Unternehmen rücken Identitäten, Policies und Multi-Account-Strukturen ins Zentrum ihrer Cloud-Security. Der Datadog-Report zeigt zugleich, wie langlebig Zugangsdaten und überpriviligierte Workloads Angriffsflächen offenlassen.
Der Datadog-Report „State of Cloud Security 2025“ beleuchtet, wie Unternehmen Daten-Perimeter aufbauen, Multi-Accounts absichern und mit langlebigen IAM-Zugangsdaten ringen.
(Bild: Midjourney / Paula Breukel / KI-generiert)
Unternehmen in Deutschland und Europa professionalisieren ihre Cloud-Sicherheitsmaßnahmen. Das belegt der „State of Cloud Security 2025“-Report von Datadog: Daten-Perimeter und zentral verwaltete Multi-Account-Umgebungen setzen sich durch, während langlebige Zugangsdaten und Workloads mit mehr Rechten als nötig weiterhin erhebliche Risiken darstellen.
Daten-Perimeter sind Regeln, die festlegen, wer aus welchem Konto oder Netz auf welche Daten zugreifen darf. Unabhängig davon, wo die Daten liegen. Innerhalb von Unternehmen gibt es eine spürbare Verbreitung von Daten-Perimetern: 40 Prozent der im Report analysierten Organisationen setzen entsprechende Mechanismen ein.
S3-Bucket-Policies sind am häufigsten betroffen
Am häufigsten geschieht dies über S3-Bucket-Policies (Zugriffsregeln für einen Datenspeicher „Ordner“ in S3), die in rund 32 Prozent der Fälle genutzt werden, und über VPC-Endpoint-Policies (Regeln für Datenverkehr aus isolierten Netzbereichen zu AWS-Diensten), die etwa 13 Prozent erreichen. Service Control Policies (SCPs), als organisationsweite „Leitplanken“, was Accounts nicht dürfen und Resource Control Policies (RCPs), als Leitplanken direkt auf Ressourcenebene sind seltener, verlagern die Schutzmechanismen aber auf die Organisationsebene.
Anhand der Wirkmechanismen werden konkrete Sicherheitsvorteile deutlich. Denn S3-Policies verhindern Zugriffe von außerhalb eines definierten AWS-Accounts, selbst bei versehentlich öffentlich gemachten Dateien. VPC-Endpoint-Policies erschweren das Hinaustragen von Daten in fremde Konten. Dabei erlauben RCPs (Resource Control Policies) und SCPs (Service Control Policy) es, unternehmensweite Regeln durchzusetzen.
Zero-Trust- und Identity-First-Ansätze können Abhilfe schaffen
Im Rahmen der Sicherheitsarchitektur fügen sich Daten-Perimeter nahtlos in Zero-Trust- und Identity-First-Ansätze ein. Sie bieten, bei reifem Identitäts-, Policy- und Monitoring-Setup, einen klaren Vorteil. Denn durch sie lassen sich Zugriffe über Accounts und Netzgrenzen hinweg konsistent steuern und Ausnahmen auf Basis von Standort- oder Netzwerkvertrauen vermeiden. Allerdings sind Daten-Perimeter nicht standardmäßig aktiv und erfordern eine korrekte Konfiguration, da ansonsten unbemerkt Lücken entstehen können. Aktivierungen sollten deshalb stets mit Policy-Simulation, Staging-Tests und anschließender engmaschiger Überwachung erfolgen.
Multi-Account-Setups unter „AWS Organizations“ sind mittlerweile ebenfalls weit verbreitet. 86 Prozent der Unternehmen haben mehrere AWS-Accounts innerhalb einer Organisation und 70 Prozent haben sämtliche Accounts dort organisiert. 40 Prozent dieser Organisationen setzen SCPs ein, 6 Prozent RCPs. Häufig schützen die Policies gemeinsame Infrastruktur und sogenannte Landing-Zones sowie zentrale Sicherheitsmechanismen wie „CloudTrail“ und „GuardDuty“.
