CIOs misstrauen ihrer Software-Supply-Chain
Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in Ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind.
Um sich gegen Angriffe auf die Software-Supply-Chain zu verteidigen, muss die Cybersicherheits-Strategie von Grund auf überarbeitet werden, warnt der Cybersecurity-Anbieter Venafi in der Einleitung seiner jüngsten Studie zu diesem Thema. Die Umfrage wurde unter 1000 aktiven CIOs in zehn Ländern (darunter auch die Schweiz) durchgeführt und zeigt, dass die befragten Manager zwar das Risiko dieser Art von Angriffen verstehen, aber die Veränderungen, die diese Bedrohungen mit sich bringen, noch nicht begriffen haben.
Bedrohungen sind in den Köpfen der CIOs sehr präsent
Während die Cyberangriffe auf SolarWinds, Kaseya oder Codecov zwangsläufig in den Köpfen der Menschen hängen geblieben sind, halten mehr als drei Viertel der CIOs ihre Softwarelieferkette für verwundbar. Die meisten CIOs haben vom Vorstand oder vom CEO die Anweisung erhalten, die Sicherheit der Softwarelieferkette zu erhöhen, und die Bedrohung ist auch auf der obersten Führungsebene ein Thema. Infolgedessen haben viele IT-Manager nicht tatenlos zugesehen, sondern erste Schritte unternommen. Vor allem durch die Einführung von mehr Kontrollen, aber auch durch die Überprüfung von Code-Signing-Zertifikaten und der Herkunft von Open-Source-Bibliotheken, die in ihrer Anwendungsumgebung verwendet werden.
Um diesen Trend fortzusetzen, nehmen mehr als drei Viertel der Unternehmen Budgetumschichtungen vor, um ihre Softwareentwicklungspipelines sicherer zu machen. Dazu gehört auch die Erhöhung der Budgets für Identity and Access Management (IAM) für Softwareentwicklungsumgebungen.
Organisatorische Inkohärenzen
Die Venafi-Studie deckt ausserdem organisatorische Inkonsistenzen auf. In den meisten Unternehmen sind die IT-Sicherheitsteams nach wie vor für die Sicherheit der Lieferkette verantwortlich, obwohl sie im Zeitalter von Cloud, Microservicee und APIs oft keinen Überblick darüber haben, was die Softwareentwicklungsteams tun. In einem Drittel der Unternehmen können die Infosec-Teams zwar Sicherheitskontrollen empfehlen, diese aber nicht durchsetzen. Die meisten von ihnen werden verdächtigt, Sicherheitsmassnahmen zu umgehen, um bessere Produkte und Dienstleistungen anbieten zu können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Herrchen und Frauchen sind nicht eingeladen
Update: Bytedance besiegelt Tiktok-Abspaltung in den USA
Die Redaktion macht Winterpause
Gespenstische Cyberkriminelle kapern Whatsapp-Accounts
Update: Bund schliesst Einführung von Microsoft 365 ab
Axept übernimmt Abacus-Tochter
Die OST sagt, wie viel KI die Cyberabwehr braucht
Universität Genf löst Informatikzentrum auf und schafft KI-Plattform
OST lanciert neue Bachelorvertiefung AI Augmentation
