Die Krise der Sicherheitsschulden und der Anstieg von Hochrisiko-Schwachstellen

In der sich schnell entwickelnden digitalen Landschaft ist es keine Option mehr, bei Software-Schwachstellen den Anschluss zu verlieren. Die Geschwindigkeit, mit der neue Fehler entstehen, übersteigt die aktuellen Kapazitäten zur Behebung bei Weitem. Trotz marginaler Verbesserungen bei den Behebungsraten steigt die Flut der Sicherheitsschulden weiter an.

„Der Weg nach vorn besteht nicht darin, auf einem Laufband endloser Schwachstellen immer schneller zu rennen. Es geht vielmehr darum, bewusste und intelligente Entscheidungen darüber zu treffen, welche Risiken toleriert und welche neutralisiert werden müssen.“

Die Krise der Sicherheitsschulden verschärft sich

Sicherheitsschulden – bekannte Schwachstellen, die länger als ein Jahr ungelöst bleiben – haben drastisch zugenommen. Dies ist kein weit entferntes Problem, sondern für 82 % der Unternehmen gegenwärtige Realität, was einem Anstieg von 11 % innerhalb eines Jahres entspricht. Der Rückstand wächst schneller, als die Kapazitäten zur Behebung ihn abbauen können.

Kritische Schulden in Zahlen

• Auswirkungen auf Unternehmen: 60 % der Organisationen sind von kritischen Sicherheitsschulden betroffen, ein drastischer Anstieg von 20 % im Vergleich zum Vorjahr.
• Anstieg der Hochrisiko-Schwachstellen: Schwachstellen, die sowohl einen hohen Schweregrad aufweisen als auch leicht auszunutzen sind, verzeichneten einen relativen Anstieg von 36 %.
• Schulden auf Anwendungsebene: 49 % der Anwendungen weisen mittlerweile Sicherheitsschulden auf.

Erkennung vs. Behebung

Während Organisationen erfolgreich weniger Fehler verursachen und ihre Erkennungsraten verbessern, zeigen die Daten anhaltende Schwierigkeiten, diese schnell genug zu beheben, um das wachsende Risiko-Fenster zu schließen.

Fortschritte bei der Erkennung

• Verbreitung von Fehlern: Die allgemeine Verbreitung von Schwachstellen über alle Scan-Arten hinweg sank auf 78 %.
• Geschwindigkeit der Behebung: Die Halbwertszeit für die Fehlerbehebung über alle Scan-Arten hinweg verbesserte sich leicht auf 243 Tage.

Herausforderungen bei der Behebung

• OWASP-Fehlerrate: Der Anteil von Anwendungen, die die grundlegenden OWASP Top 10-Standards nicht erfüllen, stieg auf 50 %.
• Behebung von Drittanbieter-Code: Die Halbwertszeit für die Behebung von Schwachstellen in Drittanbieter-Komponenten bleibt mit 358 Tagen außergewöhnlich hoch.
• Herausforderungen durch Dritte: Drittanbieter-Code dominiert weiterhin die kritischen Sicherheitsschulden und ist für 66 % der gefährlichsten, langlebigsten Schwachstellen verantwortlich.

Praxisnahe Strategie: Prioritize, protect, prove

Um diese Herausforderungen zu bewältigen, müssen Organisationen einen neuen Ansatz wählen. Das Bestreben, jeden Fehler zu beheben, ist ein Wettlauf, der nicht gewonnen werden kann. Alles beginnt mit der Identifizierung Ihrer wertvollsten Assets („Crown Jewels“) und der Bündelung von Ressourcen auf die kritischsten Bereiche. KI-gestützte Tools können dabei helfen, die monatlichen Behebungskapazitäten zu erhöhen und den Long Tail an repetitiven Schwachstellen effizient abzuarbeiten.