Laut einer Umfrage wurden 88 % der befragten Teams in den letzten 12 Monaten mit mindestens einem Vorfall in Bezug auf die Sicherheit ihrer Cloud-Systeme konfrontiert. Von diesen betroffenen Teams erlebten 76 % mehrere Vorfälle, während 11 % sogar über 10 Vorfälle in diesem Zeitraum hinweg verzeichneten.
Die Ergebnisse des Branchentrendberichts „Securing the Cloud“ von SUSE sind das Resultat einer detaillierten Befragung von 501 Führungskräften und IT-Experten in den USA, Deutschland und Großbritannien. Der Bericht legt den Fokus auf die dringendsten Herausforderungen, denen IT-Teams bei der Sicherung von Cloud-Umgebungen gegenüberstehen, und bietet einen fundierten Einblick in effektive Lösungen.
Dr. Thomas Di Giacomo, Chief Technology und Product Officer von SUSE, hebt hervor, dass Unternehmen heutzutage nicht mehr um die digitale Transformation herumkommen. SUSE ist sich dieser Tatsache bewusst und setzt auf Open-Source-Lösungen, um diesen Prozess zu beschleunigen. In ihrem Trendbericht ‚Securing the Cloud‘ untersuchen sie die Perspektiven von IT-Teams, die sich mit der Einführung anspruchsvoller Cloud-Technologien auseinandersetzen müssen. Die ständigen Veränderungen der globalen Bedrohungslandschaft bringen neue Sicherheitsrisiken mit sich. SUSE positioniert sich als Unternehmen, das anderen Unternehmen dabei hilft, sich für sichere Open-Source-Lösungen zu entscheiden, um ihre geschäftskritischen und innovativsten Workloads in der Cloud zu betreiben.
Wachsende Ängste um Sicherheit in der Cloud nehmen zu
Laut der durchgeführten Umfrage haben IT-Entscheidungsträger im letzten Jahr im Durchschnitt vier Sicherheitsvorfälle im Zusammenhang mit der Cloud erlebt. Interessanterweise ist die Anzahl der Vorfälle in den USA auf fünf gestiegen, während sie in Europa auf drei gesunken ist. Dieses Ergebnis weist auf mögliche Unterschiede in der Sicherheitsinfrastruktur und den Sicherheitspraktiken zwischen den beiden Regionen hin. Es ist wichtig anzumerken, dass diese Sicherheitsvorfälle die Bedenken hinsichtlich der Sicherheit von Cloud-Technologien verstärken und die Bereitschaft der Fachleute, zusätzliche Workloads in die Cloud und den Edge-Bereich zu verlagern, verringern.
Cloud-Sicherheitsprioritäten unterscheiden sich zwischen den USA und Europa. In den USA betrachten 35 % der IT-Entscheidungsträger die Verwaltung von Sicherheitsrichtlinien, die Föderation und die Automatisierung als ihre größten Sicherheitsbedenken für die Cloud. Im Vergleich dazu sind es in Europa lediglich 25 %. Dies lässt darauf schließen, dass in den USA ein stärkerer Fokus auf die effiziente Verwaltung und Automatisierung von Sicherheitsrichtlinien liegt.
Cloud Native Security: Über 33 % des IT-Budgets investiert
Aus den Umfrageergebnissen geht hervor, dass die Befragten im Durchschnitt rund 36 % ihres gesamten IT-Budgets für cloud-native Sicherheit aufwenden. Besonders interessant ist der Unterschied zwischen den USA und Europa, wobei die befragten US-Unternehmen mit 42 % einen höheren Anteil für diesen Bereich bereitstellen als die europäischen Unternehmen mit 33 %. Diese Diskrepanz könnte auf unterschiedliche strategische Ansätze oder unterschiedliche Bedrohungsszenarien zurückzuführen sein.
