CIOs bangen um die Sicherheit der Software-Lieferkette

3. Juni 2022 um 15:37
  • security
  • studie
  • supply chain
  • cio
image
Foto: Melanie Wasser / Unsplash

Nach den Hacks gegen Solarwinds und Co. ist in der IT-Teppichetage Angst eingekehrt. Auch bei CEOs und Verwaltungsräten rückt die Software-Lieferkette in der Prioritätenliste auf.

Die Nachricht schlug ein wie eine Bombe. Im Dezember 2020 meldete der Security-Spezialist Fireeye, dass Hacker die Firma Solarwinds gehackt haben. Der Hersteller von Netzmanagement-Software zählt 18'000 Kunden aus dem öffentlichen und privaten Sektor, von denen eine Vielzahl das kompromittierte Produkt Orion einsetzen. Der Supplychain-Angriff zog immer grössere Kreise: Zu den Opfern zählten schliesslich neben Grossfirmen auch diverse Behörden der USA. Innerhalb eines halben Jahres nach der Attacke wurden weitere erfolgreiche Hacks der Softwarehersteller Codecov und Kaseya bekannt.
Spätestens damit wurde die Security der Software-Supplychain ins grelle Licht der Öffentlichkeit gezerrt. Das hat nicht nur Auswirkungen auf politische Würdenträger, sondern auch auf das Sicherheitsempfinden in den IT-Abteilungen. Mittlerweile glaubt die überwiegende Mehrheit der CIOs, dass ihr Unternehmen über die Supply-Chain angreifbar ist. Ganze 82% von 1000 befragten IT-Chefs rund um den Globus gaben dies zumindest in einer Umfrage an. Man muss das als Misstrauensvotum an die Software-Hersteller deuten.
Auch bei den CEOs und Verwaltungsräten ist das Bewusstsein für die Sicherheit der Software-Lieferketten offenbar angekommen: 85% der Firmenleiter und Veraltungsräte haben ihre IT-Chefs angewiesen, Massnahmen zur Verbesserung der Sicherheit ihrer Software-Entwicklungs-Umgebungen zu ergreifen.
Laut der Umfrage wurden bereits einige Massnahmen implementiert: 68% der befragten CIOs gaben an, dass sie mehr Sicherheitskontrollen veranlasst hätten, 56% machen demnach mehr Gebrauch von Code Signing und 47% prüfen die Herkunft ihrer Open-Source-Bibliotheken. Bloss:die schönsten Absichtserklärungen helfen wenig, wenn sie unterlaufen werden. 87% der IT-Chefs glauben nämlich auch, dass Software-Entwickler manchmal Sicherheitsbestimmungen kompromittieren, um Produkte und Dienstleistungen schneller bereitzustellen.
Die Studie wurde von der IT-Security-Firma Venafi in Auftrag gegeben, die auch gleich eine Antwort auf die Frage liefert, warum Supplychain-Hacks zunehmen: Da in der digitalen Transformation viele Firmen zu Software-Entwicklern würden, hätten Angreifer die Entwicklungsumgebungen als fruchtbares Ziel für ihre Attacken ausgemacht. "Hacker haben entdeckt, dass erfolgreiche Angriffe auf die Lieferkette extrem effizient und profitabel sind", sagte Kevin Bocek, Vice President of Threat Intelligence bei Venafi, in einer Stellungnahme.
Zur Studie
Die Umfrage wurde von Coleman Parkes Research im Auftrag von Venafi durchgeführt. Die Unternehmensforscher befragten dafür 1000 CIOs in den USA, dem Vereinigten Königreich, Frankreich, der DACH-Region (Deutschland, Österreich, Schweiz), den Benelux-Staaten (Belgien, Niederlande, Luxemburg) und Australasien (Australien, Neuseeland). Die Fragestellungen und die genaue Zusammensetzung der Befragten wurden nicht kommuniziert. Der Auftraggeber Venafi ist selbst Security-Vendor, der eine Plattform zur Sicherung der Software-Supplychain anbietet.

Loading

Mehr zum Thema

image

Lockbit ist zurück

Keine Woche war die Ransomware-Bande offline. Jetzt will sie sich an den an der Aktion beteiligten Regierungen rächen und hat neue Opfer bekannt gegeben.

publiziert am 26.2.2024
image

Xplain kann weiteren Kunden halten

Der Kanton Aargau hatte die Zusammenarbeit nach dem Cyberangriff auf den IT-Dienstleister ausgesetzt. Jetzt sollen Projekte aber weitergeführt werden.

publiziert am 26.2.2024
image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024