Multi-Cloud-Umgebungen bringen Flexibilität, stellen Sicherheitsteams aber vor enorme Herausforderungen. Unternehmen können mit modernen Konzepten wie Zero Standing Privileges, konsistentem IAM und Secrets-Management die Kontrolle zurückgewinnen und ihre Cloud-Identitäten nachhaltig schützen.
Sicherheitsteams müssen unzählige Identitäten und Berechtigungen im Auge behalten, die über eine Vielzahl von Cloud-Services verstreut sind – ohne eine durchdachte Strategie für Identity Security ist das nicht mehr zu schaffen.
Wachsende Multi-Cloud-Umgebungen und eine geradezu explodierende Zahl an maschinellen Identitäten stellen viele Sicherheitsteams vor Herausforderungen. Klassische Security-Konzepte reichen nicht mehr aus, um Anwender, Daten und Infrastrukturen zuverlässig zu schützen – der Fokus muss sich stärker auf die Identitäten richten.
Die Zeiten, in denen Unternehmen nur einen Cloud-Anbieter nutzten, sind lange vorbei. Inzwischen setzen sie auf eine Vielzahl von Clouds, um Kosten zu optimieren und Spezialfeatures nutzen zu können. Dadurch steigt allerdings die Komplexität der gesamten Umgebung und es fällt den Unternehmen zunehmend schwer, sie zu schützen. Das liegt zum einen daran, dass die einzelnen Clouds in der Regel ganz eigene Systeme und Methoden für die Verwaltung von Identitäten, Berechtigungen und Zugriffen mitbringen, und zum anderen an der schieren Masse an Identitäten. Insbesondere die Zahl der maschinellen Identitäten ist in den vergangenen Monaten und Jahren geradezu explodiert, weil Skripte, Apps, KI-Agenten, virtuelle Maschinen, Container und Management-Tools miteinander kommunizieren und auf Daten, Anwendungen und andere Ressourcen zugreifen müssen, ohne dass ein Mensch alles kontrolliert und freigibt.
Laut dem „2025 Identity Security Landscape”-Report von CyberArk haben 67 Prozent der deutschen Unternehmen mittlerweile 51 bis 100 mal so viele maschinelle wie menschliche Identitäten, 23 Prozent sogar 101 bis 200 mal so viele – und ein Ende des Wachstums ist nicht in Sicht. 51 Prozent erwarten, dass sich die Gesamtzahl der Identitäten in den nächsten zwölf Monaten verdoppelt; 24 Prozent rechnen mit einer Verdreifachung. Als Wachstumstreiber sehen die Unternehmen vor allem maschinelle Identitäten bei Cloud-Workloads, der Containerisierung von Apps, IoT-Geräten und -Anwendungen sowie Bots, aber auch bei KI und großen Sprachmodellen (LLMs).
Durch die hohe Komplexität von Multi-Cloud-Umgebungen kann es schnell zu Fehlkonfigurationen beim Identitätsmanagement kommen. Sicherheitsteams müssen nicht selten hunderte Einstellungen im Blick behalten, die sich noch dazu von Cloud-Anbieter zu Cloud-Anbieter unterscheiden – inaktive Identitäten oder übermäßige Berechtigungen werden da schnell übersehen und lassen sich von Angreifern missbrauchen. Hinzu kommt, dass Passwörter, API-Keys, Token und Zertifikate häufig über lange Zeiträume unverändert bleiben, weil es an Automatismen für die Secrets-Rotation beziehungsweise die Erneuerung von Zertifikaten fehlt. Kein Wunder, dass fast alle deutschen Unternehmen in den vergangenen zwölf Monaten mit identitätsbezogenen Sicherheitsvorfällen wie Phishing, Credential-Diebstahl oder dem Missbrauch von privilegierten Accounts zu kämpfen hatten – häufig sogar mehrfach.
Klassische Sicherheitskonzepte, die sich auf die Perimetersicherung und die Abwehr von Bedrohungen konzentrieren, reichen für diese Cloud-Welt mit unzähligen Identitäten nicht mehr aus. Unternehmen müssen die Identitäten selbst in den Fokus ihrer Sicherheitsbemühungen rücken und Risiken – durch moderne Konzepte wie Zero Trust – minimieren. Letztlich dient dies nicht nur dem Schutz der eigenen Assets, sondern auch der Compliance, da allgemeine und branchenspezifische Regulierungen wie NIS 2 und DORA explizit ein Risikomanagement einfordern.
Zero Standing Privileges (ZSP) haben sich inzwischen als beste Möglichkeit etabliert, Identitäten in der Cloud zu schützen. Hierbei erhalten menschliche sowie maschinelle Identitäten standardmäßig keinerlei Berechtigungen oder Privilegien, sondern bekommen diese bei Bedarf sessionbasiert zugewiesen. Dadurch bieten sie kein Missbrauchspotenzial und können dennoch auf alle benötigten Ressourcen zugreifen. Dieser Ansatz vereint mit Least Privilege und Just-in-Time (JIT) zwei wichtige Prinzipien von Zero Trust, die die Angriffsfläche und damit Risiken reduzieren.
