Es ist erschreckend, was Veracode bereits vor längerem herausgefunden hat. In 82 Prozent der Softwareanwendungen, die im öffentlichen Sektor zum Einsatz kommen, wurden Sicherheitslücken nachgewiesen. Analysen mit Application Security Testing (AST) zeigen, dass der öffentliche Sektor im Vergleich zu anderen Branchen den höchsten Anteil an Sicherheitslücken in seinen Anwendungen aufweist. Zudem verzeichnet er auch die niedrigsten und langsamsten Behebungsraten.
Anzeige
Das ist das Resultat einer Datenanalyse von 20 Millionen Scans aus einer halben Million Anwendungen, die bereits 2022 im State of Software Security Report (SoSS) von Veracode veröffentlicht wurden. Dazu erklärt Chris Eng, Chief Research Officer bei Veracode:
Politische Entscheidungsträger und Führungskräfte im öffentlichen Sektor sind sich bewusst, dass staatliche Anwendungen aufgrund von veralteten Technologien und großen Mengen an sensiblen Daten für Akteure mit böswilligen Absichten ein bevorzugtes Ziel sind. Deshalb arbeitet das Weiße Haus gemeinsam mit dem U.S.-Kongress an einer Aktualisierung der Vorschriften für Cybersecurity Compliance. Im Zuge der Executive Order aus Mai 2021 zur Verbesserung der nationalen Cybersicherheit und zum Schutz von Regierungsnetzwerken haben das U.S. Office of Management and Budget, das Verteidigungsministerium sowie das Weiße Haus vier Memos herausgegeben, die sich mit der Notwendigkeit befassen, Zero-Trust-Cybersecurity-Prinzipien zu übernehmen und die Sicherheit der Software-Lieferkette zu verbessern. Unsere Studie bestätigt diese Notwendigkeit.
Wir sind jetzt zwei Jahre weiter – aber so richtig viel hat sich meinen Beobachtungen nach nicht getan. Die Sicherheitsvorfälle häufen sich und die politisch Verantwortlichen geben dann die Devise "waren ausgebuffte und sehr erfahrene Angreifer mit hoher krimineller Energie – da kann man nichts machen, das kann doch jedem passieren" aus, selbst wenn gravierende Sicherheitsmägel vorliegen.
Schneller mehr Schwachstellen beheben
In der Analyse von Veracode weist der öffentliche Sektor im Vergleich zu anderen Branchen mit 82 Prozent den höchsten Anteil an Anwendungen mit Sicherheitslücken auf. Und auch bei der Behebung von Schwachstellen, nachdem diese entdeckt wurden, sind Organisationen des öffentlichen Sektors im Durchschnitt am langsamsten – sie benötigen ungefähr doppelt so lange wie Organisationen in anderen Branchen.
Darüber hinaus ergab die Untersuchung, dass 60 Prozent der Schwachstellen in Bibliotheken von Drittanbietern auch nach zwei Jahren noch nicht behoben sind. Dieser Wert ist doppelt so hoch wie in anderen Sektoren und liegt mehr als 15 Monate über dem branchenübergreifenden Durchschnitt. Schließlich steht der öffentliche Sektor mit einer Behebungsrate von insgesamt nur 22 Prozent vor der Herausforderung, dafür zu sorgen, dass Angriffe auf die Software-Lieferkette nicht wichtige staatliche und kommunale Anwendungen sowie Anwendungen aus dem Bildungssektor beeinträchtigen.
Chris Eng, Chief Research Officer bei Veracode schreibt: "Organisationen in diesem Sektor müssen dringend handeln. Sie können ihre sicheren DevOps-Praktiken erheblich verbessern, indem sie verschiedene Arten von Scans – statische, dynamische und Software Composition Analysis – einsetzen. Dadurch erhalten sie ein vollständigeres Bild der Sicherheit einer Anwendung. Dies hilft ihnen wiederum, die Behebungszeiten zu reduzieren, Branchenvorschriften einzuhalten und ihre Budgets für die Anwendungssicherheit zu erhöhen."
Schwerwiegende Sicherheitslücken haben Vorrang
Es gibt aber auch einen positiven Trend: der öffentliche Sektor schneidet bei der Behebung schwerwiegender Schwachstellen gut ab. Regierungsbehörden haben hierbei große Fortschritte gemacht, wie die Untersuchung zeigt, auch wenn schwerwiegende Schwachstellen nur in 16 Prozent der Anwendungen auftreten. Tatsächlich ist die Zahl der schwerwiegenden Schwachstellen allein im vergangenen Jahr um 30 Prozent zurückgegangen. Dies deutet darauf hin, dass die Entwickler im öffentlichen Sektor zunehmend realisieren, wie wichtig es ist, die Schwachstellen zu priorisieren, die die größten Risiken darstellen.
