Anzeige

Cyber Security

Venafi, Anbieter von maschinellem Identitätsmanagement, gibt die Ergebnisse einer Umfrage bekannt, die die Herausforderungen bei der Verbesserung der Sicherheit in der Software-Lieferkette aufzeigt.

Die Umfrage wertete die Meinungen von mehr als 1.000 IT- und Entwicklungsfachleuten aus, darunter 193 Führungskräfte, die sowohl für die Sicherheit als auch für die Softwareentwicklung verantwortlich sind, und zeigte eine eklatante Diskrepanz zwischen den Bedenken der Führungskräfte und ihren Maßnahmen. Obwohl 94 Prozent der Führungskräfte der Meinung sind, dass Softwareanbieter, die die Integrität ihrer Softwareentwicklungspipelines nicht schützen, klare Konsequenzen (Geldstrafen, größere rechtliche Haftung für Unternehmen, denen Nachlässigkeit nachgewiesen wurde) haben sollten, haben die meisten wenig unternommen, um die Art und Weise zu ändern, wie sie die Sicherheit der von ihnen erworbenen Software bewerten und welche Zusicherungen sie von Softwareanbietern verlangen.

Nach Angaben der ENISA werden Angriffe auf die Lieferkette wie SolarWinds, Codecov und Kaseya bis 2021 voraussichtlich um das Vierfache zunehmen. Die Führungskräfte sind eindeutig sehr viel besorgter über ihre Anfälligkeit für Angriffe auf die Software-Lieferkette und sind sich des dringenden Handlungsbedarfs bewusst. Die Umfrageergebnisse zeigen jedoch, dass sie keine Maßnahmen ergreifen, die einen Wandel herbeiführen würden.

Die wichtigsten Ergebnisse sind:

  • 97 Prozent der Führungskräfte sind der Meinung, dass Softwareanbieter die Sicherheit ihrer Softwareerstellungs- und Codesignierungsprozesse verbessern müssen.
  • 96 Prozent der Führungskräfte sind der Meinung, dass Softwareanbieter verpflichtet werden sollten, die Integrität des Codes in ihren Software-Updates zu garantieren.

Jedoch auch:

  • Mehr als 1 von 2 (55 %) der Führungskräfte geben an, dass der SolarWinds-Hack keine oder nur geringe Auswirkungen auf die Bedenken hatte, die sie beim Kauf von Softwareprodukten für ihr Unternehmen berücksichtigen.
  • 69 Prozent der Führungskräfte geben an, dass ihr Unternehmen die Anzahl der Fragen, die sie Softwareanbietern zu den Prozessen stellen, mit denen sie die Sicherheit ihrer Software gewährleisten und den Code überprüfen, nicht erhöht hat.
  • Innerhalb ihres eigenen Unternehmens sind die Führungskräfte geteilter Meinung darüber, wer für die Verbesserung der Sicherheit innerhalb ihrer eigenen Softwareentwicklungsorganisation verantwortlich ist: 48 Prozent sagen, dass die IT-Sicherheit verantwortlich ist, und 46 Prozent, dass die Entwicklungsteams verantwortlich sind.

„Es besteht eine klare Diskrepanz zwischen der Besorgnis über Angriffe auf die Lieferkette und der Verbesserung der Sicherheitskontrollen und -prozesse, um dieses Risiko zu mindern“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Führungskräfte machen sich zu Recht Sorgen über die Auswirkungen von Angriffen auf die Lieferkette. Diese Angriffe stellen für jedes Unternehmen, das kommerzielle Software einsetzt, ein ernsthaftes Risiko dar und sind extrem schwer abzuwehren. Um dieses systemische Problem zu lösen, muss die gesamte Technologiebranche die Art und Weise ändern, wie wir Software entwickeln und kaufen. Führungskräfte können dies nicht einfach als ein weiteres technisches Problem behandeln - es ist eine existenzielle Bedrohung. Führungskräfte und Vorstände müssen verlangen, dass die Sicherheits- und Entwicklungsteams aller kommerziellen Softwareanbieter ihre Prozesse ändern, damit sie die Sicherheit ihrer Software eindeutig gewährleisten können.“

www.venafi.com


Weitere Artikel

EU Regeulierung

Digital Services Act muss nachgebessert werden

Mit dem Digital Services Act (DSA) will der EU-Gesetzgeber dafür sorgen, dass der Online Handel in Zukunft ein Stück sicherer wird. Der Kommissar für Binnenmarkt, Thierry Breton, hat erfolgsgewiss in Zusammenhang mit der gestrigen Plenarabstimmung ein…

Neue Awareness-Trainings für KMU

Trotz des steigenden Bedarfs nach Awareness-Schulungen waren solche Maßnahmen für den Mittelstand bisher kaum verfügbar. Mit „Awareness PLUS“, einer E-Learning-Plattform inklusive Phishing-Simulationen, will Securepoint diese Lücke schließen.
Intel

Intel investiert Milliarden in den Bau von zwei US-Chipfabriken

Intel baut für mehr als 20 Milliarden Dollar zwei Chipfabriken in den USA. Die Produktion auf Basis modernster Technologien in den Anlagen im US-Bundesstaat Ohio soll 2025 beginnen, wie der Halbleiter-Riese am Freitag mitteilte.
IT Security

SoSafe schließt Series-B-Runde über 73 Mio. US-Dollar mit Highland Europe

Der Cyber-Security Awareness-Anbieter SoSafe hat 73 Millionen US-Dollar in einer von Highland Europe geführten Series-B-Finanzierungsrunde erhalten.
Google

2,42-Milliarden-Strafe: Google legt Einspruch ein

Der Rechtsstreit um eine Wettbewerbsstrafe in Höhe von 2,42 Milliarden Euro gegen Google kommt vor das höchste Gericht der Europäischen Union.
TikTok

TikTok kokettiert mit kostenpflichtigen Abos

TikTok bestätigte, dass es mit kostenpflichtige Abonnements liebäugelt und damit womöglich den Weg für Content-Ersteller auf der Kurzvideoplattform frei macht, für ihre Inhalte Geld zu verlangen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.