Eine Herausforderung ergibt sich allerdings beim Management-Account. Da dieser als zentrales Administrationskonto mit weitreichenden Rechten hochprivilegiert ist, erhöhen dort betriebene Workloads das Risiko. Wird dort ein Dienst kompromittiert, kann sich der Angreifer unbemerkt zu anderen Konten bewegen (Lateral Movement). Gleichwohl betreiben 9 Prozent der analysierten Organisationen „EC2“-Instanzen (kurz für Amazon Elastic Compute Cloud) im Management-Account.
Über alle Anbieter hinweg zeigt sich, dass EC2-Instanzen mit Administratorrechten häufig übermäßig privilegiert sind und damit etwa weitreichenden Zugriff auf S3-Buckets erhalten. Das zeigt, dass Multi-Account-Strukturen klare Leitplanken schaffen und Entwicklung von Produktion trennen, allerdings kein präzises, rollenbasiertes Rechte-Design ersetzen können.
Zugangsdaten und Identitäten: Langlebige Schlüssel bleiben ein Hauptproblem
Langlebige Zugangsdaten bleiben weiterhin ein zentrales Risiko. Identity-and-Access-Management-Benutzer (IAM) verwalten und kontrollieren den Zugriff auf AWS-Ressourcen. 59 Prozent dieser IAM-Benutzer nutzen mindestens einen aktiven Access Key, der älter als ein Jahr ist und viele dieser Schlüssel wurden länger als 90 Tage nicht genutzt.
Exponierte IAM-Schlüssel dienen in AWS häufig als Initialzugang. Immer häufiger aus CI/CD-Pipelines und gemeinsam genutzten Entwicklerarbeitsplätzen. Trotz einer Verbesserung zum Vorjahr weisen in Google Cloud immer noch 55 Prozent der Service-Accounts-Schlüssel mit einem Alter von über einem Jahr auf. Auch bei Microsoft „Entra ID“ sind noch 40 Prozent der App-Registrierungen mit Credentials, die älter als ein Jahr sind, versehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Parallel setzt sich der föderierte Zugriff für die AWS-Konsole weiter durch: 79 Prozent der Organisationen nutzen Verfahren wie „IAM Identity Center“ oder „Okta“. Dennoch setzen rund 39 Prozent weiterhin IAM-User ein, etwa 21 Prozent sogar ausschließlich. Stattdessen wäre ein Umstieg auf zeitgebundene, kurzlebige Zugangsdaten empfehlenswert.
Beispielsweise IAM-Rollen für „Elastic Compute Cloud“ oder „Elastic Kubernetes Service“ in AWS, „Managed Identities“ in Azure und „Workload-Identitäten“ in Google Cloud. Darüber hinaus eine Zentralisierung menschlicher Identitäten über Lösungen wie AWS IAM Identity Center, Okta oder Entra ID.
Prioritäten für Sicherheitsverantwortliche
Um die Angriffsfläche zu verkleinern, sollten Unternehmen den Daten-Perimeter konsequent ausweiten. Beginnend bei S3- und VPC-Policies und wo möglich, über RCPs und SCPs auf Organisationsebene. Multi-Account-Setups gehören vollständig unter AWS „Organizations“ und produktive Workloads haben im Management-Account nichts zu suchen. Unternehmensweite Sicherheitsregeln lassen sich dabei durch stringent definierte SCPs und RCPs absichern.
Zugänge sollten zudem so kurzlebig wie möglich gestaltet werden. Föderierte Logins sollten zum Standard werden, während Legacy-IAM-User schrittweise und kontrolliert abgebaut werden. Für Workloads sind Rollen beziehungsweise Workload-Identitäten statischen Schlüsseln vorzuziehen, um Rotationen zu erzwingen und Berechtigungen feinzusteuern.
Drittanbieter-Integrationen verdienen besondere Aufmerksamkeit. Denn Rollen für externe Services sollten auf unnötige Rechte geprüft und durch den verpflichtenden Einsatz von External IDs abgesichert werden. So lassen sich unautorisierte Übernahmen von Vertrauensbeziehungen eindämmen.
