Cloud-Incident-Untersuchungen dauern laut Darktrace-Umfrage durchschnittlich drei bis fünf Tage länger als On-Premises-Vorfälle. 90 Prozent der befragten Sicherheitsverantwortlichen berichten, dass sie bereits Schaden erlitten, bevor sie mit der Eindämmung beginnen konnten. Volatile Daten gehen oft verloren, bevor sie erfasst werden – automatisierte Forensik kann diese Lücke schließen.
Die Zahl der Sicherheitsvorfälle in der Cloud nimmt weiter zu. Gleichzeitig fehlt es vielen Teams an Zeit, Kontext und Ressourcen für fundierte Untersuchungen.
Cloud-Systeme bilden heute den digitalen Unterbau nahezu jeder Branche – von der Energieversorgung über staatliche Verwaltung bis hin zu Industrie und Gesundheitswesen. Ihre Flexibilität, Skalierbarkeit und schnelle Bereitstellung machen sie unverzichtbar für moderne IT-Strategien. Doch es ist genau diese Dynamik, die neue Risiken mit sich bringt.
Cloud-Infrastrukturen geraten unter Druck
Der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) belegt: Die Zahl der entdeckten Schwachstellen nimmt weiter drastisch zu – über 43.000 neue Schwachstellen wurden im Jahr 2024 registriert, was rund 119 pro Tag entspricht und einen Anstieg um fast ein Viertel gegenüber dem Vorjahr bedeutet. Besonders beunruhigend ist die steigende Zahl an kritischen Lücken, die laut BSI mittlerweile fast die Hälfte aller Fälle ausmachen.
Für Cloud-Umgebungen hat das besondere Konsequenzen. Dort, wo Ressourcen häufig nur temporär bestehen, fehlt es oft an Sichtbarkeit und kontextbezogenen Informationen. Container, serverlose Workloads oder automatisch skalierende Dienste lassen sich mit herkömmlichen Methoden nur schwer oder gar nicht forensisch analysieren – besonders dann, wenn zwischen dem Vorfall und der Entdeckung mehrere Stunden oder Tage vergehen.
In einer von Darktrace beauftragten Umfrage unter 300 Sicherheitsverantwortlichen in den USA und Großbritannien gaben 65 Prozent an, dass die Untersuchung von Cloud-Vorfällen im Schnitt drei bis fünf Tage länger dauert als bei vergleichbaren Vorfällen in On-Premises-Umgebungen. Gleichzeitig berichteten rund 90 Prozent der Befragten, dass sie bereits Schaden erlitten, bevor sie überhaupt mit der Eindämmung beginnen konnten.
Diese Zahlen sprechen eine deutliche Sprache: Die Lücke zwischen Erkennung und Reaktion ist in der Cloud größer als in jeder anderen Umgebung und das nicht, weil die Technologien fehlen, sondern weil die Prozesse nicht mithalten können. Beweisdaten aus der Cloud gehen oft verloren, bevor sie überhaupt erfasst wurden. Log-Dateien sind fragmentiert, klassische Agenten nicht einsetzbar, und die Verantwortlichkeiten innerhalb der Organisation oft unklar.
Viele Incident-Response-Teams arbeiten noch immer mit Tools, die auf manuelle Schnitte, Exporte und Korrelationsarbeit angewiesen sind. Heute kompromittieren Angreifer innerhalb von Stunden Systeme, exfiltrieren Daten und lassen sie wieder verschwinden.
Ein neuer Ansatz für ein altes Problem
Die entscheidende Frage lautet also: Wie lässt sich eine forensische Untersuchung in der Cloud so gestalten, dass sie der Geschwindigkeit, Komplexität und Flüchtigkeit dieser Systeme gerecht wird?
Statt auf traditionelle Agenten oder nachgelagerte Analyseprozesse zu setzen, wird bei der forensischen Datenerhebung automatisch und unmittelbar nach dem Auslösen eines Alarms gestartet – entweder durch die Plattform selbst oder durch bestehende SIEM-, XDR- oder Cloud-native Tools.
Gesammelt werden Host-Daten wie Speicherinhalte, Log-Dateien, Prozessinformationen und Systemzustände – auch von schnelllebigen Assets, die nur für kurze Zeit aktiv sind. Die Daten werden über standardisierte Cloud-APIs erfasst, wodurch sich die Lösung ohne aufwendige Konfiguration in bestehende Umgebungen integrieren lässt – unabhängig davon, ob es sich um AWS, Azure, GCP oder hybride Strukturen handelt.
Warum Automatisierung nicht gleich Standardisierung ist
Entscheidend ist dabei sowohl die Geschwindigkeit, als auch die Qualität der Informationen. Automatisierte Forensik bedeutet nicht, möglichst viele Daten schnell zu sammeln – vielmehr die relevanten Spuren im richtigen Moment zu sichern.
Dazu gehören insbesondere volatile Daten, die in klassischen Analysemodellen oft verloren gehen: z.B. in RAM gespeicherte Sitzungstoken, temporäre Log-Einträge oder Shell-Historien aus kurzlebigen Containerinstanzen. Diese Informationen sind essenziell, um z. B. Laterale Bewegung, Privilegienerweiterung oder das Ausführen von Living-off-the-Land-Techniken zu rekonstruieren. Es sind also Angriffsformen, die bewusst auf Unauffälligkeit und Legitimität setzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mit einem konsolidierten Ablaufdiagramm – einer sogenannten forensischen Timeline – lassen sich solche Muster erkennen und auch beweisfähig dokumentieren. Das hilft bei der aktiven Reaktion und bei der Aufarbeitung und Kommunikation gegenüber Aufsichtsbehörden, Partnern oder internen Stakeholdern.
