Die Erkenntnisse aus Googles neuesten Sicherheitsberichten deuten auf eine fundamentale Umkehrung der Prioritäten bei Cloud-Angriffen hin. Während lange Zeit gestohlene oder kompromittierte Anmeldedaten als Haupteingangspunkt dienten, konzentrieren sich Cyberkriminelle nun verstärkt auf die Exploitation von Softwarelücken. Besonders bemerkenswert: Dieser Trend ist kein Zufall, sondern das direkte Ergebnis verbesserter Cloud-Sicherheitspraktiken.
Crystal Lister, Sicherheitsberaterin im Office of the CISO bei Google Cloud, erklärt den Mechanismus dahinter deutlich: “Während Verteidiger grundlegende Cloud-Hygiene-Probleme adressieren, werden Angreifer zu ausgefeilteren und automatisierten Methoden gezwungen.” Dies bedeutet konkret, dass der Fokus von Attacken von der Cloud-Infrastruktur selbst zu den Anwendungen und Third-Party-Software verschoben hat, die auf der Cloud laufen.
Interessanterweise zeigt sich außerhalb Googles Ökosystem ein anderes Bild: Bei plattformübergreifend untersuchten Vorfällen machte Identity-basierte Kompromittierung 83 Prozent der Initial-Access-Vektoren aus. Etwa ein Drittel dieser Angriffe erfolgte durch Phishing, ein Fünftel über kompromittierte Vertrauensbeziehungen zu Dritten, und ein weiteres Fünftel durch gestohlene Credentials. Palo Alto Networks bestätigte diese Beobachtung mit ähnlichen Zahlen: 65 Prozent aller Initial-Access-Vektoren waren identitätsbezogen.
Ein entscheidender Katalysator für diese Beschleunigung ist die Rolle künstlicher Intelligenz. Saumitra Das von Qualys betont, dass KI-getriebene Vulnerability-Analyse, Penetrationstests und automatisierte Exploit-Entwicklung die Hürde für Angreifer drastisch senken: “Weniger technisch versierte Akteure können nun Code-Frameworks für Reconnaissance und Exploitation generieren, was zu mehr Angriffen mit höherer Sophistication führt.”
Besonders kritisch ist die Beschleunigung des Angriffstempos. Während Sicherheitsteams früher Tage oder Wochen für Patching zur Verfügung hatten, hat sich dieses Fenster auf wenige Stunden reduziert. Google empfiehlt aggressive Patch-Strategien: Virtuelle Patching innerhalb von 24 Stunden nach öffentlicher Bekanntmachung, vollständige Remediation innerhalb von 72 Stunden.
Die Verantwortung liegt auf beiden Schultern. Das Shared-Responsibility-Model der Cloud erfordert, dass sowohl Provider als auch Kunden ihre Sicherheitsaufgaben erfüllen. Für Infrastructure-as-a-Service (IaaS) liegt die Verantwortung stärker beim Kunden, weshalb diese Umgebungen zum bevorzugten Ziel werden — insbesondere für Edge-Devices und öffentlich exponierte Assets wie virtuelle Maschinen und Container.
Das deutsche Fazit lautet: Unternehmen müssen ihre Cloud-Sicherheit radikal automatisieren. Manuelle Prozesse gehören der Vergangenheit an. Stattdessen sollten Identity-zentrische Sicherheitsmechanismen und automatisierte Policy-Durchsetzung Standard sein. In einer Bedrohungslandschaft, wo Exploitation in Stunden gemessen wird, müssen Abwehrmaßnahmen genauso automatisiert sein wie die Angriffe selbst.