CIOs misstrauen ihrer Software-Supply-Chain
Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in Ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind.
Um sich gegen Angriffe auf die Software-Supply-Chain zu verteidigen, muss die Cybersicherheits-Strategie von Grund auf überarbeitet werden, warnt der Cybersecurity-Anbieter Venafi in der Einleitung seiner jüngsten Studie zu diesem Thema. Die Umfrage wurde unter 1000 aktiven CIOs in zehn Ländern (darunter auch die Schweiz) durchgeführt und zeigt, dass die befragten Manager zwar das Risiko dieser Art von Angriffen verstehen, aber die Veränderungen, die diese Bedrohungen mit sich bringen, noch nicht begriffen haben.
Bedrohungen sind in den Köpfen der CIOs sehr präsent
Während die Cyberangriffe auf SolarWinds, Kaseya oder Codecov zwangsläufig in den Köpfen der Menschen hängen geblieben sind, halten mehr als drei Viertel der CIOs ihre Softwarelieferkette für verwundbar. Die meisten CIOs haben vom Vorstand oder vom CEO die Anweisung erhalten, die Sicherheit der Softwarelieferkette zu erhöhen, und die Bedrohung ist auch auf der obersten Führungsebene ein Thema. Infolgedessen haben viele IT-Manager nicht tatenlos zugesehen, sondern erste Schritte unternommen. Vor allem durch die Einführung von mehr Kontrollen, aber auch durch die Überprüfung von Code-Signing-Zertifikaten und der Herkunft von Open-Source-Bibliotheken, die in ihrer Anwendungsumgebung verwendet werden.
Um diesen Trend fortzusetzen, nehmen mehr als drei Viertel der Unternehmen Budgetumschichtungen vor, um ihre Softwareentwicklungspipelines sicherer zu machen. Dazu gehört auch die Erhöhung der Budgets für Identity and Access Management (IAM) für Softwareentwicklungsumgebungen.
Organisatorische Inkohärenzen
Die Venafi-Studie deckt ausserdem organisatorische Inkonsistenzen auf. In den meisten Unternehmen sind die IT-Sicherheitsteams nach wie vor für die Sicherheit der Lieferkette verantwortlich, obwohl sie im Zeitalter von Cloud, Microservicee und APIs oft keinen Überblick darüber haben, was die Softwareentwicklungsteams tun. In einem Drittel der Unternehmen können die Infosec-Teams zwar Sicherheitskontrollen empfehlen, diese aber nicht durchsetzen. Die meisten von ihnen werden verdächtigt, Sicherheitsmassnahmen zu umgehen, um bessere Produkte und Dienstleistungen anbieten zu können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Was das neue Proton-Tool über Datenlecks offenbart
Adfinis ernennt COO und CFO
OpenAI und Paypal integrieren Instant Checkout in ChatGPT
Glenfis vollzieht einen CEO-Wechsel
Bund soll Hoster und Cloudanbieter in Sachen Cybersecurity stärker in die Pflicht nehmen
Schweizer Firmen wünschen sich mehr KI-Souveränität
Xelon erhält einen neuen CEO
Fenaco steigt bei Quickline ein
Der unmöglich schnelle Fall von Imperator Palpatine
