DevSecOps-Modelle für häufiges Software-Scannen
Prognose: Gesundheitsorganisationen übertreffen durchschnittliche Reaktionszeiten bei Software-Sicherheitsrisiken
Analyse zeigt, dass Gesundheitsorganisationen Anwendungsfehler schneller beheben als Einzelhändler und Hersteller
Veracodes "State of Software Security Report" (SoSS) ergab, dass der Gesundheitssektor der schnellste ist, wenn es darum geht, gängige Schwachstellen in Software zu beheben. Der internationale Bericht ergab, dass Gesundheitsorganisationen nur sechs Tage brauchten, um ein Viertel ihrer Schwachstellen im Code zu beheben, und nur sieben Monate (216 Tage), um die Mehrheit (75 Prozent) ihrer Schwachstellen zu beheben. Das entspricht einem Zeitvorsprung von nahezu acht Monaten gegenüber durchschnittlichen Unternehmen, die 15 Monate (472 Tage) benötigen, um 75 Prozent ihrer Schwachstellen zu beheben.
Die sensiblen Daten, die von Gesundheitsorganisationen gespeichert werden sind ein interessantes Ziel für Hacker. Neben kryptographischen Probleme (62 Prozent) und Datenlecks, gehört Codequalität (60 Prozent) zu den drei größten Schwachstellen von Gesundheitsorganisationen und sind die Schlüssel für Verbesserungen. Durch den Fokus auf Codequalität wären Gesundheitsorganisationen in der Lage von einer reaktiven zu einer proaktiven Sicherheitsstrategie überzugehen.
Gesundheitsorganisationen werden bisher oft als technologisch rückständig wahrgenommen und verfügen zudem über viele Legacy-Softwareinstallationen. Die Veracode Analyse zeigt jedoch, dass dies Gesundheitsunternehmen nicht davon abhält, sich bezüglich Anwendungssicherheit auf dem Laufenden zu halten. Der Gesundheitssektor belegt bei der neuesten Scan-OWASP-Passrate den ersten Platz, und basierend auf der Schwachstellen-Persistenz-Analyse-Tabelle behebt der Sektor statistisch gesehen Anwendungsschwachstellen schneller als jeder andere Sektor. Der State of Software Security Report verglich den Gesundheitssektor bei der Behebung von Schwachstellen mit dem Einzelhandel, der Technologie, dem öffentlichen Sektor, der Infrastruktur, dem Finanzwesen und der Fertigungsindustrie.
"Gesundheitsorganisationen beheben Schwachstellen im Vergleich zu ihren Konkurrenten am schnellsten. Es dauert nur etwas mehr als sieben Monate, bis Gesundheitsorganisationen das letzte Viertel ihrer offenen Schwachstellen erreichen. Das ist etwa acht Monate früher als ein Durchschnittsunternehmen braucht, um denselben Meilenstein zu erreichen", sagt Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode. "Das spiegelt die bemerkenswerte Widerstandsfähigkeit dieser Branche wieder, die während des WannaCry-Ransomware-Angriffs vor zwei Jahren stark in den Fokus genommen und schwer getroffen wurde. Allerdings richten sich täglich Millionen von Cyberangriffen gegen den Gesundheitssektor und suchen nach Schwachstellen. Die Verwendung eines von Anfang an sicheren Codes kann dazu beitragen, das Sicherheitsrisiko weiter zu reduzieren."
Die britische NHS hat kürzlich eine Revision ihrer IT-Architektur angekündigt, um Cloud-basierte, moderne Systeme einzusetzen und den Sicherheitsstandard zu verbessern. In diesem Sinne müssen sich Entwickler und Sicherheitsexperten auch im deutschen Gesundheitswesen darauf konzentrieren, eine "First Place for Fixes"-Position aufzubauen und DevSecOps-Modelle für häufiges Software-Scannen zu implementieren. Dadurch kann sichergestellt werden, dass Anwendungsfehler noch schneller und effizienter behoben werden können. (Veracode: ra)
eingetragen: 06.07.19
Newsletterlauf: 15.07.19
Veracode: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.