Der "State of Software Security Report" von Veracode zeigt, dass der Finanzsektor ebenso mit Sicherheitsproblemen zu kämpfen hat wie andere Branchen, berichtet das "IT Finanzmagazin". In mancher Hinsicht würden sich Finanzinstitute mit der Anwendungssicherheit aber deutlich schwerer tun als andere Sektoren. Von acht untersuchten Branchen liegt der Finanzsektor nur auf dem vorletzten Platz wenn es um die Geschwindigkeit geht, die es braucht, um Schwachstellen zu beheben.

67 Prozent aller Anwendungen stellen ein Risiko dar
Mehr als 70.000 Anwendungs-Scans über einen Zeitraum von zwölf Monaten brachten die Erkenntnis, dass es durchschnittlich 29 Tage dauert, um etwa ein Viertel aller Code-Schwachstellen zu bereinigen, heißt es in dem Bericht. Bis auch die letzte behoben sind, vergehen sogar durchschnittlich 574 Tage.

Immerhin zwei Drittel aller Anwendungen, die von Banken in Gebrauch sind, stellen ein Risiko dar, um sensible Informationen zu verlieren – dadurch können sich externe Angreifer ausreichend Systemwissen aneignen, um unberechetigt Zugriff auf das Netzwerk zu erhalten. Gleich danach folgen kryptographische Probleme (63 %) und solche, die die Anwendungssicherheit durch schlechte Code-Qualität riskieren (51 %).

"Banken sind nicht in der Lage sind, Schwachstellen richtig zu priorisieren"
"Finanzinstitutionen verfügen über hochsensible Informationen, daher sind sie ein hochattraktives Ziel für Cyber-Kriminelle. Die gute Nachricht ist, dass der Finanzsektor nicht das Problem hat, Schwachstellen nicht zu erkennen. Das Problem ist vielmehr, dass sie aufgrund der großen Menge an Daten nicht in der Lage sind, ihre Schwachstellen richtig zu priorisieren und schnellstmöglich zu beheben", sagt Julian Totzek-Hallhuber, Solution Architekt bei Veracode. "Daher müssen die betreffenden Unternehmen daran arbeiten, die Fix-Rate zu verkürzen. Wenn sie selbst in der Lage sind, Fehler zu bemerken, können Hacker das auch. Ein möglichst kurzes Fenster zwischen Finden und Beheben von Schwachstellen in Anwendungen muss daher oberste Priorität für Sicherheitsverantwortliche haben." (mb)