Diese Fortschritte seien laut Veracode ermutigend und spiegeln möglicherweise das wachsende Verständnis für neue Software-Sicherheitsrichtlinien wider, wie sie zum Beispiel in der U.S. Executive Order zur Cybersecurity und der U.K. Government Cyber Security Strategy 2022 – 2030 zu finden sind.
Anzeige
Eng ergänzt: "In dem Bewusstsein, dass die Zeit drängt, fangen die Verantwortlichen im öffentlichen Sektor an, Timelines zu erstellen. So hat etwa die US-Amerikanerin Shalanda Young, Direktorin der US-Bundesbehörde für Verwaltung und Haushaltswesen, die Strategie 'Moving the US Government Toward Zero Trust Cybersecurity Principles' mit einer Frist bis zum 30. September 2024 versehen. Bis dahin müssen alle US-Bundesbehörden bestimmte Cybersicherheitsstandards erfüllen. Wir glauben, dass die Fortschritte bei der Behebung von schwerwiegenden Sicherheitsmängeln dafür ein guter Ausgangspunkt ist und unterstützen alle Behörden, die eine bessere Kontrolle über ihre Software-Lieferkette anstreben."
Die vollständige Analyse zum öffentlichen Sektor im Rahmen des State of Software Security Report von Veracode ist hier verfügbar und bietet zentrale Vergleichsdaten zwischen Regierungsbehörden. Hier ist zudem ein Video verfügbar. Der State of Software Security v12 steht hier zum Download bereit.
2015
Diese Fachanwendungen sind in der Tat ein riesen Problem. Ich sehe das auch bei uns, keine Behörde, aber wir bekommen von einigen Softwarehäusern diverse Software für interne Prozesse, teils wird auch inhouse entwickelt, und man beobachtet immer wieder sicherheitstechnisches Nogo wie zum Beispiel veraltete Softwarekomponenten, Bibliotheken usw. Besonders beliebt sind zum Beispiel mitgelieferte veraltete portable Java-JDK, Phython, Chromium-Engines und alles mögliche, obwohl man das auch regulär in neuester Version sauber administrieren und aktualisieren könnte, dann wird Code per NPM eingebunden, den man nicht geprüft hat, man weiß nicht was da noch mit eingebunden wird, usw. Dann wird das Zeugs ins Userprofil gekippt und soll von da ausgeführt werden, was dann das nächste Loch in Applocker reißt.
Kann es sein, dass fehlende oder zumindest seltenere (gravierende) Konsequenzen für die Verantwortlichen im öffentlichen Sektor ebenfalls eine Rolle spielen?
Das ist aber nur eine Hypothese und Frage, das ist keine Unterstellung oder Behauptung!
Hallo,
ich denke da kommt vieles zusammen.
Fehlendes Wissen, Ignoranz und mangelnde klare Verantwortungen fallen mir da sofort ein.
Natürlich, der eigene Arbeitsplatz (egal welche Ebene) ist NIE in Gefahr.
Schau dir mal den verlinkten Report an. Es wurden auch mit Gesundheit, "Technologie", "Finanz". "Herstellung" verglichen.
Em, diese Untersuchung wurde nur in den USA gemacht und nicht bei allen Behörden weltweit, auch der Deutschen?
Lacht, als wenn es bei uns Deutschen anders wäre. Es ist nicht anders, siehe die Meldungen der letzten Wochen hier im Blog.
Es funktioniert doch alles… bis zur kommenden Cyberattacke.
Das Problem ist leider auch oft fehlendes Budget. Wenn es Teils schon an den wichtigsten Werkzeugen fehlt und jeder Cent umgedreht wird, dann hat oft Funktionalität Vorrang vor Security.
Welche Folgen ein Ransomwareangriff auf eine Kommunalverwaltung hat, wird schnell deutlich. Die Tagesschau berichtet im Beitrag Ein Weckruf für die Kommunen über die Folgen eines Angriffs auf die IT des Rhein-Pfalz-Kreises (siehe mein Beitrag Cyberangriffe: Kreisverwaltung des Rhein-Pfalz-Kreises; 75 Schulen in Oberbayern; DPA vom Oktober 2022). Deren IT ist frühestens im Sommer 2023 wieder voll einsatzfähig.
Aktuell findet die Nationale Konferenz für Cyber-Sicherheit in Potsdam statt (auch die hatten ihren IT-Sicherheitsvorfall). "Die größte Bedrohungslage für unsere Wirtschaft ist Ransomware", sagt BSI_Bund-Vizepräsident Dr. Gerhard Schabhüser. Vor allem Kommunen seien häufig betroffen und daher besonders zu schützen. Die Sensibilisierung von Mitarbeitenden allein reiche jedoch nicht. Die Tagesschau berichtet in diesem Artikel zum Thema.