CIOs bangen um die Sicherheit der Software-Lieferkette

3. Juni 2022, 15:37
  • security
  • studie
  • supply chain
  • cio
image
Foto: Melanie Wasser / Unsplash

Nach den Hacks gegen Solarwinds und Co. ist in der IT-Teppichetage Angst eingekehrt. Auch bei CEOs und Verwaltungsräten rückt die Software-Lieferkette in der Prioritätenliste auf.

Die Nachricht schlug ein wie eine Bombe. Im Dezember 2020 meldete der Security-Spezialist Fireeye, dass Hacker die Firma Solarwinds gehackt haben. Der Hersteller von Netzmanagement-Software zählt 18'000 Kunden aus dem öffentlichen und privaten Sektor, von denen eine Vielzahl das kompromittierte Produkt Orion einsetzen. Der Supplychain-Angriff zog immer grössere Kreise: Zu den Opfern zählten schliesslich neben Grossfirmen auch diverse Behörden der USA. Innerhalb eines halben Jahres nach der Attacke wurden weitere erfolgreiche Hacks der Softwarehersteller Codecov und Kaseya bekannt.
Spätestens damit wurde die Security der Software-Supplychain ins grelle Licht der Öffentlichkeit gezerrt. Das hat nicht nur Auswirkungen auf politische Würdenträger, sondern auch auf das Sicherheitsempfinden in den IT-Abteilungen. Mittlerweile glaubt die überwiegende Mehrheit der CIOs, dass ihr Unternehmen über die Supply-Chain angreifbar ist. Ganze 82% von 1000 befragten IT-Chefs rund um den Globus gaben dies zumindest in einer Umfrage an. Man muss das als Misstrauensvotum an die Software-Hersteller deuten.
Auch bei den CEOs und Verwaltungsräten ist das Bewusstsein für die Sicherheit der Software-Lieferketten offenbar angekommen: 85% der Firmenleiter und Veraltungsräte haben ihre IT-Chefs angewiesen, Massnahmen zur Verbesserung der Sicherheit ihrer Software-Entwicklungs-Umgebungen zu ergreifen.
Laut der Umfrage wurden bereits einige Massnahmen implementiert: 68% der befragten CIOs gaben an, dass sie mehr Sicherheitskontrollen veranlasst hätten, 56% machen demnach mehr Gebrauch von Code Signing und 47% prüfen die Herkunft ihrer Open-Source-Bibliotheken. Bloss:die schönsten Absichtserklärungen helfen wenig, wenn sie unterlaufen werden. 87% der IT-Chefs glauben nämlich auch, dass Software-Entwickler manchmal Sicherheitsbestimmungen kompromittieren, um Produkte und Dienstleistungen schneller bereitzustellen.
Die Studie wurde von der IT-Security-Firma Venafi in Auftrag gegeben, die auch gleich eine Antwort auf die Frage liefert, warum Supplychain-Hacks zunehmen: Da in der digitalen Transformation viele Firmen zu Software-Entwicklern würden, hätten Angreifer die Entwicklungsumgebungen als fruchtbares Ziel für ihre Attacken ausgemacht. "Hacker haben entdeckt, dass erfolgreiche Angriffe auf die Lieferkette extrem effizient und profitabel sind", sagte Kevin Bocek, Vice President of Threat Intelligence bei Venafi, in einer Stellungnahme.
Zur Studie
Die Umfrage wurde von Coleman Parkes Research im Auftrag von Venafi durchgeführt. Die Unternehmensforscher befragten dafür 1000 CIOs in den USA, dem Vereinigten Königreich, Frankreich, der DACH-Region (Deutschland, Österreich, Schweiz), den Benelux-Staaten (Belgien, Niederlande, Luxemburg) und Australasien (Australien, Neuseeland). Die Fragestellungen und die genaue Zusammensetzung der Befragten wurden nicht kommuniziert. Der Auftraggeber Venafi ist selbst Security-Vendor, der eine Plattform zur Sicherung der Software-Supplychain anbietet.

Loading

Mehr zum Thema

image

Fachhochschule Neuenburg äussert sich zu Ransomware-Angriff

Die Systeme der Schule sind knapp 2 Monate nach dem Angriff wieder im Normalbetrieb.

publiziert am 19.8.2022
image

Tech-Chefin der CS Schweiz will nach knapp 6 Monaten schon wieder weg

Im Juni kündigte die Informatik-Chefin der CS-Gruppe Aufräumarbeiten und Einsparungen an. Nun wird bekannt, dass Schweiz-CTIO Kirsten Renner die kriselnde Grossbank verlässt.

publiziert am 19.8.2022
image

Die SBB wussten viel länger über ernste Sicherheitslücke Bescheid, als sie zugaben

Im Januar 2022 hatten die SBB eine Lücke geschlossen, die Millionen Kundendaten betraf. Offenbar war schon seit 2018 mehrfach auf das Problem hingewiesen worden.

publiziert am 18.8.2022
image

Cyberangriff: Bülach ist nicht auf Forderungen eingegangen

Die Stadt Bülach hat ausführlich über den Cyberangriff auf seine Verwaltung informiert. Auf Lösegeldforderungen sei man nicht eingegangen.

publiziert am 17.8.2022