Die Ergebnisse der „State of Software Security“ (SoSS)-Studie von Veracode zeigen, dass der Einzelhandel Schwachstellen in der Software zwar schnell behebt, die Branche aber dennoch von einem DevSecOps-Ansatz profitieren kann.
Besonders im Einzelhandel, der schnell auf sich ändernde Kundenanforderungen reagieren muss, ist es unerlässlich, potentielle Sicherheitsmängel schnell zu finden und zu beheben. Hinzu kommt, dass der Einzelhandel über Kundenkarten und Mitgliedkonten große Mengen an persönlichen Daten über Verbraucher sammelt, die strengen Datenschutzanforderungen unterliegen und ein Datenleck somit schwerwiegende Folgen haben kann. Laut dem Verizon Data Breach Investigations Report 2020 sind Angriffe auf Webanwendungen der primäre Grund für Sicherheitsverletzungen im Einzelhandel, wobei bei etwa der Hälfte aller Verletzungen persönliche Daten oder Zahlungsdaten abgegriffen werden.
Die Untersuchung ergab, dass 76 Prozent der Anwendungen im Einzelhandel mindestens einen Fehler aufweisen. Im Vergleich zu anderen Sektoren der Wirtschaft, wie beispielsweise dem Finanz-, Technologie- und Gesundheitswesen, entspricht dies ungefähr dem Durchschnitt. Allerdings handelt es sich bei 26 Prozent – der zweitgrößte Anteil aller sechs untersuchten Branchen – der Anwendungsfehler um schwerwiegende Probleme, die es gilt dringend zu beheben.
Die Studie zeigt außerdem, dass der Einzelhandel bei der Behebung seiner Schwachstellen im Branchenvergleich an zweiter Stelle steht: Die Hälfte der Schwachstellen wird in nur 125 Tagen behoben, fast einen Monat schneller als in der zweitplatzierten Branche, dem Gesundheitssektor. Dies mag erst einmal lang wirken, aber die Hälfte der Schwachstellen in allen untersuchten Branchen bleibt entweder viel länger bestehen oder wird gar nicht behoben.
„Unternehmen im Einzelhandel stehen vor einer doppelten Herausforderung: Einerseits stellen sie für Angreifer ein sehr verlockendes Ziel dar, benötigen aber andererseits Software, die es ihnen ermöglicht, in hohem Maße auf ihre Kunden einzugehen und gleichzeitig Branchenvorschriften wie den PCI (Payment Card Industry Data Security Standard) einzuhalten“, sagt Chris Eng, Chief Research Officer bei Veracode. „Im Hinblick auf Probleme im Zusammenhang mit Informationslecks und Input Validation scheinen Entwickler im Einzelhandel ihre Arbeit also besser zu machen, als in anderen Branchen. Dennoch bietet der Einsatz von API-gesteuertem Scannen und Software-Kompositionsanalyse, um nach Schwachstellen in Open-Source-Komponenten zu suchen, die meisten Verbesserungsmöglichkeiten für Entwicklungsteams im Einzelhandel.“
Weitere Ergebnisse
- Die Entwicklungsumgebung ist für den Einzelhandel eine Herausforderung, da ihre Anwendungen tendenziell älter und größer sind als in anderen Branchen.
- Die Branche schneidet bei der Verbreitung häufiger Fehlertypen gut ab, während in Kategorien wie Informationslecks und Input Validation noch Luft nach oben ist. Die Untersuchung von Veracode ergab, dass Entwickler im Einzelhandel mit Problemen bei der Datenkapselung, SQL-Injection und der Verwaltung von Anmeldeinformationen zu kämpfen haben. Mithilfe der Heat Map von Veracode können Entwickler SQL-Injection-Angriffe mit sicheren Codierungspraktiken verhindern, zum Beispiel durch die Verwendung einer parametrisierten Abfrage. Bei Fehlern in der Datenkapselung ist eine Zugriffssperrung auf die betroffene Anwendung, Datenbank oder das System ein wichtiger Schritt, bis diese vollständig geschützt werden können. Außerdem ist es nach wie vor maßgeblich, Daten und Informationen zu sichern, um im Falle eines Ransomware-Angriffs das Tagesgeschäft fortführen zu können. Entwickler können das Risiko eines Angriffs auf die Verwaltung von Anmeldeinformationen außerdem verringern, indem sie verschlüsselte Passwörter an geschützten Orten speichern und die Verwendung von fest programmierten Anmeldeinformationen vermeiden.
- Im Hinblick auf die Häufigkeit von Scans und die Kombinierung dynamischer und statischer Scans liegen Entwickler im Einzelhandel verglichen mit anderen Branchen im Mittelfeld. Um sichere Software zu programmieren, sollten Entwickler die folgenden DevSecOps-Praktiken einsetzen: häufigeres Scannen, Durchführung verschiedener Arten von Tests und Verbesserung der Kadenz von Scans.
Weitere Informationen über häufige Schwachstellen und Erkenntnisse finden Sie im Veracode State of Software Security Volume 11. Das SoSS 11 Infosheet zum Einzelhandel finden Sie hier.
