Nach einer Umfrage gaben 88 % der befragten Teams an, in den letzten 12 Monaten mindestens einen Cloud-Sicherheitsvorfall erlebt zu haben. Unter diesen Betroffenen hatten 76 % mit mehreren Vorfällen zu kämpfen, während 11 % sogar über 10 Vorfälle in diesem Zeitraum hinweg verzeichneten.
SUSE hat den Branchentrendbericht „Securing the Cloud“ veröffentlicht, der auf einer detaillierten Befragung von 501 Führungskräften und IT-Experten in den USA, Deutschland und Großbritannien basiert. Dieser Bericht gibt einen umfassenden Überblick über den aktuellen Stand der Cloud-Nutzung und zeigt die wichtigsten Sicherheitsprobleme sowie effektive Lösungsansätze auf.
Dr. Thomas Di Giacomo, Chief Technology und Product Officer von SUSE, macht deutlich, dass die digitale Transformation für Unternehmen von großer Bedeutung ist. SUSE erkennt den Mehrwert von Open-Source-Lösungen, um diesen Transformationsprozess zu beschleunigen. Der Trendbericht ‚Securing the Cloud‘ konzentriert sich auf die Perspektiven von IT-Teams, die sich mit der zunehmenden Einführung komplexer Cloud-Technologien auseinandersetzen. Die sich ständig verändernde globale Bedrohungslandschaft bringt immer wieder neue Sicherheitsrisiken mit sich. SUSE steht bereit, Unternehmen bei der Auswahl sicherer Open-Source-Lösungen für ihre geschäftskritischsten und innovativsten Workloads zu unterstützen und gleichzeitig ihre Migration in die Cloud voranzutreiben.
Sorgen um die Sicherheit in der Cloud nehmen rapide zu
Die Umfrageergebnisse zeigen, dass IT-Entscheidungsträger im vergangenen Jahr durchschnittlich vier Sicherheitsvorfälle im Zusammenhang mit der Cloud erlebt haben. Die Zahl der Vorfälle in den USA ist auf fünf gestiegen, während sie in Europa auf drei gesunken ist. Dies deutet darauf hin, dass die Sicherheitslage in den beiden Regionen unterschiedlich sein könnte, wobei die USA möglicherweise mit größeren Herausforderungen konfrontiert sind. Die gestiegene Anzahl von Sicherheitsvorfällen hat dazu geführt, dass Sicherheitsbedenken den Einsatz von Cloud-Technologien beeinträchtigen. Um dieses Hindernis zu überwinden, sind 88 % der Fachleute bereit, zusätzliche Workloads in die Cloud und den Edge-Bereich zu verlagern, vorausgesetzt, dass die Integrität ihrer Daten gewährleistet ist.
Cloud-Sicherheitsprioritäten unterscheiden sich zwischen den USA und Europa. In den USA betrachten 35 % der IT-Entscheidungsträger die Verwaltung von Sicherheitsrichtlinien, die Föderation und die Automatisierung als ihre größten Sicherheitsbedenken für die Cloud, während es in Europa lediglich 25 % sind. Diese Diskrepanz zeigt, dass die Wahrnehmung der Cloud-Sicherheit in verschiedenen Regionen unterschiedlich sein kann und dass die Herausforderungen bei der Verwaltung von Sicherheitsrichtlinien und automatisierten Prozessen möglicherweise in den USA stärker ausgeprägt sind.
Cloud Native Security verschlingt über 33 % des IT-Budgets
Die Auswertung der Umfrageergebnisse ergab, dass Unternehmen im Durchschnitt etwa 36 % ihres IT-Budgets für cloud-native Sicherheit bereitstellen. Der Vergleich zwischen den USA (42 %) und Europa (33 %) zeigt, dass US-Unternehmen einen höheren Fokus auf diese Art von Sicherheitslösungen legen. Dies könnte auf eine größere Abhängigkeit von der Cloud-Infrastruktur oder eine höhere Anfälligkeit für Cyberbedrohungen in den USA hinweisen.
