Cybersicherheit wird endlich zu einem echten Mannschaftssport
Angesichts der schlichten Tatsache, dass es unwahrscheinlich ist, dass der chronische Mangel an Cybersecurity-Experten in absehbarer Zeit auf sinnvolle Weise angegangen wird, ergreifen mehr Unternehmen als je zuvor die nächstbeste logische Maßnahme. Sie setzen IT-Teams ein, die die Verantwortung für Sicherheitsabläufe übernehmen, und überzeugen gleichzeitig Anwendungsentwicklungsteams von der Notwendigkeit, die Software-Lieferketten so sicher wie möglich zu gestalten.
Eine globale Umfrage unter 700 IT-Fachleuten, die von Pluralsight, einem Anbieter einer Plattform für Schulungen von IT-Fachleuten, durchgeführt wurde, ergab, dass Cybersecurity im Jahr 2022 Cloud Computing als wichtigsten Schulungsschwerpunkt für Einzelpersonen und Unternehmen abgelöst hat. 43 % nannten Cybersecurity als ihre Hauptsorge bezüglich ihrer Kompetenzen, Cloud Computing nannten dagegen nur 39 %. In einer ähnlichen Umfrage vor einem Jahr erhielten Cybersecurity und Cloud Computing beide 39 %, so der Bericht.
Darüber hinaus kommt die Umfrage von 2022 zu dem Ergebnis, dass 44 % der Befragten jetzt Cybersecurity als Kompetenzlücke nennen, die die größte Bedrohung für ihr Unternehmen darstellt.
Eine von InformationWeek durchgeführte Umfrage unter 149 IT-Fachleuten ergab, dass Unternehmen IT-Teams anweisen, diese Lücke zu schließen. Die größte Änderung im IT-Betrieb und in der Cybersecurity scheint laut des Berichts darin zu bestehen, dass die allgemeine IT mehr Verantwortlichkeiten und Aufgaben übernimmt, die das Sicherheitsteam früher erledigt hat.
Die Integration von IT- und Security-Betrieb wird das Problem jedoch nicht lösen. In einer von Waratek, einem Anbieter von Tools zur Verwaltung von Security-as-Code, durchgeführten Umfrage unter 200 Security-Fachleuten gaben fast 83 % der Befragten an, dass ein Anstieg der Bereitstellungsrate von Anwendungen zu einer Zunahme des erneuten Auftretens zuvor behobener Schwachstellen geführt hat. Entwickler laden einfach dieselbe Komponente mehrmals aus einem Repository herunter und verwenden eine Version dieser Komponente, die eine Schwachstelle hat, die zuvor bereits in einer Produktionsumgebung behoben wurde.
Die Herausforderung besteht darin, dass mit zunehmender Geschwindigkeit, mit der Anwendungen dank der Einführung agiler Methoden und Best DevOps-Praktiken bereitgestellt werden, nicht genügend Cybersecurity-Kompetenz zur Verfügung steht, um Schritt zu halten. Theoretisch sollten sich Unternehmen mehr auf bewährte DevSecOps-Methoden verlassen, um die Verantwortung für die Anwendungssicherheit auf Entwickler zu verlagern, bevor Anwendungen in Produktionsumgebungen bereitgestellt werden. Leider fehlen vielen Anwendungsentwicklungsteams immer noch die Tools und das Fachwissen im Bereich Cybersecurity, um Schwachstellen zu erkennen, zu priorisieren und zu beheben. Es kann Jahre dauern, bis DevSecOps-Praktiken ausreichend automatisiert sind, um die Anzahl der Schwachstellen, die regelmäßig in Anwendungsumgebungen gebracht werden, bedeutend zu reduzieren.
In jedem Fall entwickelt sich Cybersecurity zu einem Teamsport. Cybersecurity-Teams definieren klar die entsprechenden Richtlinien, aber ihre Verantwortung für den Security-Betrieb wird immer üblicher. Es überrascht nicht, dass IT-Teams und Anwendungsentwicklungsteams mehr Einfluss darauf haben, welche Sicherheitsplattformen eingesetzt werden. Viele von ihnen sind einfach nicht in der Lage, übermäßig komplexe Sicherheitsplattformen zu verwalten, für die viel technisches Fachwissen erforderlich ist. Je automatisierter Funktionen sind, desto wahrscheinlicher ist es, dass diese Teams eine Plattform einer anderen vorziehen.
Es wird interessant sein zu sehen, wie sich Cybersecurity in den kommenden Monaten und Jahren entwickeln wird, aber die Zeiten, in denen Cybersecurity-Experten als Spezialisten angesehen wurden, die nicht wirklich in ein Unternehmen integriert waren, gehen endlich zu Ende.
