Cyberkriminelle sind vor allem eines: einfallsreich. Wenn sie feststellen, dass ein bestimmter Weg blockiert ist, geben sie nicht auf. Stattdessen suchen sie einfach nach einem anderen. Man muss sich nur einmal Googles neuesten Ansatz ansehen. Cloud Threat Horizons Report Für das erste Halbjahr 2026 hat Google Cloud umfassende Best Practices in seine Plattform integriert, um das Risiko von Identitätsdiebstahl und Missbrauch zu minimieren. Was haben die Angreifer also in der zweiten Jahreshälfte 2025 getan? Sie haben ihre anfänglichen Zugriffsversuche einfach von der Kompromittierung von Zugangsdaten auf die Ausnutzung von Sicherheitslücken verlagert.
Dies ist eine von mehreren interessanten Erkenntnissen aus dem Bericht, die CISOs bei ihren Bemühungen um die kontinuierliche Verbesserung ihrer Sicherheitslage unterstützen könnten.
Von Fehlern zu Sicherheitslücken
Zwei Diagramme veranschaulichen die Dynamik der heutigen Bedrohungslandschaft: eines zeigt die in Google Cloud ausgenutzten ersten Zugriffsvektoren, das andere ist plattformunabhängig. In Google Cloud waren „schwache oder fehlende Anmeldeinformationen“ im zweiten Halbjahr 2025 nur noch für 27 % der Sicherheitsvorfälle verantwortlich, verglichen mit 47.1 % im ersten Halbjahr. Im Gegensatz dazu machten Sicherheitslücken in Drittanbietersoftware 45 % der Vorfälle aus, gegenüber nur 3 % im ersten Halbjahr 2025.
Obwohl die letztgenannten Angriffe für Angreifer „ausgefeilter und kostspieliger“ sind, werden diese auch immer besser darin. Laut Google hat sich das Zeitfenster zwischen der Entdeckung einer Sicherheitslücke und ihrer massenhaften Ausnutzung von Wochen auf nur noch Tage oder Stunden verkürzt. React2Shell war im vergangenen Jahr eines der beliebtesten Ziele für Angriffe – was zu einem schwerwiegenden Sicherheitsvorfall führte bei LexisNexis, neben mehreren anderen Unternehmen.
Betrachtet man jedoch alle Plattformen, erweist sich Identitätsdiebstahl erneut als primärer Angriffsvektor bei Vorfällen in großen Cloud- und SaaS-Umgebungen – er ist für 83 % der Erstzugriffe verantwortlich. Die Ausnutzung von Sicherheitslücken machte im letzten Jahr lediglich 2 % aus. Im Detail betrachtet, war Vishing (17 %) verbreiteter als E-Mail-Phishing (12 %). Noch häufiger als beides waren jedoch die Verwendung gestohlener Zugangsdaten (21 %) und die Kompromittierung von Vertrauensbeziehungen zu Dritten (21 %), wie beispielsweise die berüchtigte Salesforce-Drift-OAuth-Kampagne.
Sei mehr Google
Der Bericht bietet nicht nur eine nützliche Momentaufnahme aktueller Bedrohungstrends, sondern zeigt auch, welche Abwehrmaßnahmen sich bewährt haben. Im Idealfall könnten CISOs diese Maßnahmen nachahmen. Google Clouds mehrschichtige Verteidigung und ein standardmäßig sicherer Ansatz, um so viele anfängliche Zugriffswege wie möglich zu blockieren. Aus Sicht der Identitätsprüfung bedeutet dies:
- Durchsetzung des Prinzips der minimalen Berechtigungen und regelmäßige Überprüfung/Entfernung übermäßiger Berechtigungen
- Ersetzen permissiver Firewall-Regeln durch identitätszentrierte Proxys, um administrative Schnittstellen vor Remote-Code-Ausführung (RCE) und gestohlenen Passwörtern zu schützen.
- Durchsetzung kontextsensitiver, phishingresistenter MFA (z. B. Hardware-Schlüssel oder Passkeys)
- Einschränkung des Datenzugriffs für Drittanbieteranwendungen (z. B. über OAuth-Integration)
- Um Vishing-Angriffe zu verhindern, sollten strenge Verifizierungsprotokolle für IT-Helpdesk-Mitarbeiter eingeführt werden (z. B. visuelle Verifizierung per Videoanruf oder Genehmigung durch einen zweiten Vorgesetzten).
Der Grundsatz „Sicherheit durch Standardeinstellungen“ ist einer der effektivsten Wege, Risiken in modernen Cloud-Umgebungen zu reduzieren, argumentiert Peter Clapton, CTO von Vysiion.
