Aikido
Kostenlos starten
Ohne Kreditkarte
Blog
/
Leitfäden & Best Practices

Die 15 wichtigsten Cloud- und Code-Sicherheitsherausforderungen, aufgedeckt von CTOs

Felix GarriauFelix Garriau
|
#AppSec
#Cloud
Veröffentlicht am:
25. Juli 2023
Zuletzt aktualisiert am:
7. Januar 2026

Wir haben 15 SaaS-CTOs bezüglich ihrer Cloud- und Code-Sicherheitsherausforderungen und -bedenken konsultiert. Warum?

  • SaaS-CTOs stehen alle vor Herausforderungen bei der Absicherung ihrer Produkte. Wir wollten diese Trends identifizieren und ihre Bedürfnisse und Sorgen herausfinden.
  • Kundenforschung ist für den Erfolg jedes Startups unerlässlich, und Aikido ist da keine Ausnahme! Tatsächlich lieben wir es, herauszufinden, was Kunden zu sagen haben.
  • Von Anfang an konzentrieren wir uns auf die Entwicklung und Weiterentwicklung unserer Sicherheitstools, basierend auf den wichtigsten Bedürfnissen unserer Kunden.

Hier bei Aikido glauben wir an den offenen Wissensaustausch, daher ist es nun an der Zeit, weiterzugeben, was unsere Beratungen entdeckt und aufgedeckt haben.

Über unsere Beratung zu Cloud- und Codesicherheit

Die von uns befragten CTOs stammen von Cloud-native Software-Start-ups mit 51 bis 500 Mitarbeitenden. Wir konzentrierten uns auf diese Cloud- und Code-Sicherheitsthemen:

  • die Priorität, die der Bedrohungsprävention zukommen kann
  • Hindernisse bei der Abwehr von Bedrohungen
  • ihre Zufriedenheit mit den aktuellen Lösungen
  • welche anderen Lösungen sie verwendet haben und deren Mängel
  • Herausforderungen, mit denen sie konfrontiert sind
  • ihre Anforderungen und gewünschten Ergebnisse
  • Funktionen, die sie schätzen, und
  • was sie in Zukunft erreichen wollen.

Wie wichtig ist Ihnen die Prävention von Cloud- und Code-Sicherheitsbedrohungen?

Beginnen wir mit der Priorität, die CTOs der Prävention von Sicherheitsbedrohungen einräumen. Unsere Daten zeigen, dass CTOs der Bedrohungsprävention eine hohe Priorität einräumen. Die durchschnittliche Bewertung liegt bei 8,27 (von 10). 93 % der CTOs bewerteten die Bedeutung der Bedrohungsprävention mit 7 oder höher. 8 war die häufigste Antwort, und 10 war die zweithöchste Wahl.

Was behindert die effektive Prävention von Cloud- und Code-Sicherheitsbedrohungen?

So sehr CTOs auch Cloud- und Code-Sicherheitsbedrohungen verhindern möchten, schaffen einige Blockaden Hindernisse für den Erfolg. Die drei größten Hindernisse waren konkurrierende Prioritäten, Budget und Komplexität.

Was blockiert eine effektive Prävention von Sicherheitsbedrohungen? 40 % der SaaS-CTOs nennen 'konkurrierende Prioritäten im Unternehmen'.
Was blockiert eine effektive Prävention von Sicherheitsbedrohungen?

Widerstreitende Prioritäten

Die häufigste Antwort: konkurrierende Prioritäten (40 %). Was bedeutet das im Hinblick auf Sicherheitsherausforderungen? Obwohl CTOs Sicherheit als hohe Priorität betrachten, gibt es andere, gleichermaßen oder potenziell noch wichtigere Anliegen innerhalb eines Unternehmens. Zum Beispiel ist der Wettlauf um neue Funktionen im Vergleich zu den damit verbundenen Sicherheitsproblemen der Spagat der Cybersicherheit.