Fazit
Der Datadog-Report zeichnet ein ambivalentes Bild: Unternehmen professionalisieren ihre Cloud-Sicherheitsarchitektur, doch alte Schwachstellen bleiben eine Gefahr. Daten-Perimeter und zentral gesteuerte Multi-Account-Strukturen sorgen für klarere Leitplanken und stärken Identity-First-Ansätze. Gleichzeitig unterminieren häufig langlebige Zugangsdaten, Workloads mit mehr Rechten als nötig und nicht sauber abgesicherte Drittanbieter-Rollen den Fortschritt.
Der Weg nach vorn ist pragmatisch: Perimeter systematisch ausweiten (S3, VPC, idealerweise RCP/SCP), Workloads aus dem Management-Account verbannen, kurzlebige, föderierte Zugänge zum Standard machen und externe Integrationen mit External-ID-Pflicht absichern. Wer diese Hebel priorisiert, senkt kurzfristig die Angriffsfläche und schafft zugleich die Basis für belastbare Zero-Trust-Umgebungen.
Der Bericht analysiert die Sicherheitslage tausender Organisationen, die AWS, Azure oder Google Cloud nutzen und Datadog „Infrastructure Monitoring“, „Logs“ oder „Cloud Security“ im Einsatz haben. Die Zahlen stammen aus Telemetrie (Nutzungsdaten) und Konfigurationsprüfungen bei Datadog-Kundinnen und -Kunden. Erhoben wurden die Daten per direkter Messung und Policy- oder Konfigurationsanalyse. Die Nutzung von Daten-Perimetern und Multi-Accounts wurde über Logs, Policies und Konfigurationen verifiziert.
Über den Autor: Emilio Escobar, CISO bei Datadog, zuvor unter anderem bei Hulu und PlayStation, verfügt über zwei Jahrzehnte Erfahrung in den Bereichen Informationssicherheit und Compliance. Er ist für die Bereiche IT, Sicherheit, Governance, Risikomanagement, Compliance sowie Kundenvertrauen und -sicherheit verantwortlich.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/8f/ba/8fba0f61e5f44c2f6c2912d64031c0cc/0127091191v1.jpeg "Identitäten – ob menschlich oder maschinell – stehen im Zentrum moderner Sicherheitsarchitekturen. (Bild: © Harsha – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/4b/ef4b411c3e16568f344eb90ecf7def8c/0123942656v1.jpeg "Cyberkriminelle können Schwachstellen ausnutzen, um in Ubuntu die Einschränkungen für unprivilegierte Benutzernamensräume zu umgehen und Zugriff auf isolierte Umgebungen und darin erhöhte Berechtigungen zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/aa/66/aa66a2af699a8c0b18244a8becce7808/0125081162v1.jpeg "Governance-Struktur der neuen AWS European Sovereign Cloud. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/3b/34/3b3423f1615651dd7d41d728a08b597b/0128025345v1.jpeg "Zero Trust und kurzlebige Tokens reduzieren IAM-Risiken in Cloud-Umgebungen. RBAC und Least Privilege begrenzen Berechtigungen, Föderation setzt auf OAuth2 und OIDC. (Bild: © RAVI - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/7a/ac7acaaca1932a490c8a3042df77765c/0121170506v2.jpeg "Keycloak ist eine Open-Source-Lösung für Identitäts- und Zugriffsmanagement. Keycloak bietet Funktionen wie Single-Sign-On (SSO), Identity Brokering und Social Login, User Federation und vieles mehr. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/a7/23a7bee2da5a85812d98a8ecc397dc2b/0122524615v2.jpeg "Die neue Ransomware Codefinger nutzt für ihre Attacken geleakte Anmeldeinformationen für Konten bei Amazon Web Services. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/2e/672e29fcd6ebbcdaf1ada487b38568be/0127598284v1.jpeg "Der Bericht „State of Cloud Security 2025“ von Datadog zeigt, dass fortschrittliche Cybersecurity-Maßnahmen mittlerweile in deutschen Unternehmen angekommen sind. (Bild: © Stocksy – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/59/b5/59b588114a2e0986f3aebb77d5505821/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")