Ein modernes Identitäts- und Access-Management (IAM) hilft dabei, Sicherheitsrichtlinien über alle Clouds hinweg konsistent durchzusetzen, darunter auch eine Multi-Faktor-Authentifizierung. Darüber hinaus ist ein zentrales Secrets-Management sinnvoll, um alle Passwörter, Schlüssel, Zertifikate und Token über eine einzige Oberfläche verwalten zu können. Andernfalls verlieren Sicherheitsteams schnell den Überblick über die Secrets und es fällt schwer, Anwendung zwischen Clouds zu portieren, da die zugehörigen Secrets im Management-Tool der jeweiligen Plattform hinterlegt sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Idealerweise bietet das Secrets-Management auch eine Secret-Rotation, sodass Passwörter, Schlüssel, Zertifikate und Token nach einer festgelegten Zeitspanne automatisch ausgetauscht werden. Dies erspart es dem Sicherheitsteam, über Fristen zu wachen und den Austausch manuell vornehmen zu müssen. Über Integrationen in das IT-Service-Management (ITSM) und Security-Tools können Unternehmen weitere Abläufe automatisieren, etwa für die Beantragung und Vergabe von Zugriffsrechten oder die Reaktion auf Ereignisse, die ein Risiko darstellen. Ein Monitoring von Zugriffen und Sessions liefert einen detaillierten Audit-Trail, um unautorisierte Zugriffe und andere Anomalien zu erkennen, zu untersuchen und zu handhaben.
Angesichts einer Vielzahl von Identitäten mit unterschiedlichen Berechtigungen besteht die Herausforderung für viele Unternehmen darin, Sicherheitsmaßnahmen effektiv zu priorisieren. In der Praxis haben sich zwei Ansätze bewährt: Der erste basiert auf der Tatsache, dass Unternehmen häufig nicht alle Sicherheitsmaßnahmen gleichzeitig implementieren können, und konzentriert sich daher zunächst auf Maßnahmen, die Risiken mit großen Auswirkungen minimieren und vergleichsweise leicht umzusetzen sind. Der zweite setzt die Prioritäten bei besonders gefährdeten Rollen und Personas und wendet alle verfügbaren Sicherheitskontrollen sofort auf sie an.
Der erste Ansatz startet mit rollenbasierten Zugriffskontrollen, Multi-Faktor-Authentifizierung und dem Schutz von Sessions, um im nächsten Schritt weitgehend Zero Standing Privileges umzusetzen und damit das größte Risiko – weitreichende Berechtigungen – zu verringern. Anschließend sollten privilegierte Identitäten, die sich nicht einfach auf ZSP umstellen lassen, mit einem Credential-Management geschützt werden. Parallel dazu erfolgt eine Reduzierung der Berechtigungen bei allen Identitäten, um Least Privilege näher zu kommen. Das Entfernen hart-kodierter Secrets und die Einführung eines Secret-Managements sind dann die nächsten Schritte, bevor ein Lifecycle-Management dafür sorgt, dass alle Identitäten über ihren gesamten Lebenszyklus zuverlässig verwaltet werden können.
Beim zweiten Ansatz werden zunächst besonders privilegierte Identitäten wie Root-Accounts oder Accounts mit globalen Admin-Berechtigungen geschützt. Anschließend wird der Schutz schrittweise auf andere Admin-Accounts, Entwickler- und Services-Accounts sowie maschinelle Identitäten ausgedehnt.
Allerdings kann es manchmal auch sinnvoll sein, beide Ansätze zu kombinieren – wichtig ist, dass Unternehmen aktiv werden und sich nicht nur um die vielfältigen Berechtigungen der menschlichen, sondern insbesondere auch um die vielen maschinellen Identitäten in der Cloud kümmern, um Cyberkriminellen keine Einfallstore zu bieten. Nur im Zusammenspiel ist in einem hoch-automatisierten Umfeld eine durchgängige Identity Security umsetzbar.
Über den Autor: Michael Kleist ist Area Vice President CEE bei CyberArk.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/5a/a1/5aa1bf4ec0b9b4fc936bdef79049224f/0124981293v1.jpeg "Die aktuellen Entwicklungen in den USA zeigen eindringlich, wie wichtig es ist, Cloud-Strategien regelmäßig kritisch zu hinterfragen und neu auszurichten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/f4/2df4c4830f6c1e4fef49167382f5cf76/0125818124v1.jpeg "Wie können Unternehmen die Vorzüge der Multi-Cloud realisieren zu können, ohne die erhöhten Risiken mehrerer Clouds aus den Augen zu verlieren? Antworten gibt es im neuen eBook „Multi-Cloud-Sicherheit“. (Bild: Fokasu Art - stock.adobe.com / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2a/74/2a744a860c59c0f48135973a2749cd83/0120155257v2.jpeg "Microsoft Entra Permissions Management überwacht und steuert Berechtigungen in Cloud-Infrastrukturen und erkennt dort automatisch überflüssige und exzessive Berechtigungen. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/00/7400729b1511ef03967a194ad20d06fa/0122127363v2.jpeg "Das BSI veröffentlichte jüngst seine Cloud-Strategie für eine sichere und souveräne Nutzung von Cloud-Diensten. (Bild: Intelligent Horizons - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d7/33/d733094f32eec62f761e7bb2b2241241/0124375087v1.jpeg "Längst kommunizieren Maschinen jeglicher Art miteinander; für die Sicherheit sorgen unter anderem Identifikationsdaten. (Bild: VicenSanh - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8f/ba/8fba0f61e5f44c2f6c2912d64031c0cc/0127091191v1.jpeg "Identitäten – ob menschlich oder maschinell – stehen im Zentrum moderner Sicherheitsarchitekturen. (Bild: © Harsha – stock.adobe.com)")