Eine Umfrage unter verschiedenen Teams ergab, dass in den letzten 12 Monaten 88 % der Befragten mindestens einen Vorfall in Bezug auf die Sicherheit ihrer Cloud-Systeme gemeldet haben. Von diesen betroffenen Teams gaben 76 % an, mehrere Vorfälle erlebt zu haben, während 11 % sogar mehr als 10 Vorfälle in diesem Zeitraum verzeichneten.
Der Branchentrendbericht „Securing the Cloud“ von SUSE präsentiert die Ergebnisse einer umfassenden Befragung von 501 Führungskräften und IT-Experten in den USA, Deutschland und Großbritannien. Der Bericht beleuchtet die dringendsten Herausforderungen, mit denen IT-Teams bei der Sicherung von Cloud-Umgebungen konfrontiert sind, und bietet Einblicke in wirksame Lösungen.
Dr. Thomas Di Giacomo, Chief Technology und Product Officer von SUSE, betont, dass sich jedes Unternehmen auf dem Pfad der digitalen Transformation befindet. Um diesen Prozess zu beschleunigen, setzt SUSE auf Open-Source-Lösungen. In ihrem Trendbericht ‚Securing the Cloud‘ widmen sie sich den Perspektiven von IT-Teams, die mit der komplexen Integration von Cloud-Technologien konfrontiert sind. Angesichts der sich ständig verändernden globalen Bedrohungslandschaft und der damit verbundenen Sicherheitsrisiken positioniert sich SUSE als idealer Partner, der Unternehmen dabei unterstützt, sichere Open-Source-Lösungen für ihre geschäftskritischen und innovativsten Workloads zu implementieren und gleichzeitig ihre Cloud-Transformation voranzutreiben.
Steigende Besorgnis um Cloud-Sicherheit erreicht Spitzenwert
Die Ergebnisse der Umfrage zeigen, dass IT-Entscheidungsträger im vergangenen Jahr durchschnittlich vier Sicherheitsvorfälle im Zusammenhang mit der Cloud erlebt haben. Es ist interessant festzustellen, dass die Anzahl der Vorfälle in den USA auf fünf angestiegen ist, während sie in Europa auf drei gesunken ist. Diese Diskrepanz könnte auf unterschiedliche Sicherheitsstandards und -praktiken in den beiden Regionen hinweisen. Die zunehmende Zahl der Sicherheitsvorfälle trägt dazu bei, dass Bedenken hinsichtlich der Sicherheit den umfassenden Einsatz von Cloud-Technologien behindern.
Datenspeicher gelten als das vorrangige Sicherheitsproblem in der Cloud. Bei einer Befragung nannten 31 % der Teilnehmer die Speicherung von Daten in der Cloud oder bei Dritten als ihre größte Sicherheitssorge. Dies deutet darauf hin, dass der Schutz sensibler Informationen bei der externen Speicherung als kritisch angesehen wird.
Cloud Native Security beansprucht über ein Drittel des IT-Budgets
Die Umfrageergebnisse zeigen, dass die Befragten im Durchschnitt etwa 36 % ihres gesamten IT-Budgets für cloud-native Sicherheit ausgeben. Dies deutet darauf hin, dass Unternehmen die Bedeutung der Sicherheit in der Cloud erkannt haben und entsprechende Investitionen tätigen.
In der aktuellen Cloud-Sicherheitslandschaft sind zwei weit verbreitete Praktiken die Sicherheitsautomatisierung und die Container-Firewall. Beide machen jeweils 38 % der Gesamtnutzung aus. Zusätzlich sind die Sicherheitsrichtlinien und Management-Tools, die von Cloud-Anbietern bereitgestellt werden, mit 36 % vertreten. Die Automatisierung von Sicherheitsrichtlinien folgt mit 34 %. Es ist interessant festzustellen, dass einige Cloud-Sicherheitspraktiken bei IT-Entscheidungsträgern in den USA wesentlich beliebter sind als bei ihren europäischen Kollegen. Dazu gehören CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection Platform) und CNAPP (Cloud Native Application Protection Platform), die von 42 % der Entscheidungsträger in den USA bevorzugt werden, im Vergleich zu nur 26 % in Europa.
In den Vereinigten Staaten nutzen 33 % der Entscheidungsträger kostenlose oder kostenpflichtige Überwachungs- oder Sicherheitstools, während dies in Europa nur bei 24 % der Fall ist. Ähnlich verhält es sich bei PSP- (Policy Security Policy) oder PSA- (Policy Security Automation) Richtlinien, von denen 31 % der US-amerikanischen Entscheidungsträger Gebrauch machen im Vergleich zu 22 % in Europa. Ebenso zeigen sich Unterschiede bei der Anwendung von Kubernetes-Netzwerkrichtlinien, die von 32 % der US-amerikanischen Entscheidungsträger genutzt werden, während es in Europa nur 15 % sind. Bei der Verwendung von kostenlosen CVE- (Common Vulnerabilities and Exposures) und kostenpflichtigen Scannern beträgt der Unterschied ebenfalls 8 Prozentpunkte, wobei 26 % der US-amerikanischen Entscheidungsträger diese Tools nutzen im Vergleich zu 18 % in Europa.
Das qualitative Feedback der Befragten hat deutlich hervorgehoben, dass Open-Source-Software entscheidende Vorteile bietet. Die Möglichkeit, die Aufmerksamkeit der Entwickler zu bündeln, ermöglicht eine effektive Weiterentwicklung und Verbesserung der Software. Zudem fördert die Offenheit des Codes den Zugang zu Informationen und ermöglicht eine transparente Überprüfung der Software durch die Gemeinschaft. Durch die Einbindung des kollektiven Wissens können potenzielle Schwachstellen schnell identifiziert und behoben werden.
Quellcode-Überprüfung im Fokus: Nächstes Aktionsfeld für Entwickler
In den kommenden Jahren wird eine beträchtliche Anzahl von IT-Entscheidungsträgern (33 %) verstärkt den Quellcode überprüfen und priorisieren. Dies beinhaltet das Durchführen von Tests und die manuelle Überprüfung der Codebasis, um Fehler zu erkennen. Darüber hinaus legen 30 % der Befragten besonderen Wert auf die Qualität der erstellten Versionen, während 28 % die Tiefe, Qualität und Sicherheit der SBOM (Software Bill of Materials) priorisieren werden.
Eine Analyse der Umfrageergebnisse aus den USA und Europa offenbart interessante Unterschiede in den Prioritäten der Teilnehmer hinsichtlich der Sicherheit in Lieferketten. Demnach legen die Teilnehmer in den USA einen höheren Stellenwert auf die Auditierbarkeit des Quellcodes mit einer Zustimmungsrate von 45 % sowie auf die Tiefe, Qualität und Sicherheit der SBOM mit 36 %. Diese Aspekte werden als maßgeblich erachtet, um die Sicherheitsziele in den Lieferketten zu erreichen. Im Vergleich dazu schneiden Deutschland und Großbritannien bei der Bedeutung der Quellcode-Prüfung eher schwach ab, wobei nur 23 % bzw. 26 % der Teilnehmer diesen Aspekt priorisieren. Des Weiteren sind die Ausgaben für die Absicherung in der Cloud in diesen Ländern geringer als in den USA.