CIOs misstrauen ihrer Software-Supply-Chain
Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in Ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind.
Um sich gegen Angriffe auf die Software-Supply-Chain zu verteidigen, muss die Cybersicherheits-Strategie von Grund auf überarbeitet werden, warnt der Cybersecurity-Anbieter Venafi in der Einleitung seiner jüngsten Studie zu diesem Thema. Die Umfrage wurde unter 1000 aktiven CIOs in zehn Ländern (darunter auch die Schweiz) durchgeführt und zeigt, dass die befragten Manager zwar das Risiko dieser Art von Angriffen verstehen, aber die Veränderungen, die diese Bedrohungen mit sich bringen, noch nicht begriffen haben.
Bedrohungen sind in den Köpfen der CIOs sehr präsent
Während die Cyberangriffe auf SolarWinds, Kaseya oder Codecov zwangsläufig in den Köpfen der Menschen hängen geblieben sind, halten mehr als drei Viertel der CIOs ihre Softwarelieferkette für verwundbar. Die meisten CIOs haben vom Vorstand oder vom CEO die Anweisung erhalten, die Sicherheit der Softwarelieferkette zu erhöhen, und die Bedrohung ist auch auf der obersten Führungsebene ein Thema. Infolgedessen haben viele IT-Manager nicht tatenlos zugesehen, sondern erste Schritte unternommen. Vor allem durch die Einführung von mehr Kontrollen, aber auch durch die Überprüfung von Code-Signing-Zertifikaten und der Herkunft von Open-Source-Bibliotheken, die in ihrer Anwendungsumgebung verwendet werden.
Um diesen Trend fortzusetzen, nehmen mehr als drei Viertel der Unternehmen Budgetumschichtungen vor, um ihre Softwareentwicklungspipelines sicherer zu machen. Dazu gehört auch die Erhöhung der Budgets für Identity and Access Management (IAM) für Softwareentwicklungsumgebungen.
Organisatorische Inkohärenzen
Die Venafi-Studie deckt ausserdem organisatorische Inkonsistenzen auf. In den meisten Unternehmen sind die IT-Sicherheitsteams nach wie vor für die Sicherheit der Lieferkette verantwortlich, obwohl sie im Zeitalter von Cloud, Microservicee und APIs oft keinen Überblick darüber haben, was die Softwareentwicklungsteams tun. In einem Drittel der Unternehmen können die Infosec-Teams zwar Sicherheitskontrollen empfehlen, diese aber nicht durchsetzen. Die meisten von ihnen werden verdächtigt, Sicherheitsmassnahmen zu umgehen, um bessere Produkte und Dienstleistungen anbieten zu können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Der Funk von morgen, die KI-Pläne von heute und der Cyberangriff von gestern
Betrüger nehmen Swissquote-Kundschaft ins Visier
Staatsarchiv Luzern macht Geschichte digital zugänglich
Tech-Konsortium steckt 12,5 Millionen US-Dollar in Open-Source-Sicherheit
Metanet verlagert Infrastruktur in Rechenzentren von Green
Warum risikobasierte Governance der Schlüssel zur digitalen Souveränität ist
Abraxas baut neue Steuerlösung für Graubünden
Büsi missachtet wiederholt internationales Recht
Fast 50 Prozent der Schweizer Smartphone-User nutzen ein iPhone
