CIOs misstrauen ihrer Software-Supply-Chain
Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in Ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind.
Um sich gegen Angriffe auf die Software-Supply-Chain zu verteidigen, muss die Cybersicherheits-Strategie von Grund auf überarbeitet werden, warnt der Cybersecurity-Anbieter Venafi in der Einleitung seiner jüngsten Studie zu diesem Thema. Die Umfrage wurde unter 1000 aktiven CIOs in zehn Ländern (darunter auch die Schweiz) durchgeführt und zeigt, dass die befragten Manager zwar das Risiko dieser Art von Angriffen verstehen, aber die Veränderungen, die diese Bedrohungen mit sich bringen, noch nicht begriffen haben.
Bedrohungen sind in den Köpfen der CIOs sehr präsent
Während die Cyberangriffe auf SolarWinds, Kaseya oder Codecov zwangsläufig in den Köpfen der Menschen hängen geblieben sind, halten mehr als drei Viertel der CIOs ihre Softwarelieferkette für verwundbar. Die meisten CIOs haben vom Vorstand oder vom CEO die Anweisung erhalten, die Sicherheit der Softwarelieferkette zu erhöhen, und die Bedrohung ist auch auf der obersten Führungsebene ein Thema. Infolgedessen haben viele IT-Manager nicht tatenlos zugesehen, sondern erste Schritte unternommen. Vor allem durch die Einführung von mehr Kontrollen, aber auch durch die Überprüfung von Code-Signing-Zertifikaten und der Herkunft von Open-Source-Bibliotheken, die in ihrer Anwendungsumgebung verwendet werden.
Um diesen Trend fortzusetzen, nehmen mehr als drei Viertel der Unternehmen Budgetumschichtungen vor, um ihre Softwareentwicklungspipelines sicherer zu machen. Dazu gehört auch die Erhöhung der Budgets für Identity and Access Management (IAM) für Softwareentwicklungsumgebungen.
Organisatorische Inkohärenzen
Die Venafi-Studie deckt ausserdem organisatorische Inkonsistenzen auf. In den meisten Unternehmen sind die IT-Sicherheitsteams nach wie vor für die Sicherheit der Lieferkette verantwortlich, obwohl sie im Zeitalter von Cloud, Microservicee und APIs oft keinen Überblick darüber haben, was die Softwareentwicklungsteams tun. In einem Drittel der Unternehmen können die Infosec-Teams zwar Sicherheitskontrollen empfehlen, diese aber nicht durchsetzen. Die meisten von ihnen werden verdächtigt, Sicherheitsmassnahmen zu umgehen, um bessere Produkte und Dienstleistungen anbieten zu können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Welche Herausforderungen grosse Lastendrohnen mit sich bringen
Best of Swiss Web bittet zum Winner Talk
Abraxas verbucht operativen Verlust
Ehrliche Werbe-Jingles für Apple, Netflix, Sprite und Co.
Microsoft entdeckt neue Angriffe auf Android-Apps
Nach Ransomware-Angriff leuchten in Leicester die Strassenlampen Tag und Nacht
Update: Broadcom macht Cloud-Anbietern Zugeständnisse
Online USV-Systeme halbiert Preise für Batteriepakete
Dell präsentiert drei neue Produkte für sein Cyberresilienz-Angebot
