Suchen

Schwachstellen in Webanwendungen häufen sich Verzicht auf sichere Software-Entwicklung

| Redakteur: Stephan Augsten

Obwohl Firmen zunehmend über Schwachstellen in selbst entwickelten Webanwendungen klagen, setzen sie keine Techniken zur sicheren Anwendungsentwicklung ein. Darüber berichtet Coverity, ein Anbieter von Testumgebungen für die Softwareentwicklung, im „Software Security Risk Report“.

Firma zum Thema

Viele Unternehmen verzichten während der Webanwendungs-Entwicklung auf Tests und Justierungen.
Viele Unternehmen verzichten während der Webanwendungs-Entwicklung auf Tests und Justierungen.

Coverity hat bei Forrester Consulting eine Studie mit den Schwerpunkten Anwendungssicherheit und Software-Testing in Auftrag gegeben. An der Befragung nahmen 240 IT-Entscheider aus europäischen und nordamerikanischen Unternehmen teil, die sich mit der Entwicklung von Webanwendungen befassen.

Laut dem Bericht finden sich nicht nur immer mehr Sicherheitslücken in Webapplikationen, sie verursachen auch zunehmende Kosten: Gut die Hälfte der Befragten entdeckte in den vergangenen 18 Monaten mindestens eine Web-Application-Schwachstelle. Dabei schätzten 18 Prozent ihre Einbußen auf über 500.000 US-Dollar, weitere acht Prozent veranschlagten sogar über eine Million. In zwei Fällen belief sich der Verlust gar auf über zehn Millionen US-Dollar.

Ein Großteil der Studienteilnehmer räumte ein, noch keine sicheren Programmiertechniken einzusetzen. Als Gründe hierfür nannten sie den zunehmenden Zeitdruck, eine Anwendung zur Marktreife zu bringen (Time to Market) sowie geringe Budgets und fehlende Lösungen für die Entwickler.

In nur 42 Prozent der Fälle sorgen Codierungs-Richtlinien für mehr Sicherheit, weniger als ein Drittel (28 Prozent) der Entwicklungsabteilungen dokumentiert erlaubte und verbotene Funktionen in einer Bibliothek. Gerade einmal ein gutes Viertel setzt Bedrohungsmodelle im Rahmen der Entwicklung ein.

Mangelnde Software-Tests

Besonders alarmierend ist laut Coverity, dass nur 17 Prozent der Befragten die Webanwendungen während der Entwicklung testen. Mehr als die Hälfte der Teilnehmer verzichtet darauf, den geschriebenen Code vor Start der Integrationstests auf Fehler und Schwachstellen zu überprüfen.

„Anwendungssicherheit beginnt und endet mit der Entwicklung. Entwickler sollten deshalb Teil der Lösung sein“, kommentiert Jennifer Johnson, Vice President Marketing bei Coverity. Sicherheit müsse fest in den Entwicklungsprozess eingebunden werden – und zwar mit Technologien und Prozessen, die die Entwickler verstehen und anwenden können,

Die Studie The Software Security Risk Report steht auf der Coverity-Website zum Download bereit. Weitere Informationen zur sicheren Anwendungsentwicklung finden sich auch im Coverity Security Blog.

(ID:35641280)