82 Prozent der CIOs halten ihre Software-Lieferketten für anfällig

Venafi gab die Ergebnisse einer weltweiten Studie unter 1.000 CIOs bekannt, in der 82 Prozent der Befragten angaben, dass ihre Unternehmen anfällig für Cyberangriffe auf die Software-Lieferkette sind. [...]

57 Prozent der befragten CIOs aktualisieren ihre Überprüfungsprozesse (c) Unsplash
57 Prozent der befragten CIOs aktualisieren ihre Überprüfungsprozesse (c) Unsplash

Die Umstellung auf Cloud-native Entwicklung und die erhöhte Entwicklungsgeschwindigkeit durch die Einführung von DevOps-Prozessen haben die Herausforderungen im Zusammenhang mit der Sicherung von Software-Lieferketten unendlich komplexer gemacht, so die Studie. In der Zwischenzeit verstärken die Angreifer, motiviert durch den Erfolg aufsehenerregender Angriffe auf Unternehmen wie SolarWinds und Kaseya, ihre Angriffe auf Softwareentwicklungs- und -Verteilungsumgebungen.

Die starke Zunahme der Anzahl und Raffinesse dieser Angriffe in den letzten 12 Monaten hat dieses Problem in den Mittelpunkt gerückt und die Aufmerksamkeit von CEOs und Vorständen auf sich gezogen. Infolgedessen sind CIOs zunehmend besorgt über die schwerwiegenden Geschäftsunterbrechungen, Umsatzeinbußen, Datendiebstahl und Kundenschäden, die sich aus erfolgreichen Angriffen auf die Software Supply Chain ergeben können.

Die wichtigsten Ergebnisse

  • 87 Prozent der CIOs glauben, dass Softwareingenieure und -entwickler Kompromisse bei den Sicherheitsrichtlinien und -kontrollen eingehen, um neue Produkte und Dienstleistungen schneller auf den Markt zu bringen.
  • 85 Prozent der CIOs sind vom Vorstand oder CEO ausdrücklich angewiesen worden, die Sicherheit von Softwareentwicklungs- und -Verteilungsumgebungen zu verbessern.
  • 84 Prozent geben an, dass das für die Sicherheit von Softwareentwicklungsumgebungen bereitgestellte Budget im letzten Jahr gestiegen ist.

„Die digitale Transformation hat jedes Unternehmen zu einem Softwareentwickler gemacht. Das hat zur Folge, dass Umgebungen für die Softwareentwicklung zu einem großen Ziel für Angreifer geworden sind“, sagt Kevin Bocek, Vice President of Threat Intelligence and Business Development bei Venafi. „Hacker haben entdeckt, dass erfolgreiche Angriffe auf die Supply Chain, insbesondere solche, die auf Maschinenidentitäten abzielen, extrem effizient und profitabel sind.“

Bocek hat buchstäblich Dutzende von Möglichkeiten beobachtet, Entwicklungsumgebungen bei dieser Art von Angriffen zu kompromittieren, einschließlich Angriffen, die Open-Source-Softwarekomponenten wie Log4j nutzen. „Die Realität ist, dass sich Entwickler eher auf Innovation und Geschwindigkeit als auf Sicherheit konzentrieren“, erklärt Bocek. „Leider haben die Sicherheitsteams selten das Wissen oder die Ressourcen, um den Entwicklern bei der Lösung dieser Probleme zu helfen, und die CIOs werden sich dieser Herausforderungen gerade erst bewusst.“

Mehr als 90 Prozent der Softwareanwendungen verwenden Open-Source-Komponenten, und die mit Open-Source-Software verbundenen Abhängigkeiten und Schwachstellen sind äußerst komplex. CI/CD- und DevOps-Pipelines sind in der Regel so strukturiert, dass sie den Entwicklern schnelle Fortschritte ermöglichen, aber nicht unbedingt sicherer sind. Die Komplexität von Open Source und die Geschwindigkeit der Entwicklung schränken die Wirksamkeit von Sicherheitskontrollen in der Software Supply Chain ein, da Innovationen immer schneller umgesetzt werden sollen.

CIOs erkennen, dass sie ihren Ansatz ändern müssen, um diese Herausforderungen zu bewältigen.

  • 68 Prozent implementieren mehr Sicherheitskontrollen
  • 57 Prozent aktualisieren ihre Überprüfungsprozesse
  • 56 Prozent weiten den Einsatz von Code Signing aus, einer wichtigen Sicherheitskontrolle für Software-Lieferketten
  • 47 Prozent prüfen die Herkunft ihrer Open-Source-Bibliotheken

„CIOs wissen, dass sie die Sicherheit in der Software Supply Chain verbessern müssen, aber es ist extrem schwierig, genau zu bestimmen, wo die Risiken liegen, welche Verbesserungen die Sicherheit am stärksten erhöhen und wie diese Änderungen das Risiko im Laufe der Zeit verringern“, erläutert Bocek weiter. „Wir können dieses Problem nicht mit den bestehenden Methoden lösen. Stattdessen müssen wir anders über die Identität und Integrität des Codes nachdenken, den wir erstellen und verwenden, und wir müssen ihn in jedem Schritt des Entwicklungsprozesses mit Maschinengeschwindigkeit schützen und sichern.“


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*