Anwendungssicherheit

Sicherheitstests bei der Software-Entwicklung

| Redakteur: Peter Schmitz

In Deutschland hat die Vermeidung schädlicher Cyber-Attacken und Sicherheitslücken für 40 Prozent der Entwickler oberste Priorität.
In Deutschland hat die Vermeidung schädlicher Cyber-Attacken und Sicherheitslücken für 40 Prozent der Entwickler oberste Priorität. (Bild: Pixabay / CC0)

40 Prozent der Unternehmen setzen schon bei der Software-Entwicklung auf Sicherheitstests. Das ist ein Ergebnis einer aktuellen Umfrage von Veracode unter Entwicklern und IT-Führungskräften aus Deutschland, dem Vereinigten Königreich und den Vereinigten Staaten.

Die Studie von Veracode unterstreicht, wie wichtig es ist, im Zeitalter von DevOps ist, Entwickler bei Sicherheitsthemen mit einzubeziehen und, dass Anwendungssicherheit verstärkt in den Fokus von Unternehmen rückt. Es lässt sich klar ein Trend zu früheren und regelmäßigen Sicherheitstests während der Softwareentwicklung erkennen. Dennoch zeigt die Untersuchung auch, dass es noch immer Hürden gibt, die Entwicklungs- und IT-Sicherheitsteams überwinden müssen, um gemeinsam an sicherer Software zu arbeiten.

Frühere Tests und bessere Fehlererkennung

21 Prozent der Befragten gaben an, dass Sicherheitstests in ihrem Unternehmen schon in der Entwicklungsphase durchgeführt werden. Das hat handfeste Vorteile, denn Fehler, die bei Tests früh im Entwicklungsprozess gefunden werden, lassen sich mit dem geringsten Kostenaufwand fixen. 38,6 Prozent der Entwickler erklärten zudem, dass die Absicherung von Anwendungen gegen Cyber-Angriffe und Datenschutzverletzungen ganz oben auf ihrer Prioritätenliste steht. Das zeigt, welchen Stellenwert IT-Sicherheit inzwischen in Unternehmen hat. Traditionell lagen Sicherheitsthemen nämlich nicht im Fokus der Entwickler. So lässt sich auch der Trend zu immer früheren Sicherheitstests während der Entwicklung erklären.

Verbesserungen für die Zukunft

Trotz der gestiegenen Relevanz von Sicherheit im Entwicklungsprozess müssen die befragten Software-Entwickler oft mit IT-Sicherheitsprogrammen kämpfen, die ihre tägliche Arbeit beeinträchtigen. So monierten ganze 52 Prozent, dass Sicherheitstests von Anwendungen die Entwicklung verlangsamen und es für sie schwieriger machen, Deadlines einzuhalten. Außerdem gaben weniger als 25 Prozent der Befragten an, entscheidungsbefugt zu sein, was die Anwendungssicherheit angeht. Dieser Mangel an Verantwortlichkeit und die Auswirkungen auf Entwicklungs-Timelines sind ernsthafte Gefahren für die weitere Verbesserung von Anwendungssicherheit und ihre Einbeziehung in den Entwicklungsprozess.

“Sicherheitstests dürfen die Anwendungsentwicklung nicht behindern oder verlangsamen – vor allem nicht in der heutigen Zeit, in der die beständige Weiterentwicklung von Applikationen und neue Innovationen kritische Erfolgsfaktoren für Unternehmen sind“, erklärt Julian Totzek-Hallhuber, Solution Architect bei Veracode. “Die Branche hat jetzt, da DevOps zum Standard in der Software-Entwicklung wird, die Chance, auch Sicherheitsfragen direkt in den Entwicklungsprozess zu integrieren. Das ist der beste Weg, um zukünftig immer sichere Anwendungen bieten zu können.“

Angst vor Datenverlust, nicht vor Open Source

Die Studie zeigt auch, dass bei den Unternehmen eine große Furcht vor dem Verlust sensibler Daten herrscht. 52 Prozent der befragten Entwickler und Führungskräfte erklärten, große Furcht vor dem Verlust sensibler Daten zu haben. Darunter fallen neben Login-Daten auch Daten mit Bezug zur Privatsphäre, wie zum Beispiel Patientendaten in der Gesundheitsbranche. Fehlerhafte Authentifizierung und Session Management liegen mit 37 Prozent an zweiter Stelle.

Keine Angst haben die Unternehmen dagegen vor Open-Source Software. Veracodes kürzlich erschienener Bericht zum Status der Software Sicherheit (SOSS) zeigte, dass 97 Prozent aller Java-Anwendungen mindestens eine Komponente mit einer bekannten Sicherheitslücke besaßen. Dennoch ergibt die aktuelle Umfrage, dass nur 28 Prozent der Befragten der Ansicht waren, die Verwendung solcher Komponenten sei ein wichtiges Problem.

Prioritäten

In Deutschland und dem Vereinigten Königreich gaben 40 Prozent der Entwickler und 38 Prozent der Führungskräfte an, dass die Vermeidung schädlicher Cyber-Attacken und Sicherheitslücken für sie oberste Priorität habe. In den Vereinigten Staaten hingegen waren die Verhältnisse umgekehrt. Hier gaben dies 42 Prozent der Führungskräfte aber nur 34 Prozent der Entwickler selbst an. In Deutschland lag die Top-Priorität von 26 Prozent der Führungskräfte auf dem Einhalten von Budget- und Zeitplänen, in den Vereinigten Staaten haben allerdings nur 18 Prozent der Führungskräfte diesen Punkt auf ihrer Prioritätenliste. Für Entwickler und Führungskräfte in der Gesundheitsbranche war das Einhalten von Kunden- und regulatorischen Vorgaben die absolute Top-Priorität.

Methodik

Die Umfrage wurde im September 2016 im Auftrag von Veracode durchgeführt. Hierzu wurden durch eine unabhängiges Institut Entwickler und IT-Führungskräfte aus verschiedenen Branchen befragt. Der Schwerpunkt lag auf der Finanzbranche, Architektur- und Ingenieurbüros, dem Bildungsbereich, der Gesundheitsbranche und der herstellenden Industrie. Insgesamt wurden 351 Entwickler aus den Vereinigten Staaten, dem Vereinigten Königreich und Deutschland sowie 151 IT-Führungskräfte aus den drei Ländern befragt. Die Befragten kommen aus mittleren und großen Unternehmen mit mindestens 500 Beschäftigten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44454897 / Softwareentwicklung)