Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Cloud-Verantwortliche äußern sich zu wichtigen Herausforderungen



Cloud-Verantwortliche äußern sich zu wichtigen Herausforderungen

Zu viele Identitäten, Systeme und Verantwortliche in der Cloud verkomplizieren eine ohnehin schon komplexe Aufgabe.

Mehr als zwei Drittel der Cloud-Entscheidungsträger (68 %) geben an, dass ihre Cloud-Implementierungen – insbesondere Public- und Hybrid-Instanzen – das größte Exposure-Risiko für ihr Unternehmen darstellen. Zudem stellt die Verwaltung des Zugriffs auf diese Systeme eine erhebliche Herausforderung dar.

Dies sind die Ergebnisse einer im Auftrag von Tenable durchgeführten Umfrage unter 262 IT- und Sicherheitsexperten, die die endgültige Entscheidungsbefugnis für die Cloud-Infrastruktur ihres Unternehmens haben. Die Umfrage, die 2023 von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, zeigt vier Schlüsselbereiche auf, von denen Cloud-Entscheidungsträger sagen, dass sie das größte Exposition gegenüber Risiken darstellen:

  • Fehlkonfigurationen bei Cloud-Infrastruktur und Cloud-Services, die im gesamten Unternehmen genutzt werden (68 %)
  • Schwachstellen in Business-/IT-Software, die im gesamten Unternehmen genutzt wird (62 %)
  • Fehlkonfigurationen bei Tools, mit denen das Unternehmen Benutzerberechtigungen und -zugriff verwaltet (60 %)
  • Schwachstellen in OT-Software, die im gesamten Unternehmen genutzt wird (46 %)

Wenn es darum geht, die Exposition gegenüber Risiken zu bewerten, stellt die Cloud andere Bereiche der IT-Infrastruktur in den Schatten, was die Besorgnis der Cloud-Entscheider angeht.

In welchem der folgenden Bereiche Ihres Unternehmens ist die Exposition gegenüber Risiken am größten?

Technologie% der Befragten
Public Cloud-Infrastruktur129%
Multi-Cloud-/Hybrid-Infrastruktur228%
Internet of Things (IoT)15%
Private Cloud-Infrastruktur11%
Management-Tools für Cloud-Container9%
On-Premises-Infrastruktur5%
Operative Technologien (OT) / industrielle Steuerungssysteme (ICS) / SCADA-Systeme (Supervisory Control and Data Acquisition)3%

1 Public Cloud kann ein einzelner Public Cloud-Anbieter sein, wie Amazon Web Services (AWS), Google Cloud Platform (GCP) oder Microsoft Azure

2 Multi-Cloud / Hybrid ist eine Kombination aus zwei oder mehr Public und/oder Private Clouds

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Wo investieren Cloud-Entscheidungsträger im kommenden Jahr?

In den meisten Unternehmen wird derzeit eine Vielzahl von cloudbasierten Infrastruktur- und Unternehmenssystemen eingesetzt, darunter virtuelle Maschinen und Container sowie Customer Relationship Management(CRM)- und Personalverwaltungssysteme.

In Bezug auf die Investitionsbereiche im Zusammenhang mit der Bereitstellung von Technologien in der Cloud nannten die Befragten Serverless-Funktionen, virtuelle Maschinen und Container als die drei wichtigsten Technologien, deren Nutzung sie in den nächsten 12 Monaten ausbauen wollen.

Welche der folgenden Technologien für Cloud-Infrastrukturen setzt Ihr Unternehmen derzeit ein?