Kritische Infrastrukturen besonders betroffen
Besonders deutlich wird der Bedarf an automatisierter Forensik in KRITIS-Umgebungen. Der BSI-Bericht beschreibt Cloud-Infrastrukturen inzwischen als „eine zentrale potenzielle Schwachstelle im Betrieb kritischer Systeme“, hauptsächlich, wenn es um Transparenz, Segmentierung und Prozessverantwortung geht.
Die Komplexität steigt, sowohl technisch als auch regulatorisch. Betreiber kritischer Infrastrukturen sehen sich mit verschärften Anforderungen konfrontiert – etwa im Rahmen des IT-Sicherheitsgesetzes oder der NIS-2-Richtlinie. Gleichzeitig müssen Ausfälle vermieden, Systeme hochverfügbar gehalten und Sicherheitsvorfälle transparent und schnell analysiert werden.
Automatisierte Forensik ist dabei eine methodische Antwort auf diese Mehrfachbelastung. Sie ermöglicht schnelle Eingriffsmöglichkeiten, sichert kritische Daten, liefert belastbare Entscheidungsgrundlagen und macht es möglich, nach einem Angriff nicht einfach nur zu reagieren, nämlich auch strukturelle Schwachstellen präzise zu erkennen und künftig zu vermeiden.
Die Verteidigung digitaler Infrastrukturen darf sich nicht länger nur auf Prävention und Abschottung konzentrieren. Heute werden Angriffe immer schneller und komplexer, demnach müssen Organisationen in der Lage sein, ganzheitlich zu verstehen, was genau vor sich geht. Eine moderne Forensikstrategie, die auf Automatisierung, Integration und Echtzeit-Reaktion basiert, ist eine betriebliche Notwendigkeit. Sie schafft Transparenz in kritischen Momenten, reduziert die Abhängigkeit von Spezialwissen und hilft dabei, auch unter Zeitdruck die richtigen Entscheidungen zu treffen.
Über die Autorin: Dr. Beverly McCann arbeitet seit über 5 Jahren bei Darktrace, aktuell in der Zentrale in Cambridge. Zuvor leitete sie als Director of Analysis für EMEA die Analystenteams.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/3d/a03d38a6d09f4ed77d67e25d0b85d0db/0129965652v2.jpeg "Das KRITIS-Dachgesetz gilt nun auch in Deutschland. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/84/918426b19b7da0c5166a7291ab22f7bc/0130007715v1.jpeg "Deepfakes und KI-Malware ermöglichen Angriffe in Minuten statt Tagen. Unternehmen müssen ihre Abwehrstrategien an die neue Bedrohungslage anpassen. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/d4/7ed4e7159d662d0b0493b6e93b3c6619/0130042718v2.jpeg "Die Polizei hat eine Bande von Computerbetrügern festgenommen, die durch Phishing-Mails Millionen Euro ergaunert haben, während der mutmaßliche Kopf in Frankreich gefasst wurde. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/d8/add8f6a98ffe40d92e4d067a3b45a183/0130006049v2.jpeg "Die Zahl der Sicherheitsvorfälle in der Cloud nimmt weiter zu. Gleichzeitig fehlt es vielen Teams an Zeit, Kontext und Ressourcen für fundierte Untersuchungen. (Bild: © Jack - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/cb/5dcbdbb272d51572a31dc13c67c1919f/0129871080v1.jpeg "Automatisierte Angriffsfabrik: Laut HP setzen Cyberkriminelle zunehmend auf modulare Malware-Bausteine und KI-generierte Skripte, um Kampagnen schneller zusammenzustellen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/06/4b06c8e4cd501c4799d85f1df4e3c38a/0130040891v2.jpeg "Betroffen von den Sicherheitslücken sind die Apple-Produkte macOS, iOS, iPadOS, tvOS, watchOS und visionOS. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962c633bbdf2f9339fc98bb18925b75/0129989356v1.jpeg "OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server. (Bild: © Gorodenkoff & patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e5/93/e593783eab747d8bd50897c447ce9d2d/0129711721v2.jpeg "Von hybriden Angriffen durch staatliche Akteure sind in der Rüstungsindustrie nicht nur die Hersteller betroffen, sondern auch ihre Zulieferer, Mitarbeiter sowie militärische Nutzer und Forschungseinrichtungen, da sie alle wertvolle Informationen und Technologien bereitstellen oder nutzen. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e07f8ca94d913d6571de0aec3b84d6e/0130114230v2.jpeg "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit überwacht die Einhaltung der Datenschutzgesetze in Deutschland, insbesondere der Datenschutz-Grundverordnung. (Bild: Johanna Wittig)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/7d/337d437bd76fdf5815e0594017f6a2ed/0124427422v2.jpeg "Neben den technischen Herausforderungen ist der Ernstfall eines Cyberangriffs auch immer eine kommunikative Zerreißprobe für Unternehmen. (Bild: Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/7a/637a2bfec49b3d45e54e48da84f6d3cd/0128524440v2.jpeg "2026 verknüpfen Angreifer kompromittierte Software-Lieferketten mit der Übernahme exponierter Edge-Geräte. Verkürzte Exploit-Fenster machen Segmentierung, überprüfbare Provenienz und schnelle Patches zentral. (Bild: © anaumenko - stock.adobe.com)")