Fortify Software hat die Ergebnisse der Studie („Does Application Security Pay? Measuring the Business Impact of Software Security Assurance Solutions“) zum tatsächlichen Return on Investment (ROI) von Softwaresicherheit bekannt gegeben. Demnach liegen die jährlichen möglichen Einsparungen im Durchschnitt bei ca. 2 Mio. Euro (2,4 Mio. US$), wenn Software von Anfang an sicher ist und fehlerfrei läuft.
Laut der Studie lohnen sich Investitionen in Effizienz- und Produktivitätsverbesserungen, da spätere Kosten oder Schäden vermieden werden können. Zu den möglichen Verbesserungen gehören schnelleres, kostengünstigeres Auslesen von Codes und das Schließen von Sicherheitslücken bereits während der Softwareerstellung sowie optimierte Compliance– und Penetrationstests.
Für die Studie wurden Führungskräfte von 17 weltweit agierenden Kunden von Fortify befragt, darunter Fortune-500-Unternehmen aus dem Finanzdienstleistungs- und Staatssektor. Die zwischen April und August dieses Jahres geführten Interviews ergaben, dass die Unternehmen, die SSA (Security Assurance Solutions) am umfassendsten und innovativsten einsetzen, auch den weitaus größten Nutzen daraus ziehen. Einsatzbeispiele hier waren u.a. die Integration von Softwaresicherheitskontrollen und Best Practices in den gesamten Anwendungsentwicklungszyklus, die Ausweitung des SSA-Programms auf kritische Produktbereiche mit Kundenkontakt und die Nutzung einmaliger Wertschöpfungsmöglichkeiten durch SSA. Unternehmen mit einer solchen strategischen Ausrichtung sollen mit Anwendungssicherheitslösungen jährlich bis zu 37 Mio. US$ einsparen können.
„In einer Zeit, in der IT-Budgets genau unter die Lupe genommen werden, müssen CISOs (Chief Information Security Officers) Investitionen in die Softwaresicherheit mit einer Kosten-Nutzen-Rechnung begründen“, so Roger Thornton, Gründer und CTO, Fortify. „Die Studie stellt eine gute Basis dar, um die Investitionen in ein SSA-Programm sowohl betriebswirtschaftlich als auch finanziell zu rechtfertigen. Organisationen verringern mit ihm nicht nur ihre Geschäfts- und Sicherheitsrisiken, sondern erreichen in Bezug auf die Softwaresicherheit auch eine viel größere strategische Hebelwirkung.“
Die Studie von Mainstay zeige außerdem, dass die Unterstützung der IT-Leitung einschließlich des CIO und der Leitung der Anwendungsentwicklung für die Einführung einer effektiven strategischen SSA-Lösung von zentraler Bedeutung ist. Ansonsten ist es in den meisten Fällen nicht möglich, das gesamte Potenzial einer strategischen SSA-Lösung zu nutzen. Etwa 90 % der Befragten gaben an, dass die Unterstützung der Geschäftsleitung in der Regel nur gewonnen werden kann, indem die Rentabilität der SSA-Lösung anhand eines Business Cases oder einer ROI-Analyse nachgewiesen wird.
Kunden mit optimierten SSA-Programmen profitierten u.a. von folgenden Vorteilen:
- Reduzierung der Sicherheitslücken pro Anwendung von über 1000 auf unter 100
- Senkung der durchschnittlichen Zeit zum Schließen von Sicherheitslücken von ein bis zwei Wochen auf ein bis zwei Stunden
- Rückgang des prozentualen Anteils erneut auftretender Sicherheitslücken von 80 % auf 0 %
- Senkung der Kosten für Compliance- und Penetrationstests von ca. 500.000 auf 250.000 US$
- Verringerung der Verzögerungen der Markteinführung von Produkten und Anwendungen aufgrund von Sicherheitslücken von 4+ Vorfällen (mit je 30 Tagen) auf 0
„Wir haben 30 Software-Security-Anbieter analysiert. Doch obwohl alle über den ROI reden, hat kein einziger den geschäftlichen Wert von SSA wirklich quantifiziert“, so Amir Hartman, Mitbegründer und Managing Director, Mainstay Partners. „Fortify ist das erste Unternehmen in der Branche, das den SSA-Investitionen tatsächliche Kosten- und Zeiteinsparungen gegenübergestellt hat. Mit dieser Studie erhalten Führungskräfte im Bereich der Softwaresicherheit ein Argument, um der IT- und Unternehmensleitung den Wert von SSA in ihrer eigenen Sprache zu vermitteln.“
(Quelle: Fortify Software Deutschland/GST)