Was ist hybride cloud ?

Hybride cloud bezieht sich auf den Schutz von Workloads, Daten und Identitäten in Umgebungen, die lokale, private und öffentliche cloud umfassen. Im Gegensatz zu herkömmlichen Netzwerken sind hybride Umgebungen dynamisch und verteilt, wodurch Lücken entstehen, die Angreifer durch Fehlkonfigurationen, schwache Identitätskontrollen und Lieferkettenrisiken ausnutzen. Effektive cloud sorgt für Transparenz, Governance und Ausfallsicherheit in dieser sich ständig verändernden Landschaft.

Was sind die Sicherheitsbedrohungen der Hybrid cloud ?

Hybride cloud treten auf, wenn Unternehmen lokale, private und öffentliche cloud miteinander verbinden. Dieses Modell bringt Flexibilität und Skalierbarkeit mit sich, aber auch neue, hoch riskante Risiken. Angreifer zielen oft auf die Nahtstellen, an denen Umgebungen aufeinandertreffen, und nutzen falsch konfigurierte Arbeitslasten (APIs, Speicher, Geheimnisse), schwache oder inkonsistente Identitäts- und Zugriffskontrollen (überprivilegierte oder veraltete Konten, mangelhafte MFA/bedingter Zugriff) sowie Lücken in der einheitlichen Überwachung und Bedrohungserkennung.

Im Gegensatz zu herkömmlichen Infrastrukturen sind hybride Umgebungen sehr dynamisch: Arbeitslasten werden hoch- und runtergefahren, IP-Adressen werden recycelt, Datenströme kreuzen Umgebungen, und APIs werden zu kritischen Gateways. Für die Sicherheitsteams bedeutet dies, dass sich die Angriffsfläche ständig vergrößert und sich der traditionelle Perimeter auflöst.

Bei der hybriden cloud geht es nicht nur um den Schutz isolierter Systeme, sondern auch um kontinuierliche Transparenz, die konsequente Durchsetzung von Richtlinien (Governance und Least Privilege), strenge Identitätshygiene sowie schnelle Erkennung und Reaktion in einer verteilten, sich verändernden Infrastruktur. Vor allem in regulierten Sektoren geht es auch darum, die Einhaltung von Vorschriften zu gewährleisten, für Audits gerüstet zu sein und die Kosten durch die Verringerung des Toolwildwuchses zu kontrollieren.

Was sind die größten hybriden Sicherheitsbedrohungen?

Hybride cloud bieten Unternehmen Flexibilität und Skalierbarkeit, führen aber auch zu einer höheren Komplexität in Bezug auf Identität, Kontrolle und Transparenz. Da sich Arbeitslasten und Benutzeridentitäten zwischen On-Premise, IaaS, SaaS und PaaS verschieben, lösen sich herkömmliche Netzwerkgrenzen auf, und an den Nahtstellen zwischen den Umgebungen entstehen Erkennungslücken. Die Bedrohungen eskalieren schneller und umgehen oft die vorhandenen Abwehrmechanismen. Im Folgenden finden Sie die wichtigsten Risiken, die Sicherheitsverantwortliche kontinuierlich überwachen müssen:

Cloud (APIs, Speicher, Berechtigungen)

Cloud sind nach wie vor eine der Hauptursachen für Sicherheitsverletzungen. Ungeschützte Speicherbereiche, übermäßig weitreichende Berechtigungen und falsch konfigurierte APIs sind häufige Einfallstore. Diese Fehler werden oft durch Automatisierung repliziert, was das Risiko in allen Umgebungen vergrößert. In der cloud gibt es keinen Schutzbereich, auf den man zurückgreifen kann, jede Fehlkonfiguration ist eine ungeschützte Oberfläche...

Bedrohungen durch Insider und Gefährdung der Identität

Insider-Bedrohungen werden in hybriden Umgebungen noch verstärkt. Angreifer kompromittieren häufig gültige Konten und bewegen sich seitlich unter Verwendung legitimer Anmeldedaten. Ohne traditionelle Segmentierung und Firewall-Grenzen erscheinen diese identitätsbasierten Angriffe als normales Benutzerverhalten und entgehen regelbasierten Erkennungssystemen.

SaaS-Risiken in Supply Chain und bei Drittanbietern

Risiken in der Lieferkette nehmen weiter zu, insbesondere da immer mehr Unternehmen auf SaaS und verwaltete Dienste von Drittanbietern zurückgreifen. Eine kompromittierte Software-Abhängigkeit oder ein cloud kann eine Hintertür in mehrere Umgebungen schaffen. Vorfälle wie Operation Cloud Hopper zeigen, wie Angreifer das gemeinsame Vertrauen in cloud ausnutzen können, um in größerem Umfang einzudringen.

Ransomware und Malware in hybriden Umgebungen

Ransomware und malware umfassen jetzt sowohl die On-Premise- als auch die cloud . In hybriden Umgebungen nutzen Gruppen wie Rhysida nutzen diese Verflechtung aus, indem sie die Kompromittierung von endpoint mit der Persistenz von cloud kombinieren. Durch die Einbettung in Verzeichnisdienste und die Deaktivierung von Verteidigungsmechanismen beschleunigen sie die laterale Bewegung über IaaS-, SaaS- und Identitätsebenen hinweg. Diese domänenübergreifende Reichweite erschwert die Eindämmung erheblich und erhöht das Risiko eines weitreichenden Datenzugriffs oder einer Verschlüsselung.

API- und Identitätsmissbrauch (Token, schwache MFA, Sync-Exploits)

API- und Identitätsmissbrauch ist eine wachsende Bedrohung in der hybriden cloud, wo APIs und föderierte Identitätssysteme für die Workload-Integration von zentraler