Im Fokus: Anwendungssicherheit im Gesundheitssektor

Auf bestehende Strategie aufbauen, DevSecOps-Praktiken priorisieren

Von unserem Gastautor Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode

[datensicherheit.de, 21.07.2021] Patientendaten und Informationen rund um Pflege, Diagnose und Behandlung sind nur ein Teil der sensiblen Daten, mit denen Organisationen im Gesundheitswesen täglich arbeiten. Eine zentrale Aufgabe der IT ist es, diese mit größter Sorgfalt zu behandeln und umfassend zu schützen. Der elfte State of Software Security (SoSS) Report von Veracode gibt einen Überblick über den aktuellen Stand der Anwendungssicherheit und enthüllt dabei spezifische Erkenntnisse über den Gesundheitssektor. Julian Totzek-Hallhuber, Principal Solution Architect des Unternehmens, fasst die wichtigsten Erkenntnisse zusammen und zeigt Entwicklern und Entscheidern im Gesundheitssektor, worauf sie in Zukunft achten müssen.

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Die elfte Ausgabe der branchenweit umfangreichsten Studie gibt einen Überblick über den Status Quo der Anwendungssicherheit. Im Fokus standen die Finanzbranche, das Gesundheitswesen, der Einzelhandel/Gastgewerbe, die Produktionsbranche, die Technologie-Branche und Behörden. Eine zentrale Erkenntnis: In den verschiedene Sektoren adressieren IT-Teams Sicherheitslücken auf unterschiedliche Weise – und mit unterschiedlichen Geschwindigkeiten. Das Gesundheitswesen arbeitet mit vielen sensiblen Daten. Nur so kann Klinikpersonal und anderes medizinisches Personal ihren Patienten die bestmögliche Versorgung gewährleisten. Im Zug der fortschreitenden Digitalisierung gilt es, diese wertvollen Daten zu schützen und der SoSS Report zeigt: Unternehmen aus dem Gesundheitswesen beheben Sicherheitsrisiken schneller, als Unternehmen aus anderen Branchen. Und obwohl einige DevSecOps-Praktiken dort bereits angekommen sind, gibt es immer noch weitere Best Practices, die Entwickler in ihre Arbeitsabläufe einbauen können, um Sicherheitslücken schneller zu schließen.

Bild: Veracode

Der aktuelle Stand der Anwendungssicherheit im Gesundheitssektor

Im Vergleich zu anderen Branchen schneidet das Gesundheitswesen gut ab: Lediglich 75 Prozent aller Anwendungen weisen mindestens eine Sicherheitslücke auf. Weniger Schwachstellen finden sich nur in der Finanzbranche, mit 74 Prozent. Schlechter schneidet der Einzelhandel sowie die Produktion mit 76 Prozent ab. Bei Anwendungen aus der Technologie-Branche wurde ein Anteil von Applikationen mit mindestens einer Sicherheitslücke von 78 Prozent, bei behördlichen Anwendung sogar ein Anteil von 80 Prozent verzeichnet.

Im Vergleich zu diesem relativ positiven Ergebnis finden sich im Gesundheitssektor zahlreiche Anwendungen mit schwerwiegenden Sicherheitslücken – mit 26 Prozent belegt die Branche den zweiten Platz. Nur die Technologiebranche hat mit 28 Prozent einen höheren Anteil an schwerwiegenden Sicherheitslücken. Auch die Fehlerbehebungsrate ist auf einem recht niedrigen Niveau. Während die Finanzbranche mit einer Fehlerbehebungsrate von 75 Prozent am besten von allen untersuchten Branchen abschneidet, verzeichnet das Gesundheitswesen lediglich eine Rate von 70 Prozent. Schlechter schneiden nur behördliche Einrichtungen (66 Prozent) und die Produktionsbranche (59 Prozent) ab. Die Dauer, bis die Hälfte der Sicherheitslücken im Gesundheitswesen behoben wird, ist mit 149 Tagen zwar auf dem zweiten Platz von allen untersuchten Sektoren, trotzdem bietet sich hier enormer Raum zur Optimierung.

Fehleranalyse: Wo es hakt

Die unterschiedlichen identifizierten Sicherheitslücken in den Anwendungen wurden kategorisiert, um eine detailliertere Analyse zu ermöglichen. Bei einem Überblick über alle Kategorien kann das Gesundheitswesen eine positive Bilanz verzeichnen: Im Durchschnitt werden hier kategorienübergreifend weniger Sicherheitslücken gefunden als in den anderen Branchen. Die häufigste Art der Fehler sind mit 49 Prozent Datenlecks, gefolgt von CLRF-Injections mit 48 Prozent und der Qualität des Codes mit 46 Prozent. Dabei stellen Datenlecks ein signifikant geringeres Problem dar als im branchenübergreifenden Durchschnitt, der bei 58 Prozent liegt. Auffällig ist, dass das Gesundheitswesen gerade beim Beheben von CLRF-Injections und kryptographischen Problemen einen enormen Vorsprung gegenüber den anderen Branchen hat. Das ist in Hinblick auf den wachsenden Rückgriff von Patienten auf Apps für das Gesundheitsmanagement ein positiver Trend.

Die Entwicklungsumgebung macht den Unterschied

Der aktuelle Bericht hat das Verhalten von Entwicklern in den Fokus gestellt, da die Ausübung von DevSecOps-Praktiken einen wichtigen Faktor für erfolgreiche Anwendungssicherheit darstellt. Es kann zwischen gegebenen Eigenschaften der Entwicklungsumgebung („Nature“) und den beeinflussbaren Faktoren bei der Entwicklung („Nurture“) unterschieden werden. Entwickler im Gesundheitswesen agieren in einer relativ sicheren und stabilen Umgebung im Vergleich zu anderen Industrien. Die Branche belegt bei dem durchschnittlichen Alter der Anwendungen, der Anwendungsgröße und der Fehlerdichte jeweils den zweiten Platz. Die Organisationen selbst scheinen allerdings relativ groß zu sein – das Gesundheitswesen belegt hier den vierten Platz. Folglich findet der Einzug von DevSecOps-Praktiken nur Schritt für Schritt statt. Unternehmen im Gesundheitssektor belegen lediglich Platz fünf bei der Häufigkeit ihrer Sicherheitsscans und bei der Integration von Sicherheitsaspekten im Entwicklungsprozess nehmen sie den vierten Platz ein. Im Gegensatz dazu belegen die Organisationen den ersten Platz bei der Scan-Kadenz. Dies legt offen: Es gibt zwar keine häufigen Sicherheits-Scans, aber konsistente, die einer kontinuierlichen Strategie unterliegen. Entwickler im Gesundheitswesen greifen verstärkt auf dynamische Analyse (DAST) zurück, Organisationen belegen hier im Vergleich zu Unternehmen aus anderen Branchen den ersten Platz – bei Software-Composition-Analyse (SCA) jedoch den letzten. Hier besteht Handlungsbedarf, denn Teams, die eine Kombination von Scan-Typen, einschließlich DAST, SCA und statischer Analyse (SAST), verwenden, verbessern ihre Fehlerbehebungsrate. Diejenigen, die auf eine Kombination aus SAST und DAST zurückgreifen, beheben die Hälfte der Fehler 24 Tage schneller. Für Unternehmen im Gesundheitswesen gilt daher das Fazit: DevSecOps-Praktiken wurden zwar bereits schrittweise integriert, sind aber noch nicht umfassend genug etabliert.

Digitales Gesundheitswesen: Auf bestehende Strategie aufbauen, DevSecOps-Praktiken priorisieren

Organisationen im Gesundheitswesen sind zwar relativ groß, die Anwendungen auf die sie zurückgreifen jedoch zeitgemäß und eher klein. So stehen Entwickler vor weniger Herausforderungen, denn der „Nature“-Aspekt der Entwicklungsumgebung im Gesundheitswesen unterstützt sie. Die zahlreichen identifizierten Vorteile führen zu einer besseren Reaktionszeit. Dies trägt zu einer erhöhten Wahrscheinlichkeit bei, Fehler schneller zu beheben. Für Unternehmen gilt es jetzt zu erkennen, dass sie weitere Vorteile daraus ziehen könnten, wenn Entwickler zusätzliche DevSecOps-Praktiken nachhaltig in das Unternehmen integrieren würden. Es muss also zukünftig die „Nuture“ verstärkt in den Fokus rücken. Die Sicherheitsstrategie im Gesundheitswesen könnte durch eine erhöhte Frequenz und durch die Integration von weiteren Scan-Typen die Anwendungssicherheit auf ein neues Level heben.

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen