Der Software-Security-Experte Dynatrace hat eine weltweite Studie unter 1.300 CISOs veröffentlicht. Dabei zeigt sich: Die gesteigerte Geschwindigkeit und Flexibilität moderner IT-Infrastrukturen - wie z.B. Multi-Cloud-Umgebungen - stellen das Schwachstellenmanagement vor immer größere Herausforderungen. 

Unter folgendem Link: Dynatrace | CISO-Report können Sie die Studie jederzeit kostenlos herunterladen. 

Die zentralen Ergebnisse der Studie: 69 Prozent der CISOs sagen, dass das Schwachstellen-Management schwieriger geworden ist. Das liege am gestiegenen Druck und der Notwendigkeit, die digitale Transformation zu beschleunigen. Drei Viertel der Befragten glauben, dass trotz mehrschichtiger Sicherheitsvorkehrungen noch immer Schwachstellen bestehen. Für 79 Prozent der CISOs liegt die Lösung in einem automatischen, kontinuierlichen Runtime-Schwachstellen-Management. Dieses Optimum an Echtzeit-Überwachung erfüllen allerdings nur 4 Prozent der Unternehmen - und nur ein Viertel der Sicherheitsteams hat überhaupt Zugriff auf einen Echtzeit-Bericht laufender Anwendungen und Codebibliotheken.

„Diese Ergebnisse unterstreichen, dass Sicherheitsteams immer wieder Schwachstellen übersehen, unabhängig davon, wie robust ihre Abwehrmechanismen sind“, sagt Bernd Greifeneder, Chief Technology Officer bei Dynatrace. „Sowohl neue Anwendungen als auch stabile Legacy-Software sind anfällig dafür - Log4Shell war das Aushängeschild für dieses Problem, und es wird in Zukunft zweifellos weitere solche Szenarien geben. Offensichtlich mangelt es den meisten Unternehmen bei Runtime-Schwachstellen immer noch an Transparenz.“

Das Problem entstehe durch den zunehmenden Einsatz Cloud-nativer Anwendungen, so Greifeneder. Diese ermöglichen zwar eine größere Business-Agilität, bringen aber auch eine neue Komplexität für Schwachstellen-Management, Angriffserkennung und -abwehr. „Das rasante Tempo der digitalen Transformation bedeutet, dass die ohnehin schon überlasteten Teams mit Tausenden von Sicherheitswarnungen bombardiert werden, die es unmöglich machen, sich auf das Wesentliche zu konzentrieren. Teams können nicht manuell auf jede Warnung reagieren, und die Unternehmen setzen sich unnötigen Risiken aus, indem sie zulassen, dass Schwachstellen in die Produktion gelangen.“

Unnötiger Alarm  

Laut der Studie erhalten Unternehmen monatlich im Schnitt 2.027 Warnmeldungen über potenzielle Sicherheitslücken - davon erfordern aber nur knapp ein Drittel tatsächliche Maßnahmen. Mit der Kontrolle und Aufarbeitung verschwenden Teams viel Zeit - für Prozesse, die auch automatisiert werden könnten. „Die Konvergenz von Observability und Sicherheit ist entscheidend, um den Entwicklungs-, Betriebs- und Sicherheitsteams den notwendigen Kontext zu liefern, damit sie verstehen, wie ihre Anwendungen miteinander verbunden sind, wo die Schwachstellen liegen, und welche priorisiert werden müssen“, so Greifeneder weiter.

„Um wirklich effektiv zu sein, sollten Unternehmen nach Lösungen suchen, die im Kern über KI- und Automatisierungsfunktionen verfügen und AISecDevOps ermöglichen. Damit können ihre Teams Runtime-Schwachstellen schnell identifizieren und priorisieren, Angriffe in Echtzeit blockieren und Softwarefehler beheben, bevor sie ausgenutzt werden. So verschwenden sie keine Zeit mehr mit dem Verfolgen von Fehlalarmen und potenziellen Schwachstellen, die es nie in die Produktion schaffen.“

Hinweis: Die Studie basiert auf einer weltweiten Umfrage unter 1.300 CISOs in großen Unternehmen mit mehr als 1.000 Mitarbeitern. Sie wurde im April 2022 von Coleman Parkes im Auftrag von Dynatrace mit Teilnehmern aus Deutschland, Frankreich, Großbritannien, Spanien, Italien, Skandinavien, den USA, dem Nahen Osten, Australien, Indien, Singapur, Malaysia, Brasilien und Mexiko durchgeführt.

Unter folgendem Link: Dynatrace | CISO-Report können Sie die Studie jederzeit kostenlos herunterladen.