Venafi®, der Erfinder und führende Anbieter von maschinellem Identitätsmanagement, gibt die Ergebnisse einer Umfrage bekannt, die die Herausforderungen bei der Verbesserung der Sicherheit in der Software-Lieferkette aufzeigt. Die Umfrage wertete die Meinungen von mehr als 1.000 IT- und Entwicklungsfachleuten aus, darunter 193 Führungskräfte, die sowohl für die Sicherheit als auch für die Softwareentwicklung verantwortlich sind, und zeigte eine eklatante Diskrepanz zwischen den Bedenken der Führungskräfte und ihren Maßnahmen. Obwohl 94 Prozent der Führungskräfte der Meinung sind, dass Softwareanbieter, die die Integrität ihrer Softwareentwicklungspipelines nicht schützen, klare Konsequenzen (Geldstrafen, größere rechtliche Haftung für Unternehmen, denen Nachlässigkeit nachgewiesen wurde) haben sollten, haben die meisten wenig unternommen, um die Art und Weise zu ändern, wie sie die Sicherheit der von ihnen erworbenen Software bewerten und welche Zusicherungen sie von Softwareanbietern verlangen.
Nach Angaben der ENISA werden Angriffe auf die Lieferkette wie SolarWinds, Codecov und Kaseya bis 2021 voraussichtlich um das Vierfache zunehmen. Die Führungskräfte sind eindeutig sehr viel besorgter über ihre Anfälligkeit für Angriffe auf die Software-Lieferkette und sind sich des dringenden Handlungsbedarfs bewusst. Die Umfrageergebnisse zeigen jedoch, dass sie keine Maßnahmen ergreifen, die einen Wandel herbeiführen würden.
Die wichtigsten Ergebnisse sind:
- 97 Prozent der Führungskräfte sind der Meinung, dass Softwareanbieter die Sicherheit ihrer Softwareerstellungs- und Codesignierungsprozesse verbessern müssen.
- 96 Prozent der Führungskräfte sind der Meinung, dass Softwareanbieter verpflichtet werden sollten, die Integrität des Codes in ihren Software-Updates zu garantieren.
Jedoch auch:
- Mehr als 1 von 2 (55 %) der Führungskräfte geben an, dass der SolarWinds-Hack keine oder nur geringe Auswirkungen auf die Bedenken hatte, die sie beim Kauf von Softwareprodukten für ihr Unternehmen berücksichtigen.
- 69 Prozent der Führungskräfte geben an, dass ihr Unternehmen die Anzahl der Fragen, die sie Softwareanbietern zu den Prozessen stellen, mit denen sie die Sicherheit ihrer Software gewährleisten und den Code überprüfen, nicht erhöht hat.
- Innerhalb ihres eigenen Unternehmens sind die Führungskräfte geteilter Meinung darüber, wer für die Verbesserung der Sicherheit innerhalb ihrer eigenen Softwareentwicklungsorganisation verantwortlich ist: 48 Prozent sagen, dass die IT-Sicherheit verantwortlich ist, und 46 Prozent, dass die Entwicklungsteams verantwortlich sind.
„Es besteht eine klare Diskrepanz zwischen der Besorgnis über Angriffe auf die Lieferkette und der Verbesserung der Sicherheitskontrollen und -prozesse, um dieses Risiko zu mindern“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Führungskräfte machen sich zu Recht Sorgen über die Auswirkungen von Angriffen auf die Lieferkette. Diese Angriffe stellen für jedes Unternehmen, das kommerzielle Software einsetzt, ein ernsthaftes Risiko dar und sind extrem schwer abzuwehren. Um dieses systemische Problem zu lösen, muss die gesamte Technologiebranche die Art und Weise ändern, wie wir Software entwickeln und kaufen. Führungskräfte können dies nicht einfach als ein weiteres technisches Problem behandeln – es ist eine existenzielle Bedrohung. Führungskräfte und Vorstände müssen verlangen, dass die Sicherheits- und Entwicklungsteams aller kommerziellen Softwareanbieter ihre Prozesse ändern, damit sie die Sicherheit ihrer Software eindeutig gewährleisten können.“