Studie: Software-Lieferkette ist das größte Sicherheitsrisiko
Laut einer aktuellen Studie hat sich das Verständnis für die Sicherheitsrisiken der Cloud in den vergangenen zwölf Monaten verbessert. Indes bereiten den Security-Teams zahlreiche neue Angriffsvektoren auf die Software-Supply-Chain größte Sorgen.

Aqua Security hat die Ergebnisse ihrer neuesten Studie „The State of Cloud Native Security 2023“ vorgestellt. Dafür wurden auf der „Cloud Expo Europe“ im März Unternehmensvertreter zu ihren Ansichten, Strategien und Bedenken bei der Sicherung ihrer Cloud-Native-Umgebung befragt. Im Vergleich zur Vorjahresstudie am gleichen Ort konnten einige interessante Trends identifiziert werden.
Ein erfreulicher Trend zeigt sich beispielsweise darin, dass sich mehr Unternehmen nun mit Cloud-Native-Security befassen. Im vergangenen Jahr hatten lediglich 21 Prozent der Befragten eine entsprechende Sicherheitsstrategie, während es nun 34 Prozent sind. Ebenso erkennen mehr Unternehmen, dass die Verantwortung für Cloud Native Security sowohl bei den IT-Sicherheits- als auch bei den DevOps-Teams liegt, wobei dieser Anteil von 20 Prozent auf 28 Prozent gestiegen ist.
Das Verständnis und Bewusstsein für die Herausforderungen bei Cloud-Native-Sicherheit scheinen ebenfalls zugenommen zu haben. Fast die Hälfte der Befragten (46 Prozent) kennt jetzt den Begriff „CNAPP“ (Cloud Native Application Protection Platform), eine von Gartner eingeführte Kategorie für Cloud-Native-Sicherheit. Dies entspricht einem Anstieg von 47 Prozent im Vergleich zum Vorjahr. Gleichzeitig gaben weniger Befragte an, dass ein mangelndes Verständnis ein Hindernis für eine erfolgreiche Cloud-Native-Security-Strategie darstellt (43 Prozent im Vergleich zu 56 Prozent im Vorjahr).
Hauptsorge: Sicherung der Software-Supply-Chain
Eine besondere Sorge unter den Sicherheitsexperten sind die zahlreichen neuen Angriffsvektoren auf die Software-Supply-Chain. Während im Vorjahr nur 19 Prozent der Befragten die Sicherheit der Software-Lieferkette als größtes Risiko ansahen, stieg dieser Wert nun fast auf 37 Prozent. Insbesondere Schwachstellen in Open Source bereiten vielen Unternehmen Sorgen, wobei 47 Prozent der Befragten dies als äußerst bedenklich einstufen.
Fehlendes Budget und neue Vorschriften als Hemmschuhe
Die Umsetzung effektiver Cloud-Native-Security-Lösungen wird durch einige Hindernisse erschwert. Ein begrenztes oder fehlendes Budget ist für 39 Prozent der Befragten eine Herausforderung, während 29 Prozent Cloud-Native-Security als kompliziert oder schwer zu implementieren empfinden.
Neue Compliance-Verpflichtungen in Bezug auf die Sicherheit der Software-Supply-Chain, wie beispielsweise die „Executive Order 14028“ in den USA, bereiten vielen Befragten ebenfalls Sorgen. Nur 37 Prozent der Befragten waren zuversichtlich, diese neuen Richtlinien oder Rahmenwerke umsetzen zu können. Wenige Unternehmen planen die Einführung von Sicherheitsstandards für die Software-Supply-Chain, wobei nur 22 Prozent die Einführung von SBOM-Standards wie CycloneDX oder SPDX planen und lediglich 11 Prozent die Einführung von NIS2-Richtlinien.
Arne Jacobsen, Director Sales EMEA bei Aqua Security, kommentiert die Ergebnisse und betont die wachsende Besorgnis der Unternehmen hinsichtlich der Sicherung ihrer Cloud-Native-Plattformen. Er hofft, dass diese gesteigerte Aufmerksamkeit zu aktiveren Maßnahmen führt, um echte End-to-End-Sicherheitslösungen zu implementieren und die Software-Lieferkette angemessen abzusichern.

Während im Vorjahr nur 19 Prozent der Befragten die Sicherheit der Software-Lieferkette als größtes Risiko ansahen, stieg dieser Wert nun fast auf 37 Prozent. Insbesondere Schwachstellen in Open Source bereiten vielen Unternehmen Sorgen, wobei 47 Prozent der Befragten dies als äußerst bedenklich einstufen.