Die Public Cloud der Hyperscaler ist sowohl bei Entwicklern als auch Finanzchefs der Unternehmen beliebt. Die einen versprechen sich mehr Geschwindigkeit und Verlässlichkeit, die anderen niedrigere Kosten bei der Entwicklung und Bereitstellung von Apps. Gefährlich wird es jedoch, wenn fehlerhaft programmiert wird oder es keine durchdefinierten Prozesse gibt.
Fehlerhafte Konfigurationen bei Public-Cloud-Services können zu sogenannten Cloud-Native Breaches (CNB) führen und stellen ein massives Risiko für die unternehmensinterne Datensicherheit dar.
Den 6. August 2020 wird das Management von Capital One so schnell nicht vergessen. Das Office of the Comptroller of the Currency (OCC), eine Behörde des Finanzministeriums der USA, verhängte an diesem Tag eine zivilrechtliche Geldstrafe in Höhe von 80 Millionen Dollar gegen den US-amerikanischen Finanzdienstleister. Eine Hackerin hatte Capital One im Juli 2019 100 Millionen Kreditkartendaten gestohlen. Die Urteilsbegründung: Die Bank habe es versäumt, vor der Migration der IT in eine Public-Cloud-Umgebung wirksame Risikobewertungsprozesse einzurichten und Mängel nicht rechtzeitig behoben.
Datenverluste stark zunehmend
Auch wenn derart drastische Strafen eher selten sind: Datenverluste sind längst kein Einzelfall mehr. Die Liste der Unternehmen, die 2019 und 2020 von Datendiebstahl betroffen waren, liest sich wie das Who is Who der internationalen Wirtschaft: unter anderem EasyJet, Nintendo oder Marriott Hotel in 2020, Facebook, Microsoft oder Toyota im Jahr 2019. Entweder waren wie bei EasyJet oder MGM HotelsHacker am Werk oder einfach nur unzureichende Sicherheitsvorkehrungen implementiert, wodurch Externe auf ungeschützte Daten zugreifen konnten. Was aber auffällt: Die Zahl der Datenverluste hat seit 2020 massiv zugenommen. Und daran hat auch die Public Cloud einen signifikanten Anteil.
Es sind aber meist nicht die Public-Cloud-Anbieter selbst, die Hackern Tür und Tor öffnen. Eine Studie von McAfee zur Sicherheit von IaaS-Umgebungen: Ein großes Einfallstor für Hacker sind von den Cloud-Nutzern selbst fehlerhaft konfigurierte Systeme, die zudem auch noch über längere Zeiträume zu 99 Prozent unentdeckt bleiben. Noch gefährlicher: Selbst wenn Entwickler Fehlkonfigurationen identifizieren, bleibt mehr als ein Viertel der Probleme ungelöst, so die Ergebnisse der Studie – wobei die Fehlkonfigurationen von Infrastruktur ein höheres Risiko mit sich bringt als SaaS. Da der Anteil von Public-Cloud-Services beim IT-Sourcing der Unternehmen zunimmt, fehlt es ihnen häufig an ausreichendem Know-how, die Entwickler stehen unter hohem Zeitdruck, was die Fehlerquote in die Höhe treibt, oder es fehlt ihnen schlichtweg an Kapazitäten.
Typische Fehlkonfigurationen von IaaS-Nutzern bei AWS, die Cloud-native Breaches ermöglichen:
EBS-Datenverschlüsselung ist nicht aktiviert
Es gibt uneingeschränkten Zugang nach außen
Der Zugriff auf Ressourcen wird nicht über Identity and Access Management (IAM)-Rollen bereitgestellt
Erhöhte IAM-Privilegien für Benutzer oder Cloud-Ressourcen
Unverschlüsseltes Amazon Machine Image (AMI) wird entdeckt
Diese fehlerhaften Konfigurationen können zu sogenannten Cloud-Native Breaches (CNB) führen und stellen ein massives Risiko für die unternehmensinterne Datensicherheit dar. Die Täter nutzen native Funktionen der Cloud-Infrastruktur, um sich Zugriff zu verschaffen, den Angriff auf benachbarte Cloud-Instanzen auszuweiten und letztendlich auch wertvolle Daten abzugreifen. So ist laut McAfee-Studie die Anzahl der Datendiebstähle in IaaS-Umgebungen im vergangenen Jahr um 248 Prozent gestiegen.
Die Cloud-nativen Angriffe basieren also nicht auf Malware, sondern es handelt sich um gezielte Aktionen von Hackern, die Fehler oder Schwachstellen in einer Cloud-Umgebung ausnutzen. Sie nutzen schlecht konfigurierte Infrastruktur, dringen weiter in die Infrastruktur ein, lokalisieren wertvolle Daten, und ziehen diese Daten ab. Unter anderem sind laut einer Studie von Accurics schlecht konfigurierte Cloud-Storage-Dienste in 93 Prozent der Fälle an der Tagesordnung. Die meisten haben auch mindestens eine fehlerhafte Netzwerkkonfiguration, bei der eine Sicherheitsgruppe weit offengelassen wird.