„Da Sicherheit oft eine gute langfristige Investition ist, aber im Tagesgeschäft weniger Auswirkungen hat, ist es leicht, die Arbeit zu depriorisieren.“

Budgetbeschränkungen

Der zweite Hemmschuh waren Budgetbeschränkungen (33 %). Die größte Herausforderung besteht darin, den ROI nachzuweisen, den Sicherheitsmaßnahmen für das Unternehmen bringen. Oder, wie es ein CTO ausdrückt: „Den Business Case für Investitionen in Cloud-Sicherheit erstellen.“ Dies kann auch mit der oben erwähnten täglichen Depriorisierung zusammenhängen.

Komplexität

Komplexität belegt den dritten Platz (27 %). Das Problem hierbei ist die Vielzahl potenzieller Bedrohungen. Ihre Priorisierung wird aufwendig und schwierig. Dies kann überwältigend sein, und infolgedessen verliert man leicht die größten Bedrohungen aus den Augen.

Viele Scanning-Lösungen können eine Fülle von Problemen für Dinge wie Open-Source-Bibliotheken und deren Abhängigkeiten identifizieren. Es ist schwierig zu bestimmen, welche priorisiert werden sollten und welche eine reale Bedrohung in der Art, wie wir sie nutzen, darstellen.
Die Herausforderung zu wissen, welche Sicherheitsbedrohungen priorisiert werden müssen und welche überhaupt real sind.

Wie zufrieden sind Sie mit Ihren aktuellen Lösungen zur Abwehr von Code- und Cloud-Sicherheitsbedrohungen?

Note D. Die durchschnittliche Bewertung liegt bei 6,4 und ein Drittel der CTOs bewertete ihre Zufriedenheit mit den aktuellen Lösungen mit 5 oder weniger. Nur 20 % waren mit einer 8 oder 9 sehr zufrieden, während 0 % eine perfekte 10 angaben. Entscheidend ist hier der Vergleich mit der wesentlich höheren Priorität, die sie der Bedrohungsprävention beimessen. Wir stellen eine deutliche und besorgniserregende Lücke zwischen Wichtigkeit und Zufriedenheit fest.

Welche anderen Sicherheitslösungen nutzen Sie und welche Schwachstellen haben diese?

Aktuelle Sicherheitslösungen umfassen eine breite Palette dessen, was auf dem Markt erhältlich ist. CTOs nannten 11 Produkte; SonarQube war das am weitesten verbreitete (33 %). Darüber hinaus nutzten zum Zeitpunkt unserer Umfrage nicht mehr als 13 % der CTOs die gleichen Produkte.

Preise und Preismodelle

40 % der CTOs gaben an, dass der größte Mangel hohe Preise und Preismodelle betrifft. Ein CTO berichtet von einem astronomisch hohen Preis: „Wir zahlen heute für Software im sechsstelligen Bereich.“ Ein anderer stellt die langfristige Tragfähigkeit der Preisgestaltung pro Zeile infrage: „Preismodelle, die der Anzahl der Codezeilen folgen, sind ein Grund zur Sorge für die Zukunft.“

False Positives

33 % meldeten False Positives – Warnmeldungen, die fälschlicherweise eine Schwachstelle oder bösartige Aktivität identifizieren. Wir alle kennen die damit verbundenen Frustrationen: Alarmmüdigkeit und verschwendete Ressourcen, die durch False Positives entstehen.

Weitere Mängel bei aktuellen Lösungen

Weitere Mängel sind Herausforderungen bei der Risikobewertung, komplexe Einrichtung und Wartung, keine Passung zum Tech Stack und begrenzter Schutz.

