{"id":2294,"date":"2025-03-12T12:57:36","date_gmt":"2025-03-12T12:57:36","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2294"},"modified":"2025-03-12T12:57:36","modified_gmt":"2025-03-12T12:57:36","slug":"unternehmen-ertrinken-in-software-schwachstellen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2294","title":{"rendered":"Unternehmen ertrinken in Software-Schwachstellen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?quality=50&strip=all 12500w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Die durchschnittliche Behebungszeit f\u00fcr Sicherheitsl\u00fccken ist in den vergangenen f\u00fcnf Jahren deutlich gestiegen. \n

afry_harvy \u2013 Shutterstock.com<\/p>\n<\/div>\n

Laut dem aktuellen State of Software Security Report<\/a> von Veracode ist die durchschnittliche Behebungszeit f\u00fcr Sicherheitsl\u00fccken in den vergangenen f\u00fcnf Jahren von 171 auf 252 Tage gestiegen.<\/p>\n

Dar\u00fcber hinaus weist die H\u00e4lfte (50 Prozent) der Unternehmen inzwischen eine risikoreiche \u201cSicherheitsschuld\u201d auf, die l\u00e4nger als ein Jahr bestehen bleibt. Obwohl das Ergebnis f\u00fcr 2025 nur geringf\u00fcgig \u00fcber dem Wert (46 Prozent) des vergangenen Jahres liegt, zeichnet sich dadurch ein besorgniserregender Trend ab. Die Studienergebnisse deuten darauf hin, dass die Zahl der Organisationen mit Sicherheitsr\u00fcckst\u00e4nden um fast zehn Prozent gestiegen ist.<\/p>\n

Laut Chris Wysopal, Mitbegr\u00fcnder und Chief Security Evangelist bei Veracode, ist der Zeitaufwand zur Behebung von Software-Fehlern im Laufe der Jahre \u00a0zunehmend gestiegen. \u201eDaf\u00fcr gibt es viele Gr\u00fcnde. Der st\u00e4ndig wachsende Umfang und die Komplexit\u00e4t des Software-\u00d6kosystems sind ein Kernproblem\u201c, erkl\u00e4rt er gegen\u00fcber CSO.<\/p>\n

\u201eUnternehmen haben mittlerweile mehr Anwendungen und weitaus mehr Code, den sie im Auge behalten m\u00fcssen. Dies wird nur noch zunehmen, wenn mehr Teams KI f\u00fcr die Code-Generierung einsetzen. Ein Problem, das durch die potenziellen Sicherheitsauswirkungen von KI-generiertem Code<\/a> auf interne Software und Abh\u00e4ngigkeiten von Drittanbietern noch versch\u00e4rft wird\u201c, erg\u00e4nzt der Security-Experte.<\/p>\n

Risikominderung und Sicherheitsreife<\/strong><\/h2>\n

Die Studie zeigt deutliche Unterschiede in der Art und Weise auf, wie Organisationen mit Sicherheitsm\u00e4ngeln umgehen. Laut Veracode gibt es f\u00fcnf Schl\u00fcsselkennzahlen, um den Sicherheitsreifegrad zu messen und die F\u00e4higkeit einer Organisation zur systematischen Risikominderung zu verbessern:<\/p>\n

Fehlerh\u00e4ufigkeit:<\/strong> F\u00fchrende Organisationen weisen in weniger als 43 Prozent der Anwendungen Fehler auf, w\u00e4hrend r\u00fcckst\u00e4ndige Organisationen mehr als 86 Prozent aufweisen.<\/p>\n

Fehlerbehebungskapazit\u00e4t:<\/strong> F\u00fchrende Unternehmen beheben monatlich \u00fcber zehn Prozent der Fehler, w\u00e4hrend Nachz\u00fcgler weniger als ein Prozent beheben.<\/p>\n

Fehlerbehebungsgeschwindigkeit:<\/strong> Spitzenreiter beheben die H\u00e4lfte der Fehler in f\u00fcnf Wochen, w\u00e4hrend leistungsschw\u00e4chere Unternehmen l\u00e4nger als ein Jahr daf\u00fcr brauchen.<\/p>\n

Sicherheitsschulden:<\/strong> Weniger als 17 Prozent der Anwendungen in f\u00fchrenden Unternehmen weisen Sicherheitsschulden auf, verglichen mit mehr als 67 Prozent in nachhinkenden Unternehmen.<\/p>\n

Open-Source-Schulden:<\/strong> F\u00fchrende Organisationen halten kritische Open-Source-Schulden unter 15 Prozent, w\u00e4hrend in r\u00fcckst\u00e4ndigen Organisationen 100 Prozent der kritischen Schulden Open Source sind.<\/p>\n

Um die Sicherheitsreife zu erh\u00f6hen, empfehlen die Analysten die Sichtbarkeit und Integration \u00fcber den gesamten Softwareentwicklungslebenszyklus hinweg zu verbessern. Zudem k\u00f6nnte der Einsatz von Automatisierung und Feedbackschleifen neue Sicherheitsl\u00fccken vermeiden. Veracode argumentiert weiter, dass Organisationen der Korrelation und Kontextualisierung von Sicherheitsergebnissen in einer einzigen Ansicht Priorit\u00e4t einr\u00e4umen sollten.<\/p>\n