Qualifiziertes Personal ist Mangelware
Unternehmen scheinen oft in die Wolke zu „stolpern“, ohne einen konkreten Sicherheitsansatz zu definieren. Ein weiterer Grund, neben zu wenig technischem Verständnis, ist der hohe Zeitdruck. Wer „Lift-and-Shift“-Migrationen durchführt und bestehende Sicherheitspraxis willkürlich anwendet, stößt meist auf Schwierigkeiten. In der Tat sind Cloud-Plattformen für viele Organisationen so neu, dass ihnen das Wissen und die Fähigkeiten fehlen, Konfigurationen zu implementieren, die denen in ihrer bestehenden Umgebung nahekommen. Oder ihre Praktiken sind möglicherweise einfach nicht für die Cloud geeignet. Ein dritter Grund ist, dass die Cloud sehr dynamisch ist, sich daher Konfigurationsoptionen sowie Implementierung kontinuierlich ändern und mehr Sorgfalt erfordern.
„Viele Organisationen wollen bei der Integration von IaaS möglichst wenig Zeit verlieren. Dabei vergessen sie oft, dass Cloud-Sicherheit auf einem Shared-Responsibility-Model basiert. Das bedeutet, dass nicht der Cloud-Provider allein für das Thema Sicherheit verantwortlich ist, sondern auch der Nutzer“, sagt Rolf Haas, Senior Enterprise Technology Specialist bei McAfee. „Wer sensible Daten in die Cloud bringt, muss sich selbst um deren Schutz kümmern. Im Hinblick auf die immer häufiger vorkommenden Cloud-Native Breaches müssen Organisationen daher Security-Tools in Stellung bringen, die selbst cloud-nativ sind und speziell für den Einsatz in Cloud-Umgebungen konzipiert wurden.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sicherheit durch automatisierte Konfigurationsskripte
Um diese offensichtliche Sicherheitsmisere zu beenden, bieten sich mehrere Strategien an. Ein leistungsstarkes Werkzeug ist die Automatisierung durch Standard-Konfigurationen und die Verwendung von Bereitstellungs- sowie Konfigurationsskripte, die die Möglichkeit von Fehlkonfigurationen verringern und die Implementierungs- sowie Qualitätsprüfungsrate verbessern. Die Automatisierung ermöglicht auch zusätzliche Überprüfungen und Audits, um Fehler zu reduzieren und die Sicherheit zu verbessern.
Entwickler sollten sich mit Sicherheitswerkzeugen befassen, die mit Jenkins, Kubernetes usw. integriert werden können, um die Audit- und Korrekturprozesse zu automatisieren. Durch die Überprüfung der Sicherheitspraktiken mit einem Rahmenwerk wie Land-Expand-Exfiltrate in Bezug auf die gesamte Angriffskette haben Unternehmen eine Chance, einen Cloud-native-Breach zu verhindern, bevor er außer Kontrolle gerät.
Was tun gegen Cloud-native Breaches:
1. Frühzeitige Integration einer IaaS-Konfigurationsprüfung - vorzugsweise beim Einchecken des Codes -, um Fehlkonfigurationen vor dem "Go-Live" zu minimieren.
2. Nutzung von Sicherheitswerkzeugen, die sich mit Jenkins, Kubernetes und anderen integrieren lassen, um den Prüfungs- und Korrekturprozess zu automatisieren.
3. Bewertung der IaaS-Sicherheitspraxis mit einem Framework wie "Land-Expand-Exfiltrate". Dies hilft, Kontrollen gegen die gesamte Angriffskette zu überprüfen.
4. Investition in Cloud-native Sicherheitswerkzeuge und Schulungen für Sicherheitsteams, da Sicherheitstools wie Cloud Access Security Brokers (CASBs) zusätzliches Wissen erfordern.
5. Einbindung externer IaaS- und Security-Experten, um das Know-how auch intern zu erweitern.
Spezielle Sicherheits-Tools für die Cloud
Ein weiterer Ansatz ist der Einsatz von Sicherheitstools. Allerdings funktionieren traditionelle Sicherheitswerkzeuge in Cloud-Umgebungen entweder überhaupt nicht oder nur mit eingeschränkten Funktionen. Hier bietet sich die Kombination von Cloud Access Security Brokers (CASBs), Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platforms (CWPP) an. Alle genannten Tools sind so konzipiert, dass sie innerhalb von DevOps und CI/CD-Prozessen funktionieren, ohne die Sicherheit im Rechenzentrum vor Ort zu duplizieren. Eine weitere wichtige Sicherheitstechnologie ist die Verschlüsselung, die zusammen mit sicheren Schlüsselverwaltungsprozessen eine zusätzliche Schutzebene bieten kann.
Damit ließen sich dann Datenverluste wie die mehr als 275 Millionen Datensätze von Einwohnern Indiens im Mai 2019 verhindern. Sie waren ungeschützt auf einer MongoDB-Datenbank in der AWS-Cloud gespeichert. Oder die 380 Millionen Datensätze mit den Namen, E-Mail-Adressen, Telefonnummern, LinkedIn- und Facebook-Profilen von mehr als 1,3 Milliarden Personen, die auf ungeschützten Elasticsearch-Servern lagen.
Über den Autor: Paul Schöber ist Portfoliomanager Cloud Security bei T-Systems.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/b5/59b588114a2e0986f3aebb77d5505821/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")