40% der Software im Finanzsektor hat erhebliche Sicherheitsmängel: Schon der Code ist unsicher

Die Hälfte der Finanzunternehmen hat Anwendungen mit Sicherheitslücken und Schwachstellen von hohem Schweregrad, kritisiert Veracode in der aktuellen Studie “State of Software-Security Financial“. Besonders die “Softwaresicherheitsschulden im Finanzdienstleistungssektor” seien erschreckend. Sicherheitsschulden in Software, definiert als Fehler, die seit über einem Jahr nicht behoben wurden, finden sich in 76 Prozent der Unternehmen der Finanzbranche. Kritische Sicherheitslücken weisen 50 Prozent dieser Unternehmen auf.

Durchschnittlich betragen die Kosten pro Datenmissbrauch im Finanzsektor 6,08 Millionen Dollar¹. Laut einem Bericht des US-Finanzministeriums vom März 2024 setzen Bedrohungsakteure zunehmend KI-basierte Tools ein, um Software-Schwachstellen in beispielloser Geschwindigkeit zu identifizieren und auszunutzen. Der steigende Wettbewerb und die hohen Kundenerwartungen an die Benutzerfreundlichkeit verstärken zusätzlich den Innovationsdruck auf Unternehmen in der Finanzbranche und damit den Druck auf die Anwendungsentwicklung.

Unser neuester State of Software-Report deckt auf, wie wichtig es für Finanzinstitute ist, Schwachstellen in eigenem Code und in dem von Drittanbietern schnell und effektiv zu beheben. Unternehmen, die Schwachstellen länger als ein Jahr nicht beseitigen, sind anhaltenden und gefährlichen Bedrohungen ausgesetzt.“

Chris Wysopal, Chief Security Evangelist Veracode

Der Veracode-Report zeigt, dass 40 Prozent aller Anwendungen im Finanzsektor Sicherheitsmängel aufweisen, was sogar besser ist als der branchenübergreifende Durchschnitt von 42 Prozent. Allerdings sind nur 5,5 Prozent der Anwendungen im Finanzsektor frei von Schwachstellen, verglichen mit 5,9 Prozent in anderen Branchen.

Der Bericht unterstreicht auch die Notwendigkeit für Finanzdienstleister, Sicherheitsmängel sowohl im eigenen Code als auch im Code Dritter zu beheben.”

84 Prozent aller Sicherheitsmängel betreffen First-Party-Code, aber die Mehrheit (78,6 Prozent) dieser kritischen Sicherheitsmängel stammt aus Abhängigkeiten von Third-Party-Code. Dies betont die Relevanz der Initiativen der Agentur für Cybersicherheit und Infrastruktursicherheit, das Open-Source-Ökosystem durch ihre Open-Source-Software-Security-Roadmap und das Secure by Design-Pledge abzusichern.

Der Report untersucht zudem den Zeitraum, der für die Behebung von Schwachstellen im Finanzdienstleistungssektor benötigt wird. So beseitigen Finanzunternehmen die Hälfte der Schwachstellen in eigenem Code in neun Monaten, während es für Schwachstellen in Third-Party-Code von Drittanbietern 13 Monate dauert. 52 Prozent der Schwachstellen in Third-Party-Code werden zu Sicherheitsschulden, in eigenem Code sind dies 44 Prozent.

Die Bedeutung der Prioritätensetzung bei der Risikobeseitigung

Die Zunahme von Angriffen auf Lieferketten, die auf die Finanzdienstleistungsbranche abzielen, hat zu einer wachsenden Zahl von Cybersicherheitsvorschriften geführt, die sich verstärkt auf die Softwaresicherheit konzentrieren. Regelwerke wie ISO 20022, der Payment Card Industry Data Security Standard (PCI DSS), NIS2 und der Digital Operational Resilience Act (DORA) verlangen von Unternehmen, dass sie verhindern, dass Schwachstellen in Anwendungen implementiert werden oder verbleiben.

Das Risiko besteht, dass Finanzdienstleister aufgrund bestehender Sicherheitslücken und veralteter Abhilfestrategien die Vorschriften nicht einhalten können. Der Veracode-Report zeigt, dass Unternehmen dieses Risiko mindern können, indem sie den 3,3 Prozent der Schwachstellen mit kritischer Sicherheitsrelevanz hohe Priorität geben. Wenn die gefährlichsten Schwachstellen behoben sind, können Finanzinstitute je nach ihrer Risikotoleranz und ihren Fähigkeiten dann andere kritische Schwachstellen oder nicht-kritische Schwachstellen angehen.

Die Rolle des Application Security Posture Management

Die Priorisierung der Risiken spielt eine wichtige Rolle und der Bedarf für Application Security Posture Management (ASPM) steigt, um die Risiken durch die Erfassung, Aufdeckung und Analyse von Sicherheitsproblemen über den gesamten Softwareentwicklungszyklus hinweg kontinuierlich zu verfolgen. Die Application Risk Management Platform von Veracode gibt einen umfassenden, einheitlichen Überblick über die Risiken von Code und Anwendungen und versetzt Entwickler und Sicherheitsteams in die Lage, Probleme schnell zu beheben. Mit der KI-gestützten Lösung Veracode Fix können Teams proaktiv neue Schwachstellen verhindern und bestehende Sicherheitsrückstände effektiv abbauen. Die kontextbezogene Analyse der Plattform deckt Grundursachen auf und leitet die Entwickler zu den optimalen nächsten Schritten, die die Risikominderung mit minimalem Aufwand maximieren.

Wysopal ergänzt: „Es war für den Finanzdienstleistungssektor noch nie so wichtig wie heute, den sich entwickelnden Cybersecurity-Bedrohungen einen Schritt voraus zu sein, insbesondere angesichts der immer ausgefeilteren KI-gesteuerten Angriffe, die die Sicherheit ihrer Vermögenswerte bedrohen. Ich fordere Finanzinstitute auf, der rechtzeitigen Reduzierung von Sicherheitsschulden Priorität einzuräumen, indem sie KI-gestützte Abhilfe- und ASPM-Tools einführen, die Schwachstellen innerhalb von Sekunden erkennen, priorisieren und beheben können.“

Über die Studie

Für den „State of Software Security 2024“-Report von Veracode wurden Daten von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten analysiert. Die Untersuchung stützt sich auf mehr als eine Million (1.007.133) Anwendungen aller Scan-Typen, 1.553.022 dynamische Analyse-Scans und 11.429.365 statische Analyse-Scans. All diese Scans ergaben 96 Millionen statische Rohbefunde, 4 Millionen dynamische Rohbefunde und 12,2 Millionen Rohbefunde von Software-Composition-Analysen.

Die Studie „State of Software Security 2024“ kann hier kostenlos und ohne Adressangabe heruntergeladen werden.aj