Sicherheitsbewusste Programmierer unter Zeitdruck
Eine von Symantec durchgeführte Studie zeigt, dass die Sicherheit von Anwendungen zwar als wichtig angesehen wird, die konsequente Umsetzung dieser Erkenntnis jedoch oft durch Wettbewerbs- und Termindruck behindert wird.
Im Rahmen einer Studie von Symantec zur Sicherheit von Applikationen sind 400 Software-Entwickler zur Bedeutung von Sicherheit bei der Entwicklung von Anwendungen befragt worden. Für immerhin knapp drei Viertel (74 Prozent) der Befragten sind Sicherheitsaspekte bei der Entwicklung wichtig. Allerdings kann nur jeder Fünfte bestätigen, dass Sicherheitsanforderungen während des gesamten Prozesses der Software-Entwicklung Berücksichtigung finden.
Unternehmen stehen im Wettbewerb mit der Konkurrenz unter Zeitdruck, um neue Produkte und Produktversionen auf den Markt zu bringen. Darunter kann die ausreichende Beachtung von Sicherheitsfragen leiden. Zwei Drittel der Befragten betrachten Anwendungssicherheit zwar inzwischen als Teil der Qualitätssicherung, das übrige Drittel hat dieses Ziel jedoch noch nicht erreicht.
Die Aus- und Weiterbildung von Software-Entwicklern zum sicherheitsorientierten Programmieren sollte eine wichtige Rolle spielen, aber lediglich 40 Prozent der Teilnehmer dieser Studie haben solche Schulungen bereits erhalten. Ein typischer Programmierfehler, der zu Sicherheitslücken führt, ist die ungeprüfte Übernahme von Benutzereingaben in Speicherbereiche vordefinierter Größe. Dies kann zu Pufferüberläufen führen (den berüchtigten "Buffer Overflows"), wodurch die Anwendung abstürzt. Das nutzen Angreifer gezielt zum Einschleusen von schädlichem Programm-Code.
Der Symantec Sicherheitsreport für das erste Halbjahr 2006 hatte eine deutliche Zunahme von Sicherheitslücken in Anwendungen konstatiert. Insgesamt verzeichnete der Report 2.249 neue Schwachstellen, 69 Prozent davon in Web-Anwendungen.
