Gemäß einer Umfrage waren 88 % der befragten Teams in den letzten 12 Monaten mindestens einmal von einem Cloud-Sicherheitsvorfall betroffen. Von diesen Teams erlebten 76 % mehrere Vorfälle, während 11 % in diesem Zeitraum sogar mehr als 10 Vorfälle verzeichneten.
In seinem neuesten Branchentrendbericht "Securing the Cloud" präsentiert SUSE die Ergebnisse einer detaillierten Befragung von 501 Führungskräften und IT-Experten aus den USA, Deutschland und Großbritannien. Der Bericht analysiert die dringlichsten Herausforderungen, mit denen IT-Teams bei der Sicherung von Cloud-Umgebungen konfrontiert sind, und liefert wertvolle Einblicke in bewährte Lösungen.
Dr. Thomas Di Giacomo, Chief Technology und Product Officer von SUSE, betont, dass Unternehmen auf dem Weg der digitalen Transformation stehen. SUSE erkennt die große Bedeutung von Open-Source-Lösungen, um diesen Prozess effektiv zu beschleunigen. Im Trendbericht 'Securing the Cloud' werden die Perspektiven von IT-Teams analysiert, die sich mit der zunehmenden Einführung komplexer nativer Cloud-Technologien auseinandersetzen müssen. Die globale Bedrohungslandschaft ist einem ständigen Wandel unterworfen und bringt neue Sicherheitsrisiken mit sich. SUSE ist optimal positioniert, um Unternehmen bei der Auswahl sicherer Open-Source-Lösungen für ihre geschäftskritischsten und innovativsten Workloads zu unterstützen und gleichzeitig ihre Migration in die Cloud voranzutreiben.
Cloud-Sicherheit hat höchste Priorität aufgrund zunehmender Ängste
Basierend auf den Umfrageergebnissen haben IT-Entscheidungsträger im letzten Jahr im Durchschnitt vier Sicherheitsvorfälle erlebt, die mit der Nutzung von Cloud-Diensten verbunden waren. Es ist interessant zu beobachten, dass die Anzahl der Vorfälle in den USA auf fünf gestiegen ist, während sie in Europa auf drei gesunken ist. Dies könnte auf unterschiedliche Sicherheitsmaßnahmen und -praktiken in den beiden Regionen zurückzuführen sein. Die zunehmenden Sicherheitsvorfälle haben dazu geführt, dass Sicherheitsbedenken den breiten Einsatz von Cloud-Technologien beeinträchtigen. Nichtsdestotrotz sind 88 % der Fachleute bereit, weitere Workloads in die Cloud und den Edge-Bereich zu verlagern, sofern die Integrität ihrer Daten zuverlässig gewährleistet ist.
Bei der Betrachtung der Cloud-Sicherheit wird die Sicherheit der Datenspeicher als das dringendste Problem angesehen. Laut einer Umfrage nannten 31 % der Befragten die Speicherung von Daten in der Cloud oder bei Dritten als ihre vorrangige Sicherheitsbedenken. Dies verdeutlicht die Sorge um den Schutz vertraulicher Informationen bei der externen Speicherung. Darüber hinaus werden Runtime-Angriffe von gefährlichen Akteuren, die Verwaltung von Sicherheitsrichtlinien sowie die Föderation und Automatisierung als starke sekundäre Bedenken genannt, wobei die Prioritäten zwischen den USA und Europa leicht variieren.
Ausgaben für Cloud Native Security machen mehr als ein Drittel des IT-Budgets aus
Basierend auf den Umfrageergebnissen beträgt der durchschnittliche Anteil des IT-Budgets, den Unternehmen für cloud-native Sicherheit aufwenden, 36 %. Interessanterweise zeigen die Daten, dass die Befragten in den USA mit 42 % einen höheren Prozentsatz für diesen Bereich reservieren als ihre europäischen Pendants mit 33 %. Diese Diskrepanz könnte auf Unterschiede in der Reife des Cloud-Marktes, der Regulierung oder der Wahrnehmung von Sicherheitsrisiken zwischen den beiden Regionen zurückzuführen sein.
