Mängel an Applikationen

Entwickler schludern bei der IT-Sicherheit

23. Dezember 2010
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Die meiste von der IT-Abteilung entwickelte Software hat Sicherheitsmängel. Das hat Sicherheitsanbieter Veracode ermittelt. Größte Gefahr sind XSS-Attacken.

In einer vernetzten Arbeitswelt, müssen die zur Abwicklung von Geschäftsprozessen eingesetzten Software-Anwendungen hohe Sicherheitsstandards erfüllen. Doch nach wie vor ist es für Angreifer viel zu leicht, in Enterprise-Systeme einzudringen und Daten zu entwenden.

Schwere Sicherheitsmängel bei der Programmierung

57 Prozent aller in einem Unternehmen eingesetzten Business-Applikationen weisen bei der Erstauslieferung schwere und inakzeptable Sicherheitsmängel auf. Das gilt auch bei weniger geschäftskritischen Anwendungen, die geringere Sicherheitsstandards haben. Zu diesem Ergebnis kommt die Studie "State of Software Security Report" des US-Sicherheitsanbieters Veracode.

Im Schnitt sind deutlich mehr als die Hälfte der neu entwickelten Software-Lösungen für Angriffe offen wie ein Scheunentor.
Im Schnitt sind deutlich mehr als die Hälfte der neu entwickelten Software-Lösungen für Angriffe offen wie ein Scheunentor.
Foto: Veracode

Erschreckend ist den Studienautoren zufolge, dass über 80 Prozent der von der internen IT-Abteilung entwickelten Web-Anwendungen nicht die zehn wichtigsten Anforderungen des Open Web Application SecuritySecurity Projects (OWASP) erfüllen. Das ist ein Industrie-Standard zum Aufdecken kritischer Programmierfehler in Web-Applikationen. Alles zu Security auf CIO.de

Web-Applikationen: XSS-Angriffe bevorzugt

51 Prozent aller Sicherheitsverletzungen bei webbasierten Anwendungen werden durch Cross-site-Scripting-Attacken (XSS) verursacht. Mit weitem Abstand folgen Informationsverluste (12 Prozent) sowie Angriffe per CRLF Injection (11 Prozent). Vor allem Geschäftsanwendungen, die auf der .Net-Plattform von MicrosoftMicrosoft basieren, weisen der Untersuchung zufolge eine "abnorm hohe Anzahl" an Sicherheitslücken für XSS-Angriffe auf. Ursache hierfür sei der Einsatz von .Net Controls. Rund 20 Prozent der Applikationen sind in .Net geschrieben, mehr als 56 Prozent basieren auf Java und rund 22 Prozent auf C/C++. Alles zu Microsoft auf CIO.de

Zur Startseite