Ein CTO benennt die Frustrationen bezüglich der Notwendigkeit, mehrere Sicherheitslösungen einzusetzen:

„Ich kenne keine Lösung, die mehrere Szenarien abdeckt, was bedeutet, dass meine Erwartung als CTO wäre, dass die SaaS, die wir derzeit für automatisierte Sicherheitsscans unserer Codebasis verwenden, sicherlich nicht dieselbe sein wird wie eine Lösung, die die Compliance mit einem unserer Cloud-Anbieter gewährleistet.“

Was lernen wir daraus, was CTOs über aktuelle Schwachstellen in Sicherheitssoftware denken?

Das ist die wichtigste Erkenntnis. CTOs suchen eine Komplettlösung für Cloud- und Code-Sicherheitssoftware, die Folgendes bietet:

  • faire Preise
  • wenige False Positives
  • ein unkompliziertes Setup, und
  • problemlose Wartung.

Was sind die größten Herausforderungen bei der Absicherung von Code und Cloud?

Die aktuellen Top-Herausforderungen für SaaS-CTOs sind Widerstände innerhalb des Unternehmens, zu viele Informationen, die verarbeitet werden müssen, sich entwickelnde Bedrohungen und die Komplexität einer vollständigen Abdeckung.

Interner Widerstand

40 % gaben an, dass die größte Herausforderung intern ist: mangelndes Bewusstsein oder andere Prioritäten bedeuten begrenzte Ressourcen. Dies bestätigt ihre zuvor genannten zwei größten Hindernisse bei der Bedrohungsprävention (Prioritäten und Budget).

„Die größte Herausforderung besteht darin, die Denkweise der Organisation zu ändern und ihnen zu vermitteln, dass Sicherheit ein Feature ist und dass wir kontinuierlich darin investieren müssen.“

Change Management ist bekanntermaßen schwierig. Und das Schaffen von Bewusstsein, um sinnvolle Änderungen an Einstellung und Strategie vorzunehmen, kann eine noch größere Herausforderung darstellen.

Zu viel Rauschen

Informationsüberflutung ist eine reale Herausforderung. 27 % der CTOs berichten, dass die Priorisierung inmitten des Rauschens die nächste große Herausforderung darstellt. Es ist nicht einfach zu verstehen, welche Bedrohungen priorisiert oder untersucht werden sollen und wie man mit ihnen umgeht. Wenn zudem False Positives ins Spiel kommen, kann dies zu Sackgassen, Ineffizienzen und fehlgeleitetem Aufwand führen.

„Es scheint unbegrenzte Daten in den Logs zu geben, aber keine Möglichkeit zu verwalten, was sie alle bedeuten und von wem und wie sie behandelt werden sollten.“

Bedrohungsentwicklung, Abdeckung und Komplexität

Bedrohungsentwicklung, Abdeckung und Komplexität wurden als Herausforderungen auf niedrigerer Ebene eingestuft. Sie bestätigen jedoch immer noch einige der Blocker und Schwachstellen, die zuvor in der Umfrage identifiziert wurden.

Sicherheitsbedrohungen sind nicht statisch - sie entwickeln sich weiter und sind den Sicherheitslösungen oft einen Schritt voraus. Das bedeutet, dass sich auch Ihre Schwachstellen weiterentwickeln, und es kann sich manchmal ein wenig wie ein ein Whack-a-Mole-Spiel anfühlen.

„Angreifer werden in ihren Methoden immer raffinierter, und neue Schwachstellen werden regelmäßig entdeckt.“

CTOs wiesen zudem auf Herausforderungen bei der Bestätigung einiger der mit ihren aktuellen Lösungen identifizierten Schwachstellen hin. Sie berichten von unvollständiger Abdeckung, was ein falsches Gefühl von Sicherheit erzeugt. Und im Sicherheitsgeschäft ist das einfach nicht gut genug!

