheitslücken auf. Dennoch schneiden öffentliche Organisationen in einigen Bereichen besser ab als private Unternehmen.

1 Min. Lesezeit
Auge im Software-Universum
Illustration of digital eye neon style on dark blue background, computer vision and hightech technology concept. 3D Rendering

Die Studie von Veracode mit dem Titel „State of Software Security Public Sector 2023 Report“ wurde vor dem Hintergrund weltweiter Bemühungen zur Verbesserung der Cybersicherheit durchgeführt, wie beispielsweise dem EU Cyber Resilience Act. Dieser zielt darauf ab, zusätzliche Mindestsicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen.

Die Daten der Studie, die in den letzten 12 Monaten erhoben wurden, zeigen, dass rund 82 Prozent der Softwareanwendungen im öffentlichen Sektor mindestens eine Sicherheitslücke aufweisen. Bei privaten Unternehmen liegt dieser Wert bei 74 Prozent. Je nach Art der Schwachstelle war die Wahrscheinlichkeit für Sicherheitslücken im öffentlichen Sektor um 7 bis 12 Prozent höher als bei privaten Unternehmen.

Chris Eng, Chief Research Officer bei Veracode, betonte die Notwendigkeit, diese Lücke zu schließen, um die öffentliche Sicherheit zu gewährleisten. Die Analyse von mehr als 27 Millionen Scans in 750.000 Anwendungen bildete die Grundlage für den Bericht von Veracode.

Schwerwiegende Sicherheitslücken sind im öffentlichen Sektor allerdings weniger häufig anzutreffen als in der Privatwirtschaft. Bei Schwachstellen mit „hohem Schweregrad“ liegt der Anteil im öffentlichen Sektor bei 16,5 Prozent, während er bei privaten Unternehmen bei 19 Prozent liegt. Diese Schwachstellen haben ein höheres Potenzial, das gesamte System zu beeinflussen, wenn sie ausgenutzt werden.

Die Verwendung von Sicherheitsscanning-Tools wie statische Anwendungssicherheitstests (SAST) und Softwarekompositionsanalysen (SCA) zeigte im öffentlichen Sektor eine geringere Anzahl von Mängeln im Vergleich zur Privatwirtschaft.

Der Bericht empfiehlt den Behörden vier Maßnahmen, um ihre Cybersicherheit zu verbessern: Das Beheben bekannter Fehler, regelmäßiges Scannen, Automatisierung von Tests und die Verwendung von dynamischen Scans (DAST).

Obwohl öffentliche Organisationen in der Sicherheit ihrer Anwendungen Fortschritte gemacht haben, besteht weiterhin Handlungsbedarf, um neue Bedrohungen abzuwehren. Durch regelmäßiges Scannen und die Beseitigung von Sicherheitslücken können signifikante Verbesserungen erzielt werden.

Die vollständige Studie von Veracode zum Stand der Softwaresicherheit im öffentlichen Sektor ist hier verfügbar und enthält wichtige Vergleichsdaten.

 

Andere interessante News

Rotes Ausrufezeichen vor dunklen Dateisymbolen

Neuer Threat Report analysiert die Rolle von ERP-Kompromittierung bei Ransomware

Ein aktueller Report belegt wachsendes cyberkriminelles Interesse an ERP-Schwachstellen und deren Ausnutzung für Ransomware-Attacken und Datenschutzverletzungen. Angeblich hat sich Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 Prozent erhöht.

Compliance-Regeln: Businessfrau arbeitet am Tablet

Wie die Blockchain die Compliance von DMS pusht

Wo der Schutz sensibler Informationen höchste Priorität hat, gewinnt die Integration von Blockchain-Technologie in Dokumentenmanagement-Systeme (DMS) an Bedeutung. Diese Entwicklung markiert einen Schritt hin zu sicherer und rechtskonformer Datenverwaltung.

Botnet

Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Sicherheitsforscher haben eine komplexe und langjährige Botnetz-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.