\u201eDie meisten Unternehmen haben nur eine bruchst\u00fcckhafte Sicht auf die Softwarefehler und -risiken in ihren Anwendungen\u201c, stellt Wysopal fest. \u201eDie ausufernden Toolsets erzeugen eine \u201aAlarmm\u00fcdigkeit\u2018. Gleichzeitig entstehen Datensilos, die interpretiert werden m\u00fcssen, um Entscheidungen zu treffen\u201c, f\u00fcgt er hinzu. Um den Sicherheitsr\u00fcckstand zu beheben, r\u00e4t der Security-Spezialist dazu, die Behebung von Fehlern auf der Grundlage des Risikos zu priorisieren.<\/p>\n

Risiken in der Lieferkette<\/strong><\/h2>\n

Speziell zu Open-Source-Sicherheitsl\u00fccken hat der App-Security-Anbieter Black Duck<\/a> 965 kommerziellen Codebasen aus 16 Branchen analysiert. Demnach enthielten 86 Prozent der kommerziellen Codebasen Open-Source-Software-Schwachstellen. 81 Prozent der L\u00fccken wiesen ein hohes oder kritisches Risiko auf.<\/p>\n

Dabei wurden acht der zehn gr\u00f6\u00dften Schwachstellen mit hohem Risiko in jQuery, einer weit verbreiteten JavaScript-Bibliothek, entdeckt. Die am h\u00e4ufigsten gefundene Schwachstelle mit hohem Risiko war CVE-2020-11023<\/a>, eine XSS-Schwachstelle, die veraltete Versionen von jQuery betrifft. Die L\u00fccke ist immer noch in einem Drittel der gescannten Codebasen vorhanden.<\/p>\n

\u201eDas Risiko f\u00fcr die Lieferkette, das von Schwachstellen ausgeht, die von Drittanbieter- und Open-Source-Code herr\u00fchren, kann durch kontinuierliches Scannen des Codes w\u00e4hrend des gesamten Softwareentwicklungslebenszyklus gemindert werden\u201c, betonen die Veracode-Spezialisten. \u201eUnternehmen sollten ihre Abl\u00e4ufe modernisieren, um sicherzustellen, dass das Aktualisieren, Testen und Bereitstellen einer neuen Version einer benutzerdefinierten Anwendung so effizient wie m\u00f6glich ist.\u201c<\/p>\n

Wysopal erl\u00e4utert dazu: \u201eDie Software-Kompositionsanalyse (SCA<\/a>) erreicht dies, indem sie die Risiken von Drittanbieter- und Open-Source-Softwarekomponenten durch einen automatisierten Prozess erkennt und verwaltet. Sie generiert Software-St\u00fccklisten (SBOM<\/a>), scannt nach Schwachstellen, bewertet Risiken und bietet Anleitungen zur Fehlerbehebung.\u201c<\/p>\n

Lesetipp: Wie Sie Ihre Software-Supply-Chain sch\u00fctzen<\/a><\/p>\n

Security-Schulden reduzieren<\/strong><\/h2>\n

Veracode zufolge sorgt die Beseitigung von Sicherheitsl\u00fccken und die Nutzung bew\u00e4hrter Verfahren daf\u00fcr, dass Unternehmen ihre Widerstandsf\u00e4higkeit verbessern, Risiken reduzieren und die sich weiterentwickelnden Vorschriften zur Cybersicherheit einhalten k\u00f6nnen. Der Spezialist f\u00fcr Anwendungssicherheit bietet eine \u00dcbersicht \u00fcber Faktoren, die bei der Entwicklung einer effektiven Strategie zur Reduzierung von Sicherheitsl\u00fccken helfen:<\/p>\n

Automatisiertes Testen:<\/strong> Integrieren Sie SAST, DAST, SCA und andere automatisierte Test-Frameworks in CI\/CD, um Fehler fr\u00fchzeitig zu erkennen.<\/p>\n

Risikobasierte Richtlinien:<\/strong> Konzentrieren Sie sich auf leicht ausnutzbare, schwerwiegende Fehler und setzen Sie strenge \u201eNo-Ship\u201c-Standards durch.<\/p>\n

Bef\u00e4higte Entwickler:<\/strong> Schulungen anbieten, Sicherheitsbeauftragte ernennen und Sicherheitsaufgaben wie normale Entwicklungsaufgaben behandeln.<\/p>\n

Eine Kultur der Rechenschaftspflicht:<\/strong> Schwachstellen und funktionale Fehler nachverfolgen und sie beheben, sobald sie auftreten.<\/p>\n

Open-Source-\u00dcberwachung:<\/strong> F\u00fchren Sie ein klares Inventar der Bibliotheken, aktualisieren Sie sie regelm\u00e4\u00dfig und automatisieren Sie die Pr\u00fcfungen.<\/p>\n

Disziplin:<\/strong> Ressourcen helfen zwar, aber eine koh\u00e4rente Strategie und starke Prozesse sind wichtiger. Selbst kleinere Teams, die gut aufeinander abgestimmt und diszipliniert sind, \u00fcbertreffen oft gr\u00f6\u00dfere Teams mit schw\u00e4cherem Fokus. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?quality=50&strip=all 12500w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/03\/shutterstock_2555209523.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Die durchschnittliche Behebungszeit f\u00fcr Sicherheitsl\u00fccken ist in den vergangenen f\u00fcnf Jahren deutlich gestiegen. afry_harvy \u2013 Shutterstock.com Laut dem aktuellen State of Software Security Report von Veracode ist die […]<\/p>\n","protected":false},"author":0,"featured_media":2295,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2294","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2294"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2294"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2294\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2295"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}