TechnologieNicht an Cloud interessiertInteressiert, aber keine Pläne zur Einführung von Cloud-LösungenPlanen eine Cloud-Bereitstellung in den nächsten 12 MonatenHaben Cloud-Lösungen implementiert, führen aber keine Erweiterungen/Upgrades durchErweitern oder Upgraden die Cloud-NutzungReduzieren oder Entfernen die Cloud-Nutzung
Serverless-Funktionen8%21%39%24%7%0%
Virtuelle Maschinen3%14%33%34%13%3%
Container2%11%32%35%16%3%
HR-Management2%12%26%40%18%2%
E-Mail2%5%25%35%26%7%
Finanzwesen3%11%25%32%24%6%
IT-Service-Management (ITSM)0%5%24%34%30%8%
Enterprise Resource Planning (ERP)1%4%17%37%32%9%
Customer Relationship Management (CRM)0%6%14%42%28%10%

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Zu viele Daten, zu viele Silos, zu viele Stakeholder

Angesichts des komplexen cloudbasierten Ökosystems in den meisten Unternehmen ist es nicht überraschend, dass Ergebnissee zur Cloud ganz oben auf der Liste der Datenquellen stehen, die von Cloud-Entscheidern zur Bestimmung des Gesamtrisikos verwendet werden. Aber Ergebnisse zur Cloud sind wohl kaum die einzige Quelle. Threat Intelligence Feeds, Veröffentlichungen von Schwachstellen und Ergebnisse von Incident Readiness-Assessments gehören ebenfalls zu den Quellen, auf deren Daten sich Cloud-Entscheidungsträger stützen.

Welche der folgenden Datenquellen nutzt Ihr Unternehmen, um die allgemeine Exposition gegenüber Risiken zu ermitteln?

Daten% der Befragten
Ergebnisse zur Cloud69%
Threat-Intelligence-Feeds55%
Veröffentlichungen von Schwachstellen52%
Ergebnisse aus Incident Readiness-Assessments52%
Ergebnisse von Penetrationstests47%
Erkenntnisse zur externen Angriffsoberfläche42%
Profile und Berechtigungen von Benutzern35%
Ergebnisse zu operativer Technologie31%
Asset-Bestandsaufnahmen26%

Mehrfachnennungen möglich.

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Die Zusammenführung all dieser Daten aus verschiedenen isolierten Systemen ist zeitaufwendig und kompliziert. Organisatorische Silos, mangelnde Datenhygiene und ein Fokus auf reaktive statt präventive Cybersicherheit tragen dazu bei, dass Cloud-Sicherheit zu einer Herausforderung wird. Im Einzelnen:

  • Sieben von zehn (70 %) Cloud-Entscheidern zufolge erweisen sich die isolierten Systeme ihres Unternehmens bei der Beschaffung von Benutzerdaten als Hindernis.
  • Die Hälfte der Befragten gibt an, dass es ihrem Team an einer effektiven Möglichkeit fehlt, Benutzerdaten in ihre Schwachstellen-Management-Verfahren einzubinden.
  • Mehr als die Hälfte (55 %) erklären, dass mangelnde Hygiene sowohl im Umgang mit den Benutzerdaten als auch mit den Schwachstellen-Management-Systemen ihres Unternehmens sie daran hindert, hochwertige Daten zu gewinnen, die ihre Mitarbeiter bei Priorisierungsentscheidungen unterstützen.
  • Laut sechs von zehn (58 %) Befragten ist das Cybersecurity-Team zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt, als dass es einen präventiven Ansatz verfolgen könnte, um die Exposure des Unternehmens zu reduzieren.
  • Nahezu drei Viertel (74 %) sind der Ansicht, dass ihr Unternehmen bei der Abwehr von Cyberangriffen erfolgreicher wäre, wenn es mehr Ressourcen für präventive Cybersecurity aufbringen würde.

Erschwerend kommt hinzu, dass die Verantwortung für die Überwachung von Identitäts- und Zugriffsmanagementsystemen ein Teamsport zu sein scheint, an dem Fachpersonal aus den Bereichen IT- und Sicherheitsbetrieb, Risiko und Compliance sowie Governance beteiligt sind. Bei einer großen Mehrheit der Befragten (67 %) sind drei oder mehr Identitäts- und Zugriffsmanagementsysteme im Einsatz, und an der Verwaltung dieser Systeme sind bis zu fünf verschiedene Arten von Teams beteiligt: IT-Betrieb (77 %), Sicherheitsbetrieb (61 %), Identität und Zugriff (53 %), Risiko und Compliance (36 %) und Governance (32 %).

