Die meisten Unternehmen konzentrieren sich heutzutage auf eine Cloud-native Entwicklung, bei der Cloud-Speicher und Microservice-Architekturen verwendet werden, die auf API-Kommunikation beruhen. Einfach ausgedrückt: Die Cloud-native Architektur und die Verwendung von Cloud-Speicher macht es Bedrohungsakteuren einfach, Unternehmensdaten in Rekordzeit zu erbeuten.
Wenn sich Unternehmen nur auf die Erkennung von Datenexfiltrationen konzentrieren, sind sie zu spät dran. Entscheidende Sicherheitsschritte sollten erfolgen, bevor der Datenklau stattgefunden hat.
Die Verwendung von Cloud-Speicher ermöglicht eine schnelle Datenexfiltration. In der heutigen Cloud-Umgebung wird eine Virtualisierung auf die nächste Virtualisierung gestapelt. Dieses Vorgehen birgt Sicherheitsrisiken in sich. Unternehmen sehen gerne die Vorteile, die native Cloud-Entwicklung, Containern und Microservices mit sich bringen. Dazu gehört die Möglichkeit für Entwicklungsteams, neue Builds schnell bereitzustellen. Jedes Team kann sich auf seinen Teil des Dienstes konzentrieren und kontinuierliche Updates in einer schnelllebigen Umgebung nutzen. Dies führt jedoch auch zu einem höheren Potenzial für Fehlkonfigurationen. Und Fehlkonfigurationen führen zu Schwachstellen. Und wenn es eine Schwachstelle gibt, nutzen Angreifer diese aus.
Einfache Fehler wie eine falsche Konfiguration der Berechtigungseinstellungen können zu Sicherheitsbedenken führen. Im Jahr 2024 berichtete The Register, dass durch Fehlkonfigurationen in Microsoft Power Pages sensible Daten offengelegt wurden. Ein Sicherheitsforscher deckte erhebliche Datenmengen auf, die aufgrund falsch konfigurierter Zugriffskontrollen in Websites, die mit Power Pages erstellt wurden, für jedermann einsehbar waren. Und Security Week berichtete, dass Sicherheitsforscher von Palo Alto Networks einen Bedrohungsakteur entdeckten, der Unternehmen erpresste, nachdem er ihre Cloud-Umgebungen durch versehentlich offengelegte Umgebungsvariablen kompromittiert hatte.
SIEM in die moderne Netzwerküberwachung mitintegrieren
Die „traditionellen“ Methoden für Angriffe auf Netzwerkumgebungen sind nicht verschwunden. Sicherheitsteams verlassen sich nach wie vor auf die Analyse des Netzwerkverkehrs sowie auf Intrusion-Prevention-Systeme und Firewalls, um den Netzwerkverkehr zu überwachen und bösartige Nutzdaten zu erkennen.
Die API-Inspektion folgt demselben Ansatz. Sicherheitsteams sollten nach Indikatoren suchen, die ein potenzielles Eindringungsverhalten in der API-Aktivität anzeigen. Beim Cloud Computing ist die Überwachung von APIs und Abfragen an API-Dienste und Speichereinrichtungen wie Amazon S3 von großem Wert. Ähnlich wie bei den Berechtigungen für Datei-Ordner ermöglichen lockere Zugriffskontrollen für Cloud-Speicher den Bedrohungsakteuren den Zugriff auf sensible Daten, indem sie die Schritte überspringen, die traditionell für die Aufklärung, die Ausweitung von Berechtigungen und das Eindringen von außen erforderlich sind.
Für die Sicherheit ist es nach wie vor wichtig zu wissen, „wer“ auf „was“ zugreift, und sie muss in der Lage sein, Verhaltensanalysen durchzuführen, selbst bei der Kommunikation zwischen Diensten. Durch die Überwachung des Datenverkehrs können Sicherheitsteams zwischen Dienst- und Benutzerkonten unterscheiden und somit feststellen, wann ein Benutzer auf einen Dienst zugreift, der normalerweise von einem Dienst genutzt wird. Eine Diensttransaktion sieht ganz anders aus als eine Benutzertransaktion. Allerdings können sich die Teams nicht allein auf die Verhaltensanalyse verlassen.
