Studie: Öffentliche Organisationen in Sachen Softwaresicherheit im Rückstand
Eine aktuelle Studie verdeutlicht, dass öffentliche Organisationen im Vergleich zur Privatwirtschaft bei der Sicherheit ihrer Softwareanwendungen hinterherhinken. So weisen 82 Prozent der Softwareanwendungen im öffentlichen Sektor Sicherheitslücken auf. Dennoch schneiden öffentliche Organisationen in einigen Bereichen besser ab als private Unternehmen.
Die Studie von Veracode mit dem Titel „State of Software Security Public Sector 2023 Report“ wurde vor dem Hintergrund weltweiter Bemühungen zur Verbesserung der Cybersicherheit durchgeführt, wie beispielsweise dem EU Cyber Resilience Act. Dieser zielt darauf ab, zusätzliche Mindestsicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen.
Die Daten der Studie, die in den letzten 12 Monaten erhoben wurden, zeigen, dass rund 82 Prozent der Softwareanwendungen im öffentlichen Sektor mindestens eine Sicherheitslücke aufweisen. Bei privaten Unternehmen liegt dieser Wert bei 74 Prozent. Je nach Art der Schwachstelle war die Wahrscheinlichkeit für Sicherheitslücken im öffentlichen Sektor um 7 bis 12 Prozent höher als bei privaten Unternehmen.
Chris Eng, Chief Research Officer bei Veracode, betonte die Notwendigkeit, diese Lücke zu schließen, um die öffentliche Sicherheit zu gewährleisten. Die Analyse von mehr als 27 Millionen Scans in 750.000 Anwendungen bildete die Grundlage für den Bericht von Veracode.
Schwerwiegende Sicherheitslücken sind im öffentlichen Sektor allerdings weniger häufig anzutreffen als in der Privatwirtschaft. Bei Schwachstellen mit „hohem Schweregrad“ liegt der Anteil im öffentlichen Sektor bei 16,5 Prozent, während er bei privaten Unternehmen bei 19 Prozent liegt. Diese Schwachstellen haben ein höheres Potenzial, das gesamte System zu beeinflussen, wenn sie ausgenutzt werden.
Die Verwendung von Sicherheitsscanning-Tools wie statische Anwendungssicherheitstests (SAST) und Softwarekompositionsanalysen (SCA) zeigte im öffentlichen Sektor eine geringere Anzahl von Mängeln im Vergleich zur Privatwirtschaft.
Der Bericht empfiehlt den Behörden vier Maßnahmen, um ihre Cybersicherheit zu verbessern: Das Beheben bekannter Fehler, regelmäßiges Scannen, Automatisierung von Tests und die Verwendung von dynamischen Scans (DAST).
Obwohl öffentliche Organisationen in der Sicherheit ihrer Anwendungen Fortschritte gemacht haben, besteht weiterhin Handlungsbedarf, um neue Bedrohungen abzuwehren. Durch regelmäßiges Scannen und die Beseitigung von Sicherheitslücken können signifikante Verbesserungen erzielt werden.
Die vollständige Studie von Veracode zum Stand der Softwaresicherheit im öffentlichen Sektor ist hier verfügbar und enthält wichtige Vergleichsdaten.