Thought Leadership
Die Bedrohung der eigenen Daten nimmt immer weiter zu. Deswegen ist es für Firmen wichtig, sich zu schützen und eine passende Balance zwischen Geschwindigkeit, Gesetzeskonformität und Sicherheit zu finden. Das alle drei Punkte wichtig sind, steht außer Frage.
Doch selbstverständlich stufen Entscheider die Sicherheitslage ihrer Software-Lieferketten sowie ihre Software-Compliance unterschiedlich ein.
Momentan noch sicher
Die Studie fand unter anderem heraus, dass Deutsche sich im internationalen Vergleich über die Software-Lieferkettensicherheit weniger Sorgen machen, unabhängig ihrer speziellen Position. Dies bedeutet jedoch nicht, dass die Situation als unsicher angesehen wird, ganz im Gegenteil, bewerteten alle Befragte über alle Länder die Lage doch mit 88 Prozent als mindestens sicher. 32 Prozent gingen sogar so weit, sie als sehr sicher zu bezeichnen. Nichtsdestotrotz machten sich mind. 83 Prozent aller Verantwortlichen Sorgen um Angriffe auf ihre Software-Lieferkette. Besonders CEO, die besorgteste Gruppe mit 93 Prozent innerhalb der C-Suite, fürchteten, dass sie in Zukunft Opfer von Cyber-Angriffen werden. In allen Ländern war diese Haltung mit im Schnitt 90 Prozent stark ausgeprägt, nur in Deutschland lag sie mit 77 Prozent stark unter dem Durchschnitt.
Compliance und Sicherheit vereint?
Das mag auf den ersten Blick überraschen, machen sich doch alle Befragten mittlerweile mehr Gedanken über ihre Lieferkettensicherheit als noch vor zwei Jahren. In Deutschland wird von den Teilnehmern jedoch ein größerer Fokus auf Compliance gelegt. Hier wird von Deutschen auch überdurchschnittlich an der eigenen Compliance gezweifelt. Einzig Spanien zweifelt ähnlich stark.
Gleichzeitig sind sich über drei Viertel der Befragten einig, dass Sicherheit und Compliance wichtiger sind als Geschwindigkeit und Compliance. Hier wird der Stellenwert der Compliance deutlich, ist sie doch unumstößlich das wichtigste, wenn es um IT-Fragen für die C-Suite geht. Wie wichtig sieht man z.B. in Deutschland an der DSGVO.
Gleichzeitig ist Deutschland gespaltener als andere Länder, da es den höchsten Wert an Geschwindigkeit mit 35 Prozent aufweist. Einzig Australien mit 31 Prozent erreicht ein vergleichbares Niveau, ist damit aber immer noch doppelt so hoch wie das „langsame“ Frankreich mit 16 Prozent.
Darf gut Ding Weile haben?
In Bezug auf Compliance verwundert es dann, dass Deutsche weniger als 27 Tage für Compliance Audits aufwenden, 11 weniger als im Durchschnitt und sogar 22 als das Spitzenplatzierte Spanien. Hier wird die Diskrepanz besonders deutlich zwischen Anspruch und Wirklichkeit: Deutsche zweifeln zwar, tun aber verhältnismäßig wenig dafür, ihre Zweifel auszuräumen. In Spanien dagegen investiert man deutlich mehr Zeit.
Gleichzeitig gaben deutsche C-Suites an, dass sie das Größte Maß an Unsicherheit in Bezug auf die eigene Compliance mit 41 Prozent verspüren. Hier wird der größte Länderunterscheid deutlich, liegt der Schnitt doch bei 22 Prozent und der niedrigste von Australien bei 7 Prozent.
Wo sich alle Länder wiederum einig sind ist, dass ihre Entwicklerteams definitiv mehr Zeit für Innovationen aufwenden sollten. Mehr als die Hälft gab an, dass Compliance-Prozesse zu viel Zeit verbrauchen. Speziell ist fehlendes Wissen über Compliance das, was insbesondere Australier und Amerikaner ausbremst.
Hier zeichnetet sich ein deutlicher Trend zugunsten der CEOs ab, die diese Aussagen mit über 90 Prozent häufiger tätigten als CTO/CIO/CISOs, die dies mit max. 85 Prozent taten. Gleichzeitig äußerten fast zwei Drittel der Befragten die Aussage, dass ihre Sicherheitsabteilung im Schneckentempo arbeite.
Hier wird deutlich, dass es durchaus noch Verbesserungsmöglichkeiten gibt, welche auch bitter nötig sind, wenn man den immer höheren Anforderung gerecht werden will.
Sicherheit – automatisch oder doch lieber per Hand?
Dass Automatisierung für viele C-Suites momentan nicht die Lösung ihrer Probleme ist, wird daran deutlich, dass nur noch zwei Drittel der Befragten aussagten, dass ihre Supply Chain voll oder größtenteils automatisiert ist. 2021 waren es noch drei Viertel gewesen. Bei Compliance-Prozessen wiederum war der Grad der Automatisierung allgemein nicht weit fortgeschritten, da im Schnitt nur 57 Prozent der Befragten angaben, dass ihre Prozesse es sind. Hier gibt es jedoch eine deutliche nationale Diskrepanz, da in den USA der Automatisierungsgrad mit 70 Prozent als Spitzenreiter wesentlich höher lag als beim Schlusslicht Deutschland mit gerade einmal 44 Prozent.
Hilfe von außen oder doch lieber umdenken?
Hierfür könnten mehr externe Tools hinzugezogen werden, was den Entwicklern dann mehr Zeit für Innovationen geben würde. Schon jetzt nutzen fast 60 Prozent aller Befragten hauptsächlich externe Software, da dies Firmen in Frankreich, Deutschland und Spanien weniger häufig nutzen als ihre australischen, britischen und amerikanischen Kollegen.
Auch ein Shift-Left-Ansatz würde sich anbieten. Hiermit ist ein Ansatz für Softwaretests und Systemtests gemeint, bei dem die Tests zu einem früheren Zeitpunkt im Lebenszyklus durchgeführt werden, d. h. auf der Projektzeitachse nach links verschoben werden.
Mehr als drei Viertel der C-Suite-Führungskräfte gaben schon jetzt an, dass sie in ihrem Unternehmen einen solchen wahrscheinlich implementieren, wobei ein Drittel sagte, dass sie dies definitiv tun würden. Gleichzeitig bemerkten allerdings auch drei von fünf C-Suite-Führungskräften, dass ein solcher Ansatz eine Belastung für ihre Entwickler darstelle, während mehr als ein Drittel sagt, dass es eine Hilfe ist. Australische Führungskräfte neigten eher dazu „Shift Left“ als eine Belastung für ihre Entwickler zu sehen, während Deutsche und Spanier dies eher als eine Hilfe bezeichneten.
Fazit
Es lässt sich somit innerhalb eines Jahres eine deutliche veränderte internationale Verunsicherung, was die Sicherheit der eigenen Software-Lieferketten angeht, feststellen. Zwar sehen viele C-Suites sie immer noch als sicher an, doch die Verunsicherung wächst. Gleichzeitig lässt sich ein deutlicher Trend zu noch stärker Compliance sehen, der sicherlich nicht zuletzt durch verbesserte Gesetze wie z.B. die DSGVO weiter zunehmen wird. Diese Herausforderung gilt es zu meistern, mithilfe verfügbarer Werkzeuge und neuer Ansätze.
Die Methodologie:
Für die vorliegende Studie wurden genau 600 Führungspersonen der C-Ebene nach ihren Ansichten zu genau diesen Themen gefragt. Die Teilnehmer stammten aus sechs Ländern (USA, UK, Spanien, Frankreich, Australien und Deutschland) und waren paritätisch über diese verteilt.
Von den Befragten waren 70 Prozent Männer, 29 weiblich und 1 nicht-binär an. Unabhängig ihres Geschlechtes bekleideten 34 Prozent die Position des CEO, 21 Prozent die des CIO, weitere 19 Prozent waren CTO. Ebenso mit 6% vertreten waren CISOs, Chief Risk Officers machten 2% aus. 12% hielten andere C-Suite Titel. Fast die Hälfte aller C-Suite-Führungskräfte mit 48% hatten ihre Position zwischen 6 und 10 Jahren inne. Die kleinste Gruppe mit 7% waren die, die ihre Stellung seit mehr als 20 Jahren ausübten. Laufzeiten von 5 Jahren oder weniger wiesen 29% auf, 16% verfügten über 11-20 Jahre Erfahrung in ihrer Position.
Weitere Informationen zur Studie finden Sie hier.