Wer betreut die in Ihrem Unternehmen eingesetzten Systeme zur Verwaltung von Identitäten und Berechtigungen?

Team% der Befragten
IT-Betrieb77%
Sicherheitsbetrieb61%
Für Identitäten und Zugriff zuständiges Team53%
Risiko und Compliance36%
Governance32%
Mein Unternehmen verfügt nicht über ein System zur Verwaltung von Identitäten und Berechtigungen2%
Anders1%

Mehrfachnennungen möglich.

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Darüber hinaus haben die meisten der befragten Cloud-Entscheider mehrere Funktionen inne und geben an, dass sie die endgültigen Entscheidungsträger für eine Reihe anderer wichtiger Bereiche sind, darunter DevSecOps, Schwachstellen-Management und sogar das Security Operations Center (SOC).

Ich bin der endgültige Entscheidungsträger für diesen Bereich

Bereich% der Befragten
DevSecOps61%
Schwachstellen-Management58%
Security Operations Center (SOC)57%
SaaS-Anwendungen/-Tools56%
IT-Betrieb56%
Verwaltung von Identitäten und Zugriffsrechten53%
DevOps53%

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Und dennoch wird Cybersecurity in den meisten Phasen der Bereitstellung von Technologien oft vernachlässigt.

Wie oft wird das Cybersecurity-Team Ihres Unternehmens in den folgenden Phasen der Bereitstellung eingeschaltet?

PhaseNieSeltenGelegentlichMeistensImmer
Bewertung der Architektur1%10%38%35%15%
Scoping2%16%41%32%9%
Angebotsanfrage3%10%31%35%21%
Bewertung des Anbieters / Konzeptnachweis (PoC)2%10%33%31%24%
Configuration and deployment0%5%27%42%26%
Verwaltung von Benutzerberechtigungen und Zugang0%2%23%38%35%
Laufendes Vendor Management und Wartung1%9%27%40%23%
Governance und Exception Management1%11%21%45%22%

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

DevOps ist ein weiterer Bereich, der den Cloud-Entscheidern Sorgen bereitet: Vier von zehn Befragten (42 %) geben an, dass das DevOps-Team ihres Unternehmens der Sicherheit bei der Code-Entwicklung keine Priorität einräumt.

Weitere Informationen zu den Befragten

Die Umfrageteilnehmer sind Entscheidungsträger aus den Bereichen IT (65 %) und Cybersecurity (35 %). Sie sind meist eher Ressortleiter oder Manager als C-Level-Führungskräfte. Sie sind sehr stark an der IT- und Sicherheitsstrategie beteiligt.

Welche der folgenden Aussagen beschreibt Ihre derzeitige Position/Abteilung am besten?

Position/Abteilung% der Befragten
IT65%
Cybersecurity / InfoSec35%

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Welcher Titel beschreibt Ihre Position in Ihrem Unternehmen am besten?

Titel% der Befragten
Der ranghöchste IT- oder Sicherheits-Entscheidungsträger im Unternehmen (z.B. CIO, CISO, CTO)22%
Business Information Security Officer (BISO)3%
VP/Ressortleiter für IT oder Sicherheit40%
Director/Leiter für IT oder Sicherheit35%

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Inwieweit sind Sie an der Festlegung, Verwaltung und/oder Umsetzung der folgenden Bereiche der IT/SECURITY-Strategie in Ihrem Unternehmen beteiligt?

BereichGeringfügig involviertMäßig involviertSehr involviert
Budget1%45%53%
Leistungsmetriken0%40%59%
Geschäftsstrategien0%48%52%

Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens

Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie

Vier Empfehlungen zur Reduzierung von Cloud-Sicherheitsrisiken

Die Absicherung einer komplexen Cloud-Infrastruktur erfordert die Bewältigung einer Vielzahl von Herausforderungen in Bezug auf Mitarbeiter, Prozesse und Technologien. Hier sind vier Empfehlungen für die ersten Schritte:

  • Bauen Sie Silos ab. Entwickeln Sie einen Plan zur Standardisierung der Cloud-Sicherheit in den verschiedenen Geschäftsbereichen, um einen gemeinsamen Bezugspunkt zu schaffen, der von Teams in den Bereichen Sicherheit, IT, DevOps und DevSecOps genutzt werden kann. Können Sie schnell die Beziehungen zwischen Benutzern, Systemen und Assets in Ihrem Unternehmen ermitteln, so dass Sie realistisch deren Exposure identifizieren und behandeln können? Oder bilden Ihre isolierten Systeme eine Barriere, die Sie daran hindert, solche Daten effektiv in Ihre Verfahren für die Cloud-Sicherheit einzubeziehen? Standardisierung kann helfen, Reibungen zwischen IT-, Sicherheits- und Entwicklerteams zu minimieren und eine schnelle Entscheidungsfindung auf der Grundlage präziser Empfehlungen zu gewährleisten, die jeder nachvollziehen kann.
  • Stellen Sie Ihre Angriffsfläche visuell dar. Zu wissen, über welche Cloud-Assets Sie verfügen, ist nur der Anfang. Sie benötigen Einblick in die Konfigurationen, digitalen Identitäten und zugehörigen Berechtigungen für jedes Asset in Ihrem Netzwerk. Nur mit einer kontextbezogenen Sicht auf Assets, Konfigurationen und Identitäten können Sie die nötige Transparenz erzielen, um die Art von präzisen Analysen durchzuführen, anhand derer Sicherheitsteams gezielte Empfehlungen zur Reduzierung von Risiken geben können.
  • Gehen Sie Multi-Cloud-Herausforderungen an. Jeder der großen Public Cloud-Anbieter – Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure – verwaltet und konfiguriert Cloud-Komponenten auf unterschiedliche Weise, wodurch es zu Inkonsistenzen bei der kontinuierlichen Sicherheitsüberwachung kommt. Konsolidieren Sie die Daten von allen Ihren Public Cloud-Anbietern in einem zentralen Überwachungs- und Verwaltungsbereich. Dies erfordert ein Verständnis der verschiedenen Mechanismen, die im Spiel sind, einschließlich der Infrastruktur des jeweiligen Cloud-Anbieters und des Berechtigungsmodells, und kann Ihnen helfen, die Grundlagen für konsolidierte und präzise Behebungsempfehlungen zu schaffen.
  • Suchen Sie nach automatisierten Lösungen. Automatisierte Lösungen für die Cloud-Sicherheit können Ihnen dabei helfen, die Exposition Ihres Unternehmens gegenüber Risiken kontinuierlich zu analysieren und die Ergebnisse auf einfache, verständliche und umsetzbare Weise zu präsentieren, ohne dass Teams über umfassendes technisches Know-how verfügen müssen. Mit automatisierten Sicherheitstools sind Teams in der Lage, Risiken inmitten der Komplexität nachzuvollziehen, zu untersuchen und zu bewältigen. Mit der richtigen automatisierten Lösung erhalten Sie vollständigen Einblick in Ihre Cloud-Assets, -Benutzer und -Konfigurationen, können Daten von allen Public Cloud-Anbietern in einem einheitlichen Überwachungs- und Verwaltungsbereich konsolidieren sowie Risiken anhand ihres Schweregrads priorisieren und beheben. Automatisierung kann für ressourcenarme Sicherheitsteams ein wichtiger Kraftmultiplikator sein.

Bei der Suche nach den richtigen Lösungen für Cloud-Sicherheit sollten sich Unternehmen auf solche konzentrieren, die Komplexität und Risiko reduzieren. Geeignete Lösungen sollten benutzerfreundlich sein und die Cloud-Sicherheit über verschiedene Geschäftsbereiche hinweg standardisieren. Eine solide Lösung fungiert als Ratgeber und liefert Erkenntnisse über Schwachstellen oder Fehlkonfigurationen, die sofortige Aufmerksamkeit erfordern. Außerdem bietet sie eine kontextbezogene Risikopriorisierung und verwertbare Erkenntnisse für fundierte Entscheidungen zur Risikominderung sowie Tools zur Automatisierung und Beschleunigung von Behebungsmaßnahmen.


Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.