Bei den aktuellen Cloud-Sicherheitspraktiken dominieren sowohl die Sicherheitsautomatisierung als auch die Container-Firewall mit jeweils 38 % der Gesamtnutzung. Es folgen die Sicherheitsrichtlinien und Management-Tools, die von Cloud-Anbietern bereitgestellt werden, mit 36 %, sowie die Automatisierung von Sicherheitsrichtlinien mit 34 %. Interessanterweise zeigen IT-Entscheidungsträger in den USA eine deutlich stärkere Vorliebe für bestimmte Cloud-Sicherheitspraktiken im Vergleich zu ihren europäischen Kollegen. Insbesondere CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection Platform) und CNAPP (Cloud Native Application Protection Platform) werden von 42 % der US-Entscheidungsträger bevorzugt, während es in Europa lediglich 26 % sind.
Die Verwendung von Überwachungs- oder Sicherheitstools, sei es kostenlos oder kostenpflichtig, ist bei Entscheidungsträgern in den USA mit 33 % höher als in Europa, wo nur 24 % solche Tools einsetzen. Ähnliche Unterschiede zeigen sich bei der Implementierung von PSP- (Policy Security Policy) oder PSA- (Policy Security Automation) Richtlinien, wobei 31 % der US-amerikanischen Entscheidungsträger solche Richtlinien nutzen im Vergleich zu 22 % in Europa. Ebenso fällt auf, dass 32 % der US-amerikanischen Entscheidungsträger Kubernetes-Netzwerkrichtlinien verwenden, während es in Europa nur 15 % sind. Kostenlose CVE- (Common Vulnerabilities and Exposures) und kostenpflichtige Scanner werden ebenfalls von 26 % der US-amerikanischen Entscheidungsträger genutzt, im Vergleich zu 18 % in Europa.
Das qualitative Feedback der Befragten verdeutlicht, dass Open-Source-Software entscheidende Vorteile bietet. Die Bündelung der Aufmerksamkeit der Entwickler führt zu einer hohen Effizienz bei der Fehlererkennung und -behebung. Die Offenheit des Codes ermöglicht es zudem, dass potenzielle Schwachstellen von der Gemeinschaft identifiziert und durch das kollektive Wissen effektiv behoben werden können.
Trendsetter im Softwarebereich: Quellcode-Überprüfung als nächster Schritt
In den kommenden Jahren planen viele IT-Entscheidungsträger (33 %), die Überprüfung des Quellcodes verstärkt in den Mittelpunkt zu rücken und Prioritäten neu zu bewerten. Dies beinhaltet die Durchführung von Tests und die manuelle Überprüfung der Codebasis, um Fehler zu erkennen. Dabei werden 30 % der Befragten besonderen Wert auf die Qualität der Builds legen, während 28 % die SBOM-Tiefe, -Qualität und -Sicherheit betonen.
Beim Vergleich der Umfrageergebnisse aus den USA und Europa treten signifikante Unterschiede in den Prioritäten der Teilnehmer hervor, wenn es um die Erreichung der Sicherheitsziele in Lieferketten geht. In den USA legen 45 % der Teilnehmer eine höhere Bedeutung auf die Auditierbarkeit des Quellcodes, während 36 % eine hohe Priorität auf die SBOM-Tiefe, -Qualität und -Sicherheit legen. Diese Faktoren werden als wesentlich angesehen, um die Sicherheit in den Lieferketten zu gewährleisten. Im Vergleich dazu nehmen Deutschland und Großbritannien bei der Bedeutung der Quellcode-Prüfung eine schwächere Position ein, mit nur 23 % bzw. 26 % der Teilnehmer, die dies als prioritär erachten. Darüber hinaus sind die Ausgaben für die Cloud-Absicherung in diesen Ländern niedriger. Interessanterweise erwarten europäische Teilnehmer (40 %) im Vergleich zu ihren amerikanischen Kollegen (15 %) deutlich häufiger eine Neubewertung der Ziele für die Build-Qualität.
