Laut Googles “Cloud Threat Horizons Report” hat das Ausnutzen von Anwendungen, die Nutzer selbst verwalten, Software-Schwachstellen als am häufigsten ausgenutzten Vektor für den Erstzugriff überholt. Insgesamt entfielen rund 44 Prozent der gesamten Erstzugriffsaktivität in der Google Cloud auf den “softwarebasierten Einstieg”, der auch das Ausnutzen von Lücken wie Remote-Code-Execution umfasst. Als konkretes Beispiel führt der Bericht den React2Shell-Angriff an, der auf eine Schwachstelle in React Server Components abzielt.
Crystal Lister, Sicherheitsberaterin im Office of the CISO bei Google Cloud, führt die Verschiebung auf Googles “secure-by-default”-Ansätze zurück sowie auf Maßnahmen der Cloud-Nutzer, die Angriffsfläche durch gestohlene Zugangsdaten und Fehlkonfigurationen zu verkleinern. “Wenn Verteidiger einige der anhaltenden Hygieneprobleme in der Cloud angehen, werden Angreifer auf raffiniertere, automatisierte Wege gezwungen”, sagt sie. Die Verteidigungslinie habe sich verschoben: Angreifer nähmen nun die von Kunden verwaltete Drittanbieter-Software ins Visier statt der Cloud-Infrastruktur selbst.
Außerhalb der Google-Cloud-Umgebungen bleibt Identität jedoch der zentrale Angriffspunkt. Bei plattformunabhängigen Vorfällen, die Google Mandiant untersuchte, gingen 83 Prozent der Erstzugriffsvektoren auf Identität zurück. Knapp ein Drittel davon entfiel auf Phishing, je ein Fünftel auf kompromittierte Vertrauensbeziehungen zu Dritten und auf gestohlene Zugangsdaten, ein weiteres Zehntel auf böswillige Insider und Angriffe auf die Software-Lieferkette. Die übrigen 17 Prozent ohne Identitätsbezug umfassten Fehlkonfigurationen und das Ausnutzen von Software.
Palo Alto Networks kommt im “Global Incident Response Report 2026” zu einem ähnlichen Befund: Zwei Drittel (65 Prozent) des Erstzugriffs hingen in irgendeiner Form mit Identität zusammen. “Identität – die Verbindung zwischen Nutzern, Maschinen, Diensten und Daten – ist zur praktischen Perimeter-Grenze geworden”, heißt es in dem Bericht.
Saumitra Das, Vice President of Engineering bei Qualys, sieht im veränderten Fokus der Angreifer eine logische Reaktion darauf, dass Verteidiger Zugangsdaten-Missbrauch und Fehlkonfigurationen wirksam adressiert haben. Das Ausnutzen von Schwachstellen sei durch KI-gestützte Analyse, Penetrationstests und Exploit-Entwicklung einfacher geworden. “Angreifer haben sich angepasst und verlagern sich zunehmend auf das Ausnutzen ungepatchter Software”, sagt Das. Beschleunigt werde dies durch KI-gestützte Exploit-Werkzeuge und die nahezu sofortige Bewaffnung neu veröffentlichter CVEs.
Das verweist darauf, dass sich das Ausnutzen von Schwachstellen in der Cloud eher auf Infrastructure-as-a-Service (IaaS) als auf Platform-as-a-Service (PaaS) konzentriert, weil die Verantwortung für die Absicherung der Infrastruktur stärker beim Kunden liege. Besonders gefährdet seien Edge-Geräte und öffentlich erreichbare Ressourcen wie virtuelle Maschinen, Container und Serverless-Dienste. Large Language Models erlaubten zudem weniger versierten Angreifern, brauchbare Aufklärungs- und Exploit-Frameworks zu erstellen.
Das Reaktionsfenster sei dadurch auf Stunden geschrumpft, während die meisten Patch-Prozesse nie für diese Geschwindigkeit ausgelegt gewesen seien, so Das. Lister empfiehlt Unternehmen, Schwachstellen binnen 24 Stunden nach öffentlicher Meldung virtuell zu patchen und innerhalb von 72 Stunden vollständig zu beheben. Verteidiger sollten manuelle Prozesse durch identitätszentrierte Mechanismen und automatisierte Durchsetzung ersetzen; etwa könnten die Organization-Policy-Dienste der Google Cloud zu freizügige Firewall-Regeln programmatisch verhindern. “In einer Welt, in der Exploits in Stunden gemessen werden, müssen unsere Verteidigungen so automatisiert sein wie die Angriffe”, sagt sie.
