Der erfolgreiche Hacker-Angriff auf das IT-Netz des Deutschen Bundestags ist kein Einzelfall. Staatliche Organisationen erfüllen mit ihren Web- und mobilen Anwendungen deutlich seltener Standard-Sicherheitsrichtlinien als andere Branchen.
So lautet zumindest das Fazit eines Berichts zum Zustand der Softwaresicherheit 2015 (“State of Software Security”) von Veracode, eines Anbieters von Web-und mobilen Anwendungen.Als Basis des Berichts wurden innerhalb von 18 Monaten über 200.000 Anwendungen aus sieben Branchen ausgewertet.
Demnach beheben staatliche Organisationen nur 27 Prozent aller Schwachstellen in Anwendungen, wenn sie diese erkannt haben – und liegen damit an letzter Stelle der analysierten Märkten. Dabei weisen die von der Öffentlichen Hand verwendeten Anwendungen offenbar das höchste Maß an Schwachstellen für SQL-Injections auf – ein beliebter Angriffspunkt für den unerlaubten Zugriff auf sensiblen Daten.
Daneben lähmt besonders das Festhalten an veraltete Programmiersprachen wie zum Beispiel ColdFusion die IT-Sicherheit der Öffentlichen Hand. Drei von vier untersuchten Anwendungen im Einsatz waren nicht mehr auf den Stand der Dinge (nicht mit der als Branchenstandard geltenden Top Ten der OWASP konform).
Auch das extrem Datenschutz-bedürftige Gesundheitswesen schneidet vergleichsweise schlecht ab: über 80 Prozent der Anwendungen im Gesundheitswesen weisen laut Studie Verschlüsselungsprobleme wie zum Beispiel schwache Algorithmen auf. Nicht einmal die Hälfte (43 Prozent) der bekannten Schwachstellen wird in dieser Branche behoben.
Deutlich besser scheiden im Vergleich die Finanzdienstleister und die Fertigungsindustrie ab: Sie agieren häufig schon, bevor ein Angriff stattfindet und beheben den Großteil ihrer Schwachstellen (65 beziehungsweise 81 Prozent).
Laut Veracode verringern Coaching-Services zur Mängelbeseitigung das Risiko auf der Anwendungsebene. On-Demand-Services, die von Sicherheits- und Entwicklungsexperten bereitgestellt werden, sollen Entwicklern dabei helfen, sichere Praktiken zu verstehen sowie Schwachstellen schneller und effizienter zu beseitigen.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Öffentliche Hand hinkt bei IT-Sicherheit hinterher