Eine globale Umfrage unter Führungskräften von Cloudbees zeigt ein hohes Vertrauen in die Sicherheit der Software-Lieferkette, aber ein begrenztes Verständnis für die wesentlichen Komponenten, die eine Software-Lieferkette sicher machen. Aus der Umfrage ergibt sich auch, dass bei fast allen Unternehmen die Sicherheit der Lieferkette eine höhere Priorität hat als noch vor zwei Jahren.
Laut der Cloudbees Global-C-Suite-Sicherheits-Umfrage geben die Führungskräfte mit überwältigender Mehrheit an, dass ihre Software-Lieferketten sicher (95%) oder sehr sicher (55%) sind, und 93 Prozent sagen, dass sie auf ein Problem wie Ransomware oder einen Cyberangriff auf ihre Lieferkette vorbereitet sind. Wenn jedoch zusätzliche Fragen zur Sicherheit ihrer Lieferketten gestellt werden, decken die Antworten Schwachstellen auf. Mehr als zwei von fünf Führungskräften (45%) geben zu, dass die Initiativen zur Sicherung ihrer Software-Lieferketten nur zur Hälfte oder gar nicht abgeschlossen sind, und 64 Prozent sagen, sie wüssten nicht, an wen sie sich zuerst wenden würden, wenn ihre Lieferkette angegriffen würde.
„Es ist von entscheidender Bedeutung, dass die Software-Lieferketten so sicher und Compliant-konform wie möglich funktionieren. Diese Ergebnisse zeigen, dass Führungskräfte zwar oberflächlich betrachtet zuversichtlich sind, aber auch Sicherheits- und Planungslücken erkennen, die Unternehmen erheblichen Geschäftsunterbrechungen, Bedenken von Regulierungsbehörden und Kunden sowie negativen Auswirkungen auf die Marke aussetzen könnten“, sagte Prakash Sethuraman, Chief Information Security Officer bei Cloudbees. „Damit eine Software-Lieferkette sicher ist, muss sie über den gesamten Lebenszyklus hinweg kontinuierlich und in Echtzeit überprüft werden – vom Commit bis hin zur Produktion. Es ist ermutigend zu sehen, dass sich die Unternehmen auf die Entwicklung konzentrieren, aber sie müssen den gesamten Lebenszyklus im Blick haben.“
Die Umfrage zeigt auch, dass viele Unternehmen nicht darauf vorbereitet sind, schnell zu reagieren, wenn es zu einem Angriff oder einer Sicherheitsverletzung kommt. Von den befragten Führungskräften gaben 64 Prozent an, dass es mehr als vier Tage dauern würde, das Problem zu beheben. Für ein Fortune-500-Unternehmen könnte dies zu Umsatzeinbußen in Millionenhöhe führen und einen erheblichen Imageschaden verursachen. Und obwohl 93 Prozent der Führungskräfte angeben, dass sie den Umgang mit einer Schwachstelle in der Lieferkette routinemäßig üben, sagen 58 Prozent, dass sie im Falle eines Problems nicht wüssten, was ihr Unternehmen tun würde.
Da sich Unternehmen immer stärker auf Software verlassen, um geschäftskritische Anforderungen zu erfüllen, zeigen die Trends, dass eine steigende Zahl von Angriffen dieses Thema in den Vorstandsetagen in den Vordergrund rückt. Fast alle Führungskräfte (95%) geben an, dass sie sich heute mehr Gedanken über die Sicherung der Lieferkette machen als noch vor zwei Jahren, und 92 Prozent gaben an, dass sich ein Sicherheitsproblem auf ihr Unternehmen auswirken würde.
Die Ergebnisse der Umfrage unter 500 Führungskräften in den Vereinigten Staaten, dem Vereinigten Königreich, Deutschland und Frankreich spiegeln die wachsende Besorgnis über die Sicherheit der weltweiten Lieferung und Verteilung von Software wider.
Die Umfrage ergab auch Folgendes:
- Unterbrechungen und Störungen wirken sich auf Mitarbeiter und Innovation aus: Mehr als vier von fünf Führungskräften (83%) geben an, dass Sicherheitsprobleme dazu führen, dass ihre Entwickler alles stehen und liegen lassen, um den Code zu überprüfen, was wiederum andere Geschäftsunterbrechungen verursacht. 82 Prozent der Führungskräfte geben an, dass sie durch die Behebung von Sicherheitsproblemen Zeit verlieren, die ihre Mitarbeiter für Innovationen nutzen könnten.
- Die Antworten variieren je nach Größe und Standort: Kleinere Unternehmen sind zuversichtlicher, was ihre Fähigkeit angeht, mit Problemen in der Lieferkette umzugehen, als größere Unternehmen. Im Ländervergleich sind die Führungskräfte in den USA am zuversichtlichsten, was die Sicherheit ihrer Software-Lieferketten angeht, und die in Frankreich am wenigsten zuversichtlich.
- Technische Fragen stehen auf der Tagesordnung: Fast alle Führungskräfte geben an, dass Container-Images auf hohe oder kritische Schwachstellen geprüft werden (95%) und dass ihre Automatisierungszugriffsschlüssel automatisch ablaufen (95%), während 92 Prozent sagen, dass ihr Unternehmen nur mit einem GPG-Schlüssel für Entwickler signierte Commits akzeptiert. Neun von zehn C-Suite-Führungskräften geben an, dass die Abhängigkeiten zu vertrauenswürdigen Verzeichnissen in ihrem Unternehmen begrenzt sind (90%) und dass der administrative Zugriff auf CI/CD-Tools eingeschränkt ist (89%).
#Cloudbees
