Entwickler schludern bei der IT-Sicherheit

In einer vernetzten Arbeitswelt, müssen die zur Abwicklung von Geschäftsprozessen eingesetzten Software-Anwendungen hohe Sicherheitsstandards erfüllen. Doch nach wie vor ist es für Angreifer viel zu leicht, in Enterprise-Systeme einzudringen und Daten zu entwenden.

Schwere Sicherheitsmängel bei der Programmierung

57 Prozent aller in einem Unternehmen eingesetzten Business-Applikationen weisen bei der Erstauslieferung schwere und inakzeptable Sicherheitsmängel auf. Das gilt auch bei weniger geschäftskritischen Anwendungen, die geringere Sicherheitsstandards haben. Zu diesem Ergebnis kommt die Studie "State of Software Security Report" des US-Sicherheitsanbieters Veracode.

	Im Schnitt sind deutlich mehr als die Hälfte der neu entwickelten Software-Lösungen für Angriffe offen wie ein Scheunentor. Foto: Veracode

Erschreckend ist den Studienautoren zufolge, dass über 80 Prozent der von der internen IT-Abteilung entwickelten Web-Anwendungen nicht die zehn wichtigsten Anforderungen des Open Web Application Security Projects (OWASP) erfüllen. Das ist ein Industrie-Standard zum Aufdecken kritischer Programmierfehler in Web-Applikationen.

Web-Applikationen: XSS-Angriffe bevorzugt

51 Prozent aller Sicherheitsverletzungen bei webbasierten Anwendungen werden durch Cross-site-Scripting-Attacken (XSS) verursacht. Mit weitem Abstand folgen Informationsverluste (12 Prozent) sowie Angriffe per CRLF Injection (11 Prozent). Vor allem Geschäftsanwendungen, die auf der .Net-Plattform von Microsoft basieren, weisen der Untersuchung zufolge eine "abnorm hohe Anzahl" an Sicherheitslücken für XSS-Angriffe auf. Ursache hierfür sei der Einsatz von .Net Controls. Rund 20 Prozent der Applikationen sind in .Net geschrieben, mehr als 56 Prozent basieren auf Java und rund 22 Prozent auf C/C++.