Report: Paradigmenwechsel in der Cloud
Warum Identität zum neuen Perimeter wird und MFA nicht mehr sicher ist
Die Ergebnisse im aktuellen Report Cloud Threat Horizons H1 2026 von Google bestätigen eine drastische Verschiebung der Angriffsvektoren. Darüber hinaus schrumpft das Zeitfenster für Reaktionen, während die Komplexität der Angriffe durch KI und „Living-off-the-Cloud“-Techniken (LotC) – Cyberangriffe, bei denen Angreifer legitime, vertrauenswürdige Cloud-Dienste (wie Microsoft 365, AWS, Slack) missbrauchen, um Schadcode zu verbreiten, Daten zu exfiltrieren oder sich zu tarnen – massiv zunimmt.
Lange Zeit galt eine einfache Formel: Schützen Sie Identitäten, und Sie schützen die Cloud. Doch der aktuelle Cloud Threat Horizons Report, herausgegeben vom Google Office of the CISO und Mandiant, zeichnet ein neues, beunruhigendes Bild. Zwar bleibt die Identität mit einer Beteiligung an 83 % aller Vorfälle der kritische Ankerpunkt, doch die Art und Weise, wie Angreifer einbrechen, hat sich grundlegend gewandelt.
1. Der tiefe Fall der Passwörter
Zum ersten Mal seit Beginn der Berichterstattung im Jahr 2021 haben Software-Schwachstellen schwache Passwörter als häufigstes Eintrittstor abgelöst.
- Der Befund: Drittanbieter-Software und unpatchbare Schwachstellen machten 44,5 % der Erstzugriffe aus – ein massiver Sprung von nur 2,9 % im Vorjahr.
- Die CISO-Lektion: Die Strategie „Secure-by-Default“ bei großen Cloud-Providern zeigt Wirkung; Angreifer weichen daher auf die schwächere Peripherie aus. Das Patch-Management für Drittanbieter-Anwendungen in der Cloud ist nicht mehr nur „Hygiene“, sondern das neue Hauptschlachtfeld.
2. Das kollabierende Zeitfenster
Der Bericht warnt vor einer „Kompression des Angriffsfensters“. Zwischen der Veröffentlichung einer Schwachstelle (Disclosure) und deren massenhafter Ausnutzung liegen oft nur noch Stunden.
Ein prominentes Beispiel aus dem Bericht ist die „React2Shell“-Lücke Ende 2025, die binnen zwei Tagen weltweit für Krypto-Mining-Angriffe missbraucht wurde.
- Die Konsequenz: Manuelles Patching ist in diesem Tempo zum Scheitern verurteilt. CISOs müssen auf automatisierte Abwehrmechanismen auf Netzwerkebene setzen, die Exploits bereits am Netzwerkrand blockieren – noch bevor der Patch eingespielt werden kann oder überhaupt verfügbar ist.
3. KI als Brandbeschleuniger
Angreifer nutzen Large Language Models (LLMs) nicht für Science-Fiction-Szenarien, sondern für operative Effizienz.
- Vishing und Token-Diebstahl: Der klassische Phishing-Link wird zunehmend durch KI-gestütztes Voice-Phishing (Vishing) ersetzt. Ziel ist meist der Diebstahl von OAuth-Tokens, um die Multi-Faktor-Authentisierung (MFA) komplett zu umgehen.
- Supply Chain 2.0: Angreifer nutzen KI, um Zugangsdaten aus Entwicklerumgebungen zu extrahieren und sich von dort lautlos bis zur vollen Cloud-Administration hochzuarbeiten.
4. „Living-off-the-Cloud“ und Anti-Forensik
Besorgniserregend ist der Trend zur Sabotage von Beweismitteln. Ransomware-Gruppen gehen dazu über, nicht nur Daten zu verschlüsseln, sondern auch gezielt Logs, Backups und Core-Dumps zu löschen, um die forensische Aufarbeitung und Wiederherstellung unmöglich zu machen.
- Strategische Empfehlung: CISOs müssen in „Forensic Readiness“ investieren. Das bedeutet: Logs müssen unveränderbar (Immutable) und außerhalb der Reichweite von Standard-Admin-Rechten gespeichert werden.
5. Geopolitische Risiken: 2026 als Krisenjahr
Mit Blick auf die kommenden Monate warnt Google vor einer Zunahme von DDoS-Attacken und Social Engineering im Kontext globaler Großereignisse wie der Fußball-WM 2026 und den US-Midterm-Wahlen.
Staatlich akteurierte Gruppen (insbesondere aus Nordkorea und China) nutzen „Living-off-the-Cloud“-Techniken, um sich in kritischen Infrastrukturen vorzupositionieren.
Checkliste für die CISO-Agenda 2026:
- Identitätszentrierte Sicherheit: Übergang von statischen Passwörtern zu automatisierten, identitätsbasierten Kontrollen (Zero Trust).
- SaaS-Governance: Überprüfung von Drittanbieter-SaaS-Integrationen und deren Token-Berechtigungen (OAuth-Audit).
- Automatisierung: Implementierung von automatisierten Response-Systemen, um auf Zero-Day-Exploits innerhalb von Stunden reagieren zu können.
- Resilienz-Tests: Simulation von Angriffen, bei denen auch die Forensik-Infrastruktur und Backups angegriffen werden.
Fazit
Wer sich auf den Lorbeeren der MFA ausruht, wird das Jahr nicht ohne Blessuren überstehen. Die Cloud-Sicherheit ist im Zeitalter der automatisierten Exploits und KI-basierten Identitätsdiebstähle angekommen.