Die aktuellen Cloud-Sicherheitspraktiken weisen eine Vielzahl von Ansätzen auf, die von Unternehmen weltweit genutzt werden. Dabei sind die Sicherheitsautomatisierung und die Container-Firewall besonders beliebt und machen jeweils 38 % der Gesamtnutzung aus. Die Sicherheitsrichtlinien und Management-Tools, die von Cloud-Anbietern bereitgestellt werden, werden von 36 % der Nutzer verwendet, gefolgt von der Automatisierung von Sicherheitsrichtlinien mit 34 %. Interessanterweise zeigen IT-Entscheidungsträger in den USA eine signifikant größere Präferenz für bestimmte Cloud-Sicherheitspraktiken im Vergleich zu ihren europäischen Kollegen. Besonders hervorzuheben sind hier CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection Platform) und CNAPP (Cloud Native Application Protection Platform), die von 42 % der Entscheidungsträger in den USA bevorzugt werden, während es in Europa nur 26 % sind.
Bei Entscheidungsträgern in den USA ist die Nutzung von kostenlosen oder kostenpflichtigen Überwachungs- oder Sicherheitstools mit 33 % höher als in Europa, wo nur 24 % solche Tools einsetzen. Ähnliche Unterschiede finden sich bei der Anwendung von PSP- (Policy Security Policy) oder PSA- (Policy Security Automation) Richtlinien, wobei 31 % der US-amerikanischen Entscheidungsträger diese nutzen im Vergleich zu 22 % in Europa. Ein deutlicher Trend zeigt sich auch bei der Verwendung von Kubernetes-Netzwerkrichtlinien, bei der 32 % der US-amerikanischen Entscheidungsträger involviert sind, während es in Europa lediglich 15 % sind. Kostenlose CVE- (Common Vulnerabilities and Exposures) sowie kostenpflichtige Scanner werden ebenfalls von 26 % der US-amerikanischen Entscheidungsträger genutzt im Vergleich zu 18 % in Europa.
Die Befragten betonten in ihrem qualitativen Feedback die entscheidenden Vorteile von Open-Source-Software. Durch die Bündelung der Aufmerksamkeit der Entwickler entsteht eine starke Entwicklergemeinschaft, die in der Lage ist, das kollektive Wissen zur Identifizierung von potenziellen Schwachstellen zu nutzen. Die Offenheit des Codes ermöglicht es zudem, dass die Software von einer breiten Gemeinschaft geprüft und verbessert werden kann.
Auf dem Vormarsch: Quellcode-Überprüfung wird zur neuen Priorität
Laut einer Studie rechnet ein beträchtlicher Teil der IT-Entscheidungsträger (33 %) in den kommenden Jahren mit einer erhöhten Aufmerksamkeit für die Überprüfbarkeit des Quellcodes. Dies umfasst die Durchführung von Tests sowie die manuelle Prüfung der Codebasis, um Fehler zu erkennen. 30 % der Befragten werden besonderen Wert auf die Qualität der erstellten Versionen legen, während 28 % die SBOM-Tiefe, -Qualität und -Sicherheit priorisieren.
Ein Vergleich der Ergebnisse der Befragung in den USA und Europa verdeutlicht, dass die Teilnehmer in den USA bei der Sicherstellung von Sicherheitszielen in Lieferketten der Auditierbarkeit des Quellcodes mit einer Zustimmungsrate von 45 % sowie der SBOM-Tiefe, -Qualität und -Sicherheit mit einer Zustimmungsrate von 36 % eine höhere Priorität einräumen. Diese Faktoren werden als entscheidend erachtet, um eine sichere Lieferkette zu gewährleisten. Im Gegensatz dazu zeigen Deutschland und Großbritannien ein geringeres Interesse an der Prüfung des Quellcodes, wobei nur 23 % bzw. 26 % der Teilnehmer diesem Aspekt eine hohe Bedeutung beimessen. Zudem sind die Ausgaben für die Absicherung in der Cloud in diesen Ländern niedriger im Vergleich zu den USA.