Die Sicherheit muss über das Verhalten der API-Transaktion hinausgehen und sich auf den Inhalt der API-Anfrage und -Antwort erstrecken. In der Regel werden bei der API-Verhaltensanalyse nur die HTTP-Antwortcodes identifiziert (z. B. 200 - OK, 500 - Error). Bei der bloßen Analyse der HTTP-Antwort wird übersehen, dass 200 OK aufgrund falsch konfigurierter Zugriffskontrollen Daten anderer Kunden oder 500 - Error vertrauliche Serverinformationen enthielt.
Mit den heutigen SIEM-Systemen kommt die moderne Überwachung erst richtig in Schwung. Sie sind in der Lage, das Gesamtbild zu überblicken, indem sie Informationen aus mehreren Protokoll- und Audit-Quellen, einschließlich APIs, zusammenstellen - wer sich wie oft authentifiziert und welche Daten in welchem Umfang abgegriffen werden.
Was passiert, wenn Unternehmen eine öffentliche API einer Anwendung abfragen? Die API soll öffentlich sein, damit Partner Anwendungen für eine SaaS-Anwendung erstellen können. Eine öffentliche API hat zwar ihre Vorteile, kann aber auch missbraucht und falsch konfiguriert werden und so den Zugriff auf Kundendaten ermöglichen. Indem Unternehmen den API-Verkehr unter die Lupe nehmen, können sie nach Angriffssignaturen oder Verhaltensweisen innerhalb des API-Verkehrs suchen, um zu erkennen, wenn etwas keinen Sinn ergibt. Und genau dort können Datenexfiltrationsversuche abgefangen werden.
Wie können Unternehmen Angreifer daran hindern, auf sensible Daten zuzugreifen?
Heutige Sicherheitsstrategien müssen in ihre Risikobewertung, Risikomodelle und Automatisierungen auf der Grundlage einer Kombination aus Risikoinput und Risikoverstärkern einbeziehen. Das bedeutet, dass die Laufzeitaktivität eines Assets mit einer Vielzahl von Analysetechniken ausgewertet und die Ergebnisse kombiniert werden, um den Risiko-Input zu ermitteln. Risikoverstärker fügen zusätzlichen Kontext hinzu, um den Risiko-Input zu verstärken.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im Detail bedeutet das: Wenn wir einhundert gleiche Alarme von einem Vermögenswert gegenüber einhundert verschiedenen Alarmen von einem Vermögenswert sehen, sind die 100 verschiedenen Alarme eindeutig eine bedenklichere Situation. Wir verwenden also die Varianz der Aktivitäten als eine Methode, um das Risiko für diesen Vermögenswert zu erhöhen. Auf diese Weise zählen wir nicht nur die Warnungen, sondern berechnen die Wahrscheinlichkeit, dass die Anlage gefährdet ist, indem wir den Schweregrad der Aktivitäten, die Varianz der Aktivitäten und andere Faktoren, die alle auf dieselbe Anlage abzielen, bewerten.
Ein Vermögenswert ist nicht nur als System definiert, sondern auch als Benutzer, Cloud-Speicher, Cloud-Dienst usw. Wenn wir uns auf eine einzige Analysetechnik verlassen, werden wir mit falsch positiven Ergebnissen bombardiert und wissen nicht, wonach wir suchen sollen. Daher nutzen wir die Ergebnisse mehrerer Analysetechniken für unsere Risikoeingaben. Wir bewerten nicht jeden einzelnen Befund, sondern die Anlage mit hohen Risikowerten. Falsch-positive Ergebnisse werden automatisch unterdrückt, da es nur wenige bestätigende Beweise gibt, die den Risikowert der Anlage erhöhen. Mehrere analytische Befunde untermauern einen echten positiven Befund. Bei genügend Rauch kann man davon ausgehen, dass es Feuer gibt.
