Report: Paradigmenwechsel in der Cloud

Warum Identität zum neuen Perimeter wird und MFA nicht mehr sicher ist

Bild: Getty Images / Credits: Fran Rodriguez

Die Ergebnisse im aktuellen Report Cloud Threat Horizons H1 2026 von Google bestätigen eine drastische Verschiebung der Angriffsvektoren. Darüber hinaus schrumpft das Zeitfenster für Reaktionen, während die Komplexität der Angriffe durch KI und „Living-off-the-Cloud“-Techniken (LotC) – Cyberangriffe, bei denen Angreifer legitime, vertrauenswürdige Cloud-Dienste (wie Microsoft 365, AWS, Slack) missbrauchen, um Schadcode zu verbreiten, Daten zu exfiltrieren oder sich zu tarnen – massiv zunimmt.

Lange Zeit galt eine einfache Formel: Schützen Sie Identitäten, und Sie schützen die Cloud. Doch der aktuelle Cloud Threat Horizons Report, herausgegeben vom Google Office of the CISO und Mandiant, zeichnet ein neues, beunruhigendes Bild. Zwar bleibt die Identität mit einer Beteiligung an 83 % aller Vorfälle der kritische Ankerpunkt, doch die Art und Weise, wie Angreifer einbrechen, hat sich grundlegend gewandelt.

1. Der tiefe Fall der Passwörter

Zum ersten Mal seit Beginn der Berichterstattung im Jahr 2021 haben Software-Schwachstellen schwache Passwörter als häufigstes Eintrittstor abgelöst.

2. Das kollabierende Zeitfenster

Der Bericht warnt vor einer „Kompression des Angriffsfensters“. Zwischen der Veröffentlichung einer Schwachstelle (Disclosure) und deren massenhafter Ausnutzung liegen oft nur noch Stunden.

Ein prominentes Beispiel aus dem Bericht ist die „React2Shell“-Lücke Ende 2025, die binnen zwei Tagen weltweit für Krypto-Mining-Angriffe missbraucht wurde.

3. KI als Brandbeschleuniger

Angreifer nutzen Large Language Models (LLMs) nicht für Science-Fiction-Szenarien, sondern für operative Effizienz.

Image
Description
Initiale Angriffsvektoren (Quelle: Google)

4. „Living-off-the-Cloud“ und Anti-Forensik

Besorgniserregend ist der Trend zur Sabotage von Beweismitteln. Ransomware-Gruppen gehen dazu über, nicht nur Daten zu verschlüsseln, sondern auch gezielt Logs, Backups und Core-Dumps zu löschen, um die forensische Aufarbeitung und Wiederherstellung unmöglich zu machen.

5. Geopolitische Risiken: 2026 als Krisenjahr

Mit Blick auf die kommenden Monate warnt Google vor einer Zunahme von DDoS-Attacken und Social Engineering im Kontext globaler Großereignisse wie der Fußball-WM 2026 und den US-Midterm-Wahlen.

Staatlich akteurierte Gruppen (insbesondere aus Nordkorea und China) nutzen „Living-off-the-Cloud“-Techniken, um sich in kritischen Infrastrukturen vorzupositionieren.

Checkliste für die CISO-Agenda 2026:

  1. Identitätszentrierte Sicherheit: Übergang von statischen Passwörtern zu automatisierten, identitätsbasierten Kontrollen (Zero Trust).
  2. SaaS-Governance: Überprüfung von Drittanbieter-SaaS-Integrationen und deren Token-Berechtigungen (OAuth-Audit).
  3. Automatisierung: Implementierung von automatisierten Response-Systemen, um auf Zero-Day-Exploits innerhalb von Stunden reagieren zu können.
  4. Resilienz-Tests: Simulation von Angriffen, bei denen auch die Forensik-Infrastruktur und Backups angegriffen werden.

Fazit

Wer sich auf den Lorbeeren der MFA ausruht, wird das Jahr nicht ohne Blessuren überstehen. Die Cloud-Sicherheit ist im Zeitalter der automatisierten Exploits und KI-basierten Identitätsdiebstähle angekommen.