Die aktuelle Nutzung von Cloud-Sicherheitspraktiken spiegelt eine Vielzahl von Ansätzen wider. Sowohl die Sicherheitsautomatisierung als auch die Container-Firewall sind stark vertreten und machen jeweils 38 % der Gesamtnutzung aus. Anschließend folgen die von Cloud-Anbietern bereitgestellten Sicherheitsrichtlinien und Management-Tools mit 36 %, gefolgt von der Automatisierung von Sicherheitsrichtlinien mit 34 %. Es ist interessant zu beobachten, dass bestimmte Cloud-Sicherheitspraktiken bei IT-Entscheidungsträgern in den USA eine wesentlich höhere Beliebtheit aufweisen als bei ihren europäischen Kollegen. CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection Platform) und CNAPP (Cloud Native Application Protection Platform) werden von 42 % der US-Entscheidungsträger bevorzugt, während es in Europa nur 26 % sind.
Die Nutzung von kostenlosen oder kostenpflichtigen Überwachungs- oder Sicherheitstools ist unter Entscheidungsträgern in den USA mit 33 % höher als in Europa, wo nur 24 % solche Tools einsetzen. Ebenso zeigt sich ein ähnlicher Trend bei der Anwendung von PSP- (Policy Security Policy) oder PSA- (Policy Security Automation) Richtlinien, wobei 31 % der US-amerikanischen Entscheidungsträger auf solche Richtlinien setzen im Vergleich zu 22 % in Europa. Darüber hinaus nutzen 32 % der US-amerikanischen Entscheidungsträger Kubernetes-Netzwerkrichtlinien, während dies bei europäischen Entscheidungsträgern nur bei 15 % der Fall ist. Hinsichtlich der Verwendung von kostenlosen CVE- (Common Vulnerabilities and Exposures) und kostenpflichtigen Scannern beträgt der Unterschied ebenfalls 8 Prozentpunkte, wobei 26 % der US-amerikanischen Entscheidungsträger solche Tools nutzen im Vergleich zu 18 % in Europa.
Basierend auf dem qualitativen Feedback unterstreichen die Befragten die bedeutenden Vorteile von Open-Source-Software. Die Bündelung der Aufmerksamkeit der Entwickler ermöglicht eine konzentrierte und effiziente Weiterentwicklung der Software. Die Offenheit des Codes fördert die Transparenz und ermöglicht es der Gemeinschaft, potenzielle Schwachstellen durch gemeinsames Wissen schnell zu identifizieren und zu beheben.
Blick in die Zukunft: Quellcode-Überprüfung wird zur Standardpraxis
Ein großer Teil der IT-Entscheidungsträger (33 %) erwartet in den kommenden Jahren eine verstärkte Neubewertung und Priorisierung der Überprüfung des Quellcodes. Dies umfasst Tests sowie die manuelle Überprüfung der Codebasis, um Fehler zu entdecken. In Bezug auf Prioritäten werden 30 % der Befragten die Build-Qualität betonen, während 28 % besonderen Fokus auf die Tiefe, Qualität und Sicherheit der SBOM legen werden.
Die Gegenüberstellung der Umfrageergebnisse aus den USA und Europa verdeutlicht markante Unterschiede in den Prioritäten der Teilnehmer bezüglich der Sicherheitsziele in Lieferketten. Den Teilnehmern aus den USA wird die Auditierbarkeit des Quellcodes mit einer Zustimmungsrate von 45 % und die SBOM-Tiefe, -Qualität und -Sicherheit mit einer Zustimmungsrate von 36 % als bedeutend erachtet, um die Sicherheitsziele zu erreichen. Im Gegensatz dazu zeigen Deutschland und Großbritannien weniger Interesse an der Prüfung des Quellcodes, wobei nur 23 % bzw. 26 % der Teilnehmer dies als prioritär betrachten. Zusätzlich sind die Ausgaben für die Absicherung in der Cloud in diesen Ländern geringer im Vergleich zu den USA. Auffällig ist jedoch, dass die europäischen Teilnehmer (40 %) im Vergleich zu ihren amerikanischen Kollegen (15 %) deutlich häufiger eine Neubewertung der Ziele für die Build-Qualität erwarten.