Die gute Nachricht ist, dass Cloud-Dienste und Speicher zwar einen besseren Zugang zur Datenexfiltration bieten, Bedrohungsakteure aber immer noch mehrere Schritte unternehmen müssen, um ihre Ziele vollständig zu erreichen. Bedrohungsakteure müssen die Unternehmens-APIs und die Datengrenzen kennenlernen und die Exploits finden.
Wenn eine echte Bedrohung vorliegt, besteht der nächste Schritt darin, den Benutzer und das Konto zu sperren und die API zu aktualisieren, bevor die Daten exfiltriert werden. Anstatt Löcher im Nachhinein zu stopfen oder nach einem Datendiebstahl aufzuräumen, kann die Risikoanalyse dazu beitragen, die Datenexfiltration zu verhindern, da sie genügend Anhaltspunkte dafür liefert, was passieren wird.
Risikovorhersage zur Schließung der Schwachstellenlücke
Die Zusammenfassung von Verhaltensänderungen und Angriffsindikatoren auf ein gemeinsames Objekt ist eine moderne Methode zur Risikovorhersage. Sicherheitsteams können erkennen, wenn mehrere Aktivitäten mit derselben Kampagne in der Umgebung verbunden sind, und die Punkte miteinander verbinden. Die Teams können erkennen, dass das Risiko dieses Ereignisses erhöht ist, weil es mit einer anderen Kampagne in dieser Umgebung in Verbindung gebracht wird.
Infolgedessen steigt das Risiko für das Asset. Die Unternehmen haben jetzt einen vollständigen Überblick über alle Aktivitäten, die auf dem betreffenden Objekt stattgefunden haben, und können erkennen, welche Ereignisse wirklich positiv sind. Sicherheitsanalysten haben automatisch zusammengestellte Informationen zur Hand und können ihre Untersuchungen mit einem Vorsprung beginnen.
Wenn sich Unternehmen auf die Erkennung von Datenexfiltrationen konzentrieren, sind sie zu spät dran. Entscheidende Sicherheitsschritte sollten vor der Datenexfiltration erfolgen. Der wichtigste Schritt zum Schutz eines Unternehmens und seiner Kunden besteht darin, stichhaltige Beweise zu finden, um zu erkennen, dass ein Verstoß stattgefunden hat.
Über den Autor: Andy Grolnick ist CEO vom SIEM-Sicherheitsanbieter Graylog. Er verfügt über mehr als dreißig Jahre Erfahrung im Aufbau und in der Führung wachstumsstarker Technologieunternehmen in den Bereichen Unternehmenssoftware, Sicherheit und Storage. Sein Fokus hochwertige Produkte bereitzustellen sowie den Kundenerfolg und eine starke Unternehmenskultur zu fördern sind sein Erfolgsrezept.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/14/b7/14b705334b5f40d6b27f95ce4c7e7345/0125743644v1.jpeg "DLP ist ein Programm, kein isoliertes Werkzeug. Der Erfolg hängt von einem strategischen Rahmen ab, der Richtlinien, Methoden und systematischen Datenschutz vereint. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/cf/63cf12cec8d640fada674a3efbad87c3/0124017609v2.jpeg "Das Open-Source-SIEM Wazuh verfügt über einen riesigen Funktionsumfang, aber ein gewöhnungsbedürftiges Interface. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/a9/5aa92e562cd446b8b13a97f8c70695ad/0122454407v2.jpeg "Erfahren Sie, wie die DORA-Richtlinie neue Maßstäbe in der Cybersicherheit setzt, warum modellbasierte SIEM Use Cases unverzichtbar sind und wie Threat Lead Penetration Testing die digitale Resilienz entscheidend stärkt. Jetzt für 2025 optimal vorbereiten! (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/02/960273328da2f3240aa173a403e5735b/0122779064v1.jpeg "Unternehmen gehen häufig davon aus, dass die Cloud-Infrastruktur automatisch sicher ist – das ist ein Irrtum. (Bild: Ar_TH - stock.adobe.com)")