Zürich-Kloten – Im Zentrum der weltweiten Studie «Integrating Security into the DNA of Your Software Lifecycle» von CA Technologies stand die Frage, wie sich die Kultur eines Unternehmens auf dessen Fähigkeit auswirkt, Sicherheit in den gesamten Software-Entwicklungsprozess einzubinden. Im Rahmen der von Freeform Dynamics durchgeführten Studie wurden über 1‘200 IT-Führungskräfte, darunter 466 aus sechs europäischen Ländern, unter ihnen der Schweiz, befragt.
96 Prozent der in der Schweiz Befragten stimmen zu, dass Softwareentwicklung, zu mehr Wachstum führt – 89 Prozent sehen in ihr einen der Haupttreiber für die digitale Transformation. 73 Prozent (Deutschland 61 Prozent) sehen Sicherheitslücken, die sich aus Problemen bei der Softwareentwicklung ergeben, als eine wachsende Gefahr. 54 Prozent der Schweizer Unternehmen (Deutschland: 61 Prozent) halten die bestehende Unternehmenskultur für ein wesentliches Hindernis bei der Einbettung von Sicherheit in die Entwicklungsprozesse und nur 21 Prozent geben an, dass die Zusammenarbeit zwischen Entwicklung, Betrieb und Sicherheit in ihrem Unternehmen funktioniert. Vor diesem Hintergrund weist der State of Software Security Report 2017 von CA Veracode darauf hin, dass Schwachstellen in zuvor nicht getesteter Software weiterhin in alarmierender Häufigkeit auftreten. Weltweit berichten Unternehmen, dass 77 Prozent der Anwendungen bereits beim ersten Scan mindestens eine Schwachstelle aufweisen.
„Sicherheit ist heute ein Schlüsselfaktor in jedem Unternehmen. Wie unsere Studie zeigt, sind sich Schweizer Unternehmen der Bedeutung von sicherer App-Entwicklung und –Bereitstellung zwar durchaus bewusst. Um diese auch umzusetzen zu können, muss vielerorts aber erst noch ein Kulturwandel stattfinden – hin zu einem Umfeld, in dem IT-Teams besser zusammenarbeiten und schneller auf Sicherheitslücken reagieren können“ «, so Sven Mulder, Country VP, Regional Sales, Central, South Eastern Europe & Russia bei CA Technologies. „Mit DevSecOps und neuen Technologien wie Maschinelles Lernen und Verhaltensanalyse können Unternehmen Sicherheit in jeden Schritt ihrer App-Bereitstellung integrieren – das führt nicht nur zu besseren Geschäftsergebnissen, sondern verändert grundsätzlich die Art und Weise, wie Unternehmen geführt werden.
Sicherheit muss ein fester Bestandteil der Entwicklung werden
Die Mehrheit der Schweizer Unternehmen hat erkannt, dass sie die Art und Weise, wie sie an das Thema Sicherheit in der Softwareentwicklung herangehen, an die sich ständig verändernden Anforderungen anpassen müssen. Die traditionelle Methode, die Sicherheit am Ende des Entwicklungsprozesses zu testen, reicht für die Mehrheit der Befragten dabei nicht mehr aus: 86 Prozent der Schweizer Unternehmen sprechen sich dafür aus, Sicherheit verstärkt in den Softwareentwicklungsprozess einzubetten und nicht erst, meist in Eile, am Ende des Prozesses. Rund 70 Prozent der Befragten stimmten zu, dass es dringlich ist, Sicherheitspraktiken durch DevSecOps früher in den Entwicklungszyklus intergiert werden müssen. Dem stehen 88 Prozent der Befragten in Frankreich und 79 Prozent in Spanien gegenüber.
Niedrigste Werte in Europa
Anspruch und Realität klaffen dabei aber noch weit auseinander: Nur gerade 5 Prozent der Schweizer Unternehmen haben Sicherheit zu einem integralen Bestandteil von DevOps gemacht – gegenüber 44 Prozent in Frankreich, 30 Prozent in Deutschland und einem europaweiten Durchschnitt von 28 Prozent. Dies ist der niedrigste Wert in Europa. Nur 19 Prozent setzen auf Continuous Testing, um Sicherheitsschwachstellen frühzeitig zu beseitigen (38 Prozent in Italien). Auch dies der niedrigste Wert in Europa.
Mangelnde Fachkenntnisse und Zeit erschweren die Sicherheit – Automatisierung ist im Kommen
Neben der Unternehmenskultur empfinden 53 Prozent der Schweizer Unternehmen fehlende Fähigkeiten als weiteres Hindernis, um Sicherheit in die gesamte Softwareentwicklung zu integrieren – das betrifft die Beurteilung der Anwendungsvoraussetzungen ebenso wie das Design und die Bereitstellung. Für 62 Prozent stellt Zeitdruck ein weiteres Hindernis dar. Viele Unternehmen verfügen nicht über qualifiziertes Personal oder die benötigte Zeit, um diese Prozesse zu meistern – Automatisierungslösungen können hier Abhilfe schaffen.
Verhaltensanalyse und maschinelles Lernen zählen dazu: Mit ihnen lassen sich die Qualifikationslücke und Zeitprobleme bewältigen und im gleichen Zug die Sicherheit verbessern. Für 88 Prozent der Schweizer Unternehmen sorgen beide Technologien für eine bessere Benutzerfreundlichkeit bei gleichzeitigem Schutz der Benutzerdaten (im Vergleich zu 94 Prozent der spanischen und 92 Prozent der italienischen Unternehmen). Sie unterstützen dabei, Datenverlust nicht nur zu verhindern, sondern im Ernstfall auch die Auswirkungen zu mildern. Und sie ermöglichen eine strenge Authentifizierungskontrolle, indem sie in Echtzeit abbilden, was ein Benutzer gerade macht und was über ihn bekannt ist. 61 Prozent der befragten Unternehmen nutzen heute schon Analytics, maschinelles Lernen und künstliche Intelligenz, um Einblicke in –Bedürfnisse und Verhalten ihrer Kunden zu gewinnen während (Deutschland: 79 Prozent) 59 Prozent beim Softwareentwicklungsprozess verstärkt auf Automatisierung setzen.
Softwaresicherheit bestimmt den Weg in Europa
Der Studienbericht zeigt die Eigenschaften von Unternehmen auf, die Sicherheit bereits vollständig in den Lebenszyklus der Softwareentwicklung integrieren konnten (32 Prozent der EMEA-Befragten). Dazu gehört die Durchführung von frühzeitigen und kontinuierlichen Tests auf Schwachstellen ebenso wie die Anwendung von DevSecOps.
Im europaweiten Vergleich stimmen diese 1,7xhäufiger zu, dass neben dem Schutz der Unternehmensdaten und -systeme auch die Sicherheit ein Wegbereiter für neue Geschäftsmöglichkeiten ist. Diese Unternehmen profitieren in vielerlei Hinsicht:
- 50 Prozent mehr Gewinnzuwachs
- 40 Prozent mehr Umsatzzuwachs
- Ihre Sicherheitstests können 2,4x häufiger mit App-Updates Schritt halten
- Sie äussern 1,9x häufiger, dass sie ihre Konkurrenz überholen
Unternehmen, die Sicherheit in die DNA ihrer Softwareentwicklung integriert haben, erzielen letztlich mehr Umsatz und Gewinn. Sie sind ein anschauliches Beispiel dafür, wie Erfolg in der digitalen Wirtschaft geht. Und sie zeigen, dass erst ein Wandel der eigenen Unternehmenskultur notwendig ist, um die Arbeitswelt der Zukunft zu schaffen», so das Fazit von Sven Mulder, Country VP, Regional Sales, Central, South Eastern Europe & Russia bei CA Technologies. „Die meisten Unternehmen sind noch nicht so weit, können mithilfe einer Continuous Security-Strategie aber einen entscheidenden Schritt in Richtung sichere Softwareentwicklung gehen. Die Vorteile liegen klar auf der Hand: eine verkürzte Time-to-Market, stärkeres Wachstum und eine verbesserte Wettbewerbsfähigkeit.“ (CA/mc)
Download: Ausführlicher Bericht und Infografik
Zur Studie
Die weltweite Studie wurde von CA Technologies in Auftrag gegeben und im Juli 2017 vom Branchenanalysten Freeform Dynamics durchgeführt. Es wurden 1‘279 leitende IT- und Geschäftsführer befragt, darunter 466 aus sechs europäischen Ländern: Frankreich, Deutschland, Italien, Spanien, Schweiz und Grossbritannien. Die Qualität der Befragung wurde durch Telefoninterviews mit wichtigen Führungskräften aus der Branche erhöht. Ausführliche Informationen zur Erhebungsmethodik finden sich im Bericht “Integrating Security into the DNA of Your Software Lifecycle”.
Über Freeform Dynamics
Freeform Dynamics ist ein Analystenhaus für die IT-Industrie. Die Studien helfen IT Professionals und Managern, mit den neuesten technologischen Entwicklungen Schritt zu halten und Entscheidungen auf einer besseren Informationsbasis zu treffen.
Über CA Technologies
CA Technologies (NASDAQ: CA) entwickelt Software, die es Unternehmen ermöglicht, ihre Transformation zu gestalten und die Potenziale der Application Economy zu nutzen. Software ist der Eckpfeiler eines jeden Unternehmens in jedem Industriezweig. Von der Planung über die Entwicklung bis zum Management und zur Sicherheit – CA arbeitet mit Unternehmen auf der ganzen Welt zusammen, um die Art und Weise der Interaktionen und Kommunikation zu verändern – ob mobil, in der privaten oder öffentlichen Cloud oder der Mainframe-Umgebung.