„Plattformen sollten mit soliden Basisschutzmechanismen für Identitäts-, Authentifizierungs- und Berechtigungsmanagement ausgestattet sein, damit Unternehmen nicht darauf angewiesen sind, dass Administratoren zahlreiche Kontrollen korrekt konfigurieren, bevor sie Schutz erreichen können“, erklärt er gegenüber IO (ehemals ISMS.online). „In Cloud-Umgebungen, wo Infrastruktur schnell und skalierbar bereitgestellt werden kann, verringern diese standardmäßigen Schutzmechanismen die Wahrscheinlichkeit erheblich, dass Fehlkonfigurationen Angreifern als Einfallstor dienen.“
Dennoch sollte „Sicherheit als Standard“ als Grundlage betrachtet werden. „Identität ist faktisch zum modernen Sicherheitsperimeter geworden, daher benötigen Unternehmen weiterhin eine starke Governance, Überwachung und Richtlinien für den Zugriff nach dem Prinzip der minimalen Berechtigungen für Benutzer, Servicekonten und Drittanbieterintegrationen, um Risiken effektiv zu managen“, so Clapton.
CISOs könnten auch Googles Empfehlungen zur Eindämmung der Ausnutzung von Sicherheitslücken befolgen, wie im Bericht beschrieben. Dazu gehört die Aktualisierung der Patch-Richtlinien, um sicherzustellen, dass CVEs praktisch innerhalb von 24 Stunden geschützt und innerhalb von 72 Stunden vollständig behoben werden. Automatisierte Schwachstellenscans unterstützen diese Bemühungen, indem sie ungepatchte Software aufspüren.
„Sicherheitsteams sollten Schwachstellen anhand ihrer Ausnutzbarkeit, Gefährdung und Kritikalität priorisieren, anstatt sich ausschließlich auf CVSS-Werte zu verlassen“, rät Clapton. „Die Integration von Schwachstellenscans in Entwicklungsprozesse und die ständige Transparenz sich schnell ändernder Cloud-Ressourcen sind unerlässlich.“
Der ISO-Unterschied
Shane Barney, CISO von Keeper Security, argumentiert jedoch, dass Googles standardmäßig sichere Vorgehensweise zwar großartig für seine Kunden sei, die meisten Unternehmen aber in Hybrid- und Multi-Cloud-Umgebungen arbeiten, in denen diese Kontrollen nicht einheitlich gelten.
„Die Priorität für CISOs sollte nicht darin bestehen, das Modell eines einzelnen Anbieters zu kopieren, sondern konsistente Sicherheitsergebnisse in allen Umgebungen zu gewährleisten. Das bedeutet, Identitäts-basierte Sicherheitskontrollen durchzusetzen, die mit dem Benutzer und nicht mit der Plattform selbst verbunden sind“, erklärt er gegenüber IO.
„Eine ‚sicher-durch-Standard‘-Haltung ist nur dann effektiv, wenn sie durch ein Zero-Trust-Modell verstärkt wird, das davon ausgeht, dass keiner Identität oder keinem System implizit vertraut werden kann, den Zugriff nach dem Prinzip der geringsten Berechtigungen durchsetzt, um dauerhafte Berechtigungen zu eliminieren, und kontinuierliche Überprüfung und Sitzungsüberwachung anwendet, um Missbrauch in Echtzeit zu erkennen und einzudämmen – insbesondere bei privilegierten Konten.“
Zum Glück haben CISOs einen Verbündeten in Form von Best-Practice-Standards und Rahmenwerken wie ISO 27001.
„Rahmenwerke wie ISO/IEC 27001 bilden eine entscheidende Grundlage, indem sie Kontrollen in den Bereichen Schwachstellenmanagement, Identitäts- und Zugriffsverwaltung sowie Sicherheitsbewusstsein formalisieren“, fährt Barney fort. „Sie setzen regulatorische Vorgaben in strukturierte, auditierbare Verfahren für das Management von Informationsrisiken um und integrieren Kontrollen in Zugriffsmanagement, Schwachstellenbehebung und Reaktion auf Sicherheitsvorfälle, die sich in komplexen, Cloud-basierten Umgebungen skalieren lassen.“
Der leitende CISO-Berater von KnowBe4, Javvad Malik, ist ebenfalls ein Befürworter formalisierter Best-Practice-Ansätze wie diesem, solange es nicht um die bloße Erfüllung von Anforderungen geht.
„Normen wie ISO27001 sind nützlich, weil sie Organisationen dabei helfen können, die Grundlagen wie Anlagenmanagement, Patching, Zugriffskontrolle, Reaktion auf Sicherheitsvorfälle, menschliches Risiko und so weiter zu implementieren“, sagt er gegenüber IO.
„Für sich genommen haben die Standards möglicherweise nur begrenzten Wert, insbesondere wenn Organisationen sie lediglich der Einhaltung der Vorschriften wegen befolgen. Sie sollten dazu genutzt werden, eine starke Governance aufzubauen, in den täglichen Betrieb integriert zu werden und die allgemeine Sicherheitskultur zu untermauern, sodass sichere Entscheidungen die normale und bevorzugte Wahl sind.“