„Während sie versuchen, ein Gefühl der Sicherheit zu vermitteln, befürchte ich, dass sie uns nicht wirklich vor der Mehrheit der Bedrohungen schützen.“

Unvollständige Abdeckung ist verbunden mit der Notwendigkeit oder der wahrgenommenen Notwendigkeit eines Flickenteppichs verschiedener Lösungen:

„Es gibt zu viele bewegliche Teile. Von den eigentlichen anfänglichen Entwicklungssystemen und der Software, dem CI/CD-Prozess bis hin zur Anwendungsinfrastruktur und den Daten-Repositories passen sie nicht in einen ganzheitlichen Ansatz für eine Sicherheitslösung.“

Was sind die gewünschten Geschäftsergebnisse von CTOs? Was ist CTOs bei der Cloud- und Code-Sicherheit am wichtigsten?

Wir stellten diese beiden Fragen, um herauszufinden, was ihre strategischen Ziele waren und was am wichtigsten ist, um diese zu erreichen.

Angestrebte Ergebnisse

CTOs bewerteten die drei wichtigsten strategischen Ergebnisse wie folgt:

  1. Schutz des Markenrufs und des Kundenvertrauens (47 %)
  2. Sensible Daten sind geschützt, was bedeutet, dass es keine Datenlecks gibt (33 %)
  3. Für Compliance abgedeckt sein (20 %)

Was ist am wichtigsten?

Und um diese gewünschten Ergebnisse zu erzielen, war für CTOs am wichtigsten dies (mehrere Antworten für diese Frage waren zulässig):

  1. Geringer Wartungsaufwand (53%)
  2. Zuverlässigkeit / Keine Fehlalarme (40 %)
  3. Klares und effektives Reporting (33%)

Fällt Ihnen auf, was uns auffällt? Dies sind ähnliche Erkenntnisse wie die, die wir aus der Frage nach den Mängeln aktueller Sicherheitslösungen gewonnen haben.

Was ist am wichtigsten, um strategische Ergebnisse zu erzielen? 53 % der CTOs nennen 'geringen Wartungsaufwand' für ihre Cloud- und Code-Sicherheitslösung.
Was ist am wichtigsten, um strategische Ergebnisse zu erzielen?

Aber wie sieht es mit der Preisgestaltung aus?

Eine klare und effektive Berichterstattung ersetzt jedoch die angemessene Preisgestaltung in der obigen Liste, insbesondere im Vergleich zu den gewonnenen Erkenntnissen über Mängel. Im Widerspruch zu den Kommentaren und Entscheidungen bezüglich Preis und Budget, die zuvor in der Umfrage gemacht wurden, priorisierten daher nur 7 % die Preisgestaltung bei dieser Frage. Was könnte das bedeuten?

Lassen Sie uns die Preis-Komplexität aufschlüsseln. Wir interpretieren dies so, dass der Preis eine Herausforderung und ein Hindernis darstellt, wenn die Sicherheitssoftware die Erwartungen nicht erfüllt. Wenn die Sicherheitslösung jedoch präzise, wartungsfreundlich ist, Komplexität durch einfache Berichterstattung entmystifiziert und wiederum dazu beiträgt, die übergeordneten Ziele des Schutzes des Markenrufs, der Schaffung von Kundenvertrauen und der Datensicherheit bei gleichzeitiger Einhaltung von Compliance-Standards zu erreichen, wird die Preisgestaltung zu einem geringeren Hindernis und lässt sich leichter rechtfertigen.

Die wichtigsten Funktionen bei der Auswahl von Cloud- und Code-Sicherheitssoftware

Wir haben die SaaS-CTOs auch gefragt, welche technischen Funktionen für sie am wichtigsten sind. Sie bewerteten fünf Aussagen wie folgt (Bewertungspunkte von 4):

  1. Erkennung von Cloud-Fehlkonfigurationen - 3,67 (33 % bewerteten dies als Erstes)
  2. Open-Source-Schwachstellen-Scanning – 3.53 (33 % bewerteten dies als Erstes)
  3. Secrets Detection (API-Schlüssel, Passwörter, Zertifikate usw.)- 3,53 (über 53 % bewerteten dies als Zweites)
  4. Statische Codeanalyse über CI/CD-Plattformen - 2,93
  5. Open-Source-Lizenzprüfung - 1,33 (80 % bewerteten dies als Letztes)

Welche dieser Sicherheitsfunktionen sind für Sie am wichtigsten? Gibt es weitere, die Sie sich in Ihrer Sicherheitslösung wünschen würden?

