Thought Leadership
Ein aktueller Bericht von Datadog liefert brisante Einblicke in den tatsächlichen Umgang mit Schwachstellen in Cloud-Anwendungen.
Die Ergebnisse zeigen: Die meisten als kritisch eingestuften Schwachstellen sind es gar nicht – zumindest nicht im praktischen Kontext.
Weniger Alarm, mehr Fokus: Neue Methode zur Risikobewertung
Die zentrale Botschaft des „State of DevSecOps 2025“: Sicherheitsteams konzentrieren sich häufig auf falsche Prioritäten. „Der State of DevSecOps 2025 zeigt, dass Sicherheitsteams viel Zeit mit Schwachstellen verschwenden, die gar nicht so gravierend sind“, warnt Andrew Krug, Head of Security Advocacy bei Datadog.
Ein neues Bewertungssystem soll nun Abhilfe schaffen. Der sogenannte Ausführungskontext ergänzt den CVSS-Basisscore um entscheidende Informationen – zum Beispiel, ob eine Schwachstelle in einer Produktionsumgebung ausgeführt wird oder ob ein System öffentlich erreichbar ist.
Das Ergebnis ist eindeutig: Nur 18 % der ursprünglich als „kritisch“ eingestuften Schwachstellen bleiben nach dieser Neubewertung tatsächlich kritisch.
Java im Fokus: Hohe Anfälligkeit und langsames Patchen
Ein besonders betroffener Bereich: Anwendungen in Java. Laut Bericht enthalten ganze 44 % der analysierten Java-Anwendungen mindestens eine bekannte, ausnutzbare Schwachstelle. Zum Vergleich: Bei Programmiersprachen wie Python, Go oder JavaScript liegt dieser Wert im Durchschnitt bei nur 2 %.
Hinzu kommt, dass Java-Anwendungen besonders lange brauchen, um Sicherheitslücken zu schließen. Bibliotheken aus dem Java-basierten Apache Maven-Ökosystem benötigen im Schnitt 62 Tage für ein Update – deutlich mehr als bei anderen Technologien wie .NET (46 Tage) oder npm (19 Tage).
Gefahr aus der Lieferkette: Angriffe auf Open-Source-Pakete nehmen zu
Ein weiterer Schwerpunkt des Berichts liegt auf Angriffen über die Software-Lieferkette. Demnach wurden tausende manipulierte PyPI- und npm-Pakete identifiziert. Manche davon imitierten bekannte Bibliotheken wie das Paket „passport“ durch eine fast identische Schreibweise („passports-js“), eine bekannte Masche namens Typosquatting. Andere Fälle betrafen sogar die gezielte Übernahme populärer Pakete wie „Ultralytics“ oder „Solana web3.js“.
Diese Methoden werden laut Datadog nicht nur von Kriminellen genutzt, sondern auch von staatlich unterstützten Gruppen.
Langfristige Zugangsdaten: Leichtes Spiel für Angreifer
Ein weiteres Risiko liegt in unsachgemäßem Umgang mit Zugangsdaten. Noch immer nutzen viele Unternehmen langfristige Zugangsdaten zur Authentifizierung automatisierter Prozesse. Zwar ist die Zahl leicht gesunken – von 63 % im Vorjahr auf nun 58 % – doch bleibt dies ein signifikanter Risikofaktor.
Veraltete Bibliotheken: Wenn Updates zu selten kommen
Die Analyse zeigt auch, dass viele Anwendungen auf veraltete Bibliotheken setzen. Besonders gefährdet sind Services, die nur selten bereitgestellt werden. In Systemen mit weniger als einer Bereitstellung pro Monat sind die verwendeten Abhängigkeiten in fast der Hälfte der Fälle deutlich älter als in täglich aktualisierten Anwendungen. Das erhöht das Risiko durch ungepatchte Sicherheitslücken erheblich.
Priorisierung statt Panik
Die Erkenntnisse aus dem Datadog-Bericht sind eindeutig: Es reicht nicht aus, Schwachstellen einfach zu erkennen – entscheidend ist die Bewertung ihres tatsächlichen Gefahrenpotenzials. Ein präziser Blick auf den Ausführungskontext ermöglicht gezielteres Handeln. Oder wie Krug es formuliert: „Wenn Sicherheitsteams weniger Zeit mit der Bewertung von Problemen verbringen müssen, können sie die Angriffsfläche ihrer Organisation deutlich schneller reduzieren.“
