CIOs misstrauen ihrer Software-Supply-Chain
Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in Ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind.
Um sich gegen Angriffe auf die Software-Supply-Chain zu verteidigen, muss die Cybersicherheits-Strategie von Grund auf überarbeitet werden, warnt der Cybersecurity-Anbieter Venafi in der Einleitung seiner jüngsten Studie zu diesem Thema. Die Umfrage wurde unter 1000 aktiven CIOs in zehn Ländern (darunter auch die Schweiz) durchgeführt und zeigt, dass die befragten Manager zwar das Risiko dieser Art von Angriffen verstehen, aber die Veränderungen, die diese Bedrohungen mit sich bringen, noch nicht begriffen haben.
Bedrohungen sind in den Köpfen der CIOs sehr präsent
Während die Cyberangriffe auf SolarWinds, Kaseya oder Codecov zwangsläufig in den Köpfen der Menschen hängen geblieben sind, halten mehr als drei Viertel der CIOs ihre Softwarelieferkette für verwundbar. Die meisten CIOs haben vom Vorstand oder vom CEO die Anweisung erhalten, die Sicherheit der Softwarelieferkette zu erhöhen, und die Bedrohung ist auch auf der obersten Führungsebene ein Thema. Infolgedessen haben viele IT-Manager nicht tatenlos zugesehen, sondern erste Schritte unternommen. Vor allem durch die Einführung von mehr Kontrollen, aber auch durch die Überprüfung von Code-Signing-Zertifikaten und der Herkunft von Open-Source-Bibliotheken, die in ihrer Anwendungsumgebung verwendet werden.
Um diesen Trend fortzusetzen, nehmen mehr als drei Viertel der Unternehmen Budgetumschichtungen vor, um ihre Softwareentwicklungspipelines sicherer zu machen. Dazu gehört auch die Erhöhung der Budgets für Identity and Access Management (IAM) für Softwareentwicklungsumgebungen.
Organisatorische Inkohärenzen
Die Venafi-Studie deckt ausserdem organisatorische Inkonsistenzen auf. In den meisten Unternehmen sind die IT-Sicherheitsteams nach wie vor für die Sicherheit der Lieferkette verantwortlich, obwohl sie im Zeitalter von Cloud, Microservicee und APIs oft keinen Überblick darüber haben, was die Softwareentwicklungsteams tun. In einem Drittel der Unternehmen können die Infosec-Teams zwar Sicherheitskontrollen empfehlen, diese aber nicht durchsetzen. Die meisten von ihnen werden verdächtigt, Sicherheitsmassnahmen zu umgehen, um bessere Produkte und Dienstleistungen anbieten zu können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Arctic Wolf tourt mit neuen Features durch die Schweiz
Was die Schweizer IT-Bedrohungslandschaft im März geprägt hat
Microsoft führt Quick Machine Recovery für Windows 11 ein
BACS warnt Reisende nach Grossbritannien vor Betrug mit ETA-Anträgen
Glitzer-Büsi schlägt Glitzer-Vampir
WatchGuard und BOLL: Jahrzehntelange Zusammenarbeit mit Zukunft
Check Point bestätigt und relativiert Datendiebstahl
Wie man Upselling am POS nicht machen sollte
Zertifizierungsschema der ZHAW ermöglicht Risikoprüfungen von KI-Systemen