Möchten Sie ein Produkt, das Ihre Cloud- und Code-Sicherheitsherausforderungen löst?

Vor allem, wenn sie gefragt wurden, was sie in Zukunft erreichen möchten, bewerteten CTOs die folgende Aussage am höchsten:

„Ich möchte mich vollständig sicher vor Cloud- und Code-Sicherheitsbedrohungen fühlen.“

Das ist Musik in unseren Ohren. Willem, unser CTO, hatte genau damit zu kämpfen in seinen früheren Unternehmen. Dieser Schmerzpunkt motivierte ihn, die richtige Lösung zu entwickeln. Genau das bauen wir mit Aikido.

Unsere Lösung vereint die besten Open-Source-Software-Sicherheitstools. Dies ermöglicht es Ihnen, alle relevanten Bereiche abzudecken. Aikido zeigt Ihnen auch, welche Probleme und Schwachstellen wirklich relevant sind und welche Sie tatsächlich beheben sollten. Keine Fehlalarme hier!

Überzeugen Sie sich selbst, wie Aikido die Cloud- und Code-Sicherheitsherausforderungen eines CTOs lindern kann. Testen Sie Aikido kostenlos oder kontaktieren Sie uns.

4.7/5

Sichern Sie Ihre Software jetzt.

Kostenlos starten
Ohne Kreditkarte
Demo buchen
Ihre Daten werden nicht weitergegeben · Nur Lesezugriff · Keine Kreditkarte erforderlich
Verfasst von
Felix Garriau

Mitgründerin / CMO

Felix Garriau ist CMO und Mitbegründer von Aikido . Er verfügt über fundierte Kenntnisse im Bereich Entwickler und Cybersicherheit sowie über umfangreiche Erfahrung in den Bereichen Innovation und Marketing. Zuvor war er CMO und Partner bei nexxworks.

Springe zu:
Textlink

Sichern Sie Ihre Software jetzt.

Kostenlos starten
Ohne Kreditkarte
Kostenlos starten
Ohne Kreditkarte
Demo buchen
Teilen:

https://www.aikido.dev/blog/cloud-code-security-cto-consultation

Ähnliche Beiträge
14. Januar 2026

Von „No Bullsh*t Security“ zu 1 Milliarde Dollar: Wir haben gerade unsere Serie-B-Finanzierungsrunde in Höhe von 60 Millionen Dollar abgeschlossen.

Aikido eine Serie-B-Finanzierung in Höhe von 60 Millionen US-Dollar bei einer Bewertung von 1 Milliarde US-Dollar Aikido und treibt damit seine Vision von selbstsichernder Software und kontinuierlichen Penetrationstests voran.

Tags/
15. Dezember 2025

SAST der IDE ist jetzt kostenlos: SAST verlagern, wo die Entwicklung tatsächlich stattfindet

Führen Sie SAST direkt in Ihrer IDE mit Echtzeit-Feedback und projektweiter Transparenz durch. Verwenden Sie dieselben SAST und -Engine wie Aikido, mit optionaler AutoFix-Funktion für unterstützte Ergebnisse.

Tags/
28. November 2025

SCA : Scannen und Beheben von Open-Source-Abhängigkeiten in Ihrer IDE

Integrieren Sie den vollständigen SCA mit In-Editor-Scanning und AutoFix in Ihre IDE. Erkennen Sie anfällige Pakete, überprüfen Sie CVEs und führen Sie sichere Upgrades durch, ohne Ihren Entwicklungs-Workflow zu verlassen.

Tags/

Werden Sie jetzt sicher.

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Scanning starten
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.

#AppSec

#Cloud