Viele Firmen setzen keine Sicherheitstechniken bei der Entwicklung von Webapplikationen ein. Dies geht aus dem „Software Security Risk Report 2012“ von Forrester im Auftrag des Softwareherstellers Coverity hervor.
Die zunehmenden Sicherheitslücken in Webanwendungen verursachen steigende Kosten. So entdeckte in den letzten 18 Monaten fast die Hälfte der Befragten mindestens eine Schwachstelle in den Anwendungen. Die dadurch entstandenen Verluste erreichten bei 18 Prozent mehr als 500.000 US-Dollar, acht Prozent hatten geschätzte Einbußen von einer Million US-Dollar zu verzeichnen. Zwei Fälle berichteten sogar von einem Verlust von über zehn Millionen Dollar.
Mehr als die Hälfte der Befragten prüfen die Applikationen nicht auf Schwachstellen
Von den 240 im Juli befragten Entscheidern aus europäischen und nordamerikanischen Unternehmen aus dem Bereich der Softwareentwicklung gaben viele der Befragten zu, keine sicheren Programmiertechniken zu verwenden. Dies geschehe häufig aufgrund des Zeitdruck hinsichtlich der Einführung der Anwendung, geringer Budgets für die Entwickler, mangelnde Zusammenarbeit zwischen Entwicklern und Sicherheitsexperten sowie fehlenden Anreizen für den Einsatz von mehr Sicherheitsprüfungen. So werden in 70 Prozent der untersuchten Unternehmen die Ergebnisse der Entwickler nicht auf der Grundlage sicherheitsrelevanter Parameter gemessen.
Viele Entwickler können überdies aufgrund der ständig produzierten Menge an Code Sicherheitsprozesse nicht konsequent einhalten. Für bessere Sicherheitstechnologien fehlen jedoch in über 70 Prozent der Unternehmen schlicht die finanziellen Mittel. Auf der anderen Seite fehle jedoch vielfach auch die Expertise, um diese Tools einsetzen zu können. Codierungsrichtlinien sorgen nur bei 42 Prozent der untersuchten Fälle für mehr Sicherheit, ein Viertel nutzt Bedrohungsmodelle bei der Entwicklung ein. Lediglich 17 Prozent der Befragten testen ihre Anwendungen während der Entwicklungsphase, über die Hälfte überprüft den Applikationscode nicht auf Schwachstellen.
Die komplette Studie kann bei Coverity heruntergeladen werden. Weitere Informationen bietet auch der Coverty-Blog.
