Studie über die Sicherheit bei Entwicklung von Webapplikationen

von Andreas Hackl | 0 | 993 Aufrufe

Anzeige Hier werben

Der US-amerikanische Entwickler Coverity hat eine Studie veröffentlicht, die behauptet, dass Webentwickler ihre Applikationen in der Regel nur mangelhaft auf Sicherheit testen. Das Marktforschungsunternehmen Forresters befragte 240 Entwickler und Sicherheitsexperten in Nordamerika und Europa, darunter 12% aus Deutschland.

51% der Befragten gaben an, dass sie seit Anfang 2011 mindestens ein softwareseitiges Sicherheitsproblem hatten, die für 18% (von den 51%) einen Schaden von mindestens 500.000 US-$ zur Folge hatten. 28% sagten aus, dass ihnen die Schadenssumme nicht bekannt sei.

Kommt es zu einem Zwischenfall, so sei die Intensität meist nur gering oder mittelschwer. 11% berichten beispielsweise von einem schweren oder sehr schweren Zwischenfall in Bezug auf den Verlust von Kundendaten. Dagegen stehen 31% mit einer leichten oder mittelschweren Intensität und 43% auf die die Sicherheitsschwäche gar keinen Einfluss hatte.

Bei der Begründung, warum das Testen auf Sicherheit vernachlässigt wird, haben die Autoren drei hauptsächliche Ursachen festgestellt:

  1. Man könne nicht Schritt halten bei der Menge an Code, die die Schwachstellen verursachen. Aufgrund stärkerer, globaler Konkurrenz werde der Druck für das Erstellen von Anwendungen immer größer. Auch die Komplexität nehme stets zu, so dass die Sicherheit nicht mit dem restlichen Entwicklungsprozess Schritt hält.
  2. Unternehmen zögern bei der Finanzierung. Auf Managementebene werde oft gezögert, ob man in die Sicherheit seiner Software investiere, da es schwer sei den optimalen Kosten-Nutzen-Faktor zu finden. 71% der Befragten, die einen Sicherheitszwischenfall hatten, sind überzeugt, dass für ausreichende Sicherheittechnologie und -prozesse nicht genügend finanzielle Mittel zur Verfügung standen.
  3. Unzureichende Anzahl adäquater Tools. Einhergehend mit dem zweiten Punkt bemängelt die gleiche Anzahl, dass man aufgrund mangelnder Gelder nicht in die richtige Software für Sicherheitstests investieren konnte. Ebenfalls gibt man aber zu, dass qualitativ höhere Software auch ein erhöhtes Wissen in puncto IT-Sicherheit erfordere, um es effektiv nutzen zu können.

Die größte Gefahr sehen die Entwickler jedoch nicht in einem programmiertechnischen Aspekt. Auf die Frage nach nach einer persönlichen Aufstellung einer Top Drei der größten Risiken, setzten 17% - der höchste Wert - die Problematik von Standardpasswörtern auf Platz 1, was auch insgesamt den ersten Platz erreicht. Es folgen Fehlkonfigurationen und SQL-Injections auf den weiteren Rängen. Als die geringste Gefahr sehe man das Cross-Site Request Forgery.

Über den Autor: Andreas Hackl
Hat Internetbasierte Systeme an der FH Trier studiert und sieht sich völlig selbstverständlich als Netzbürger.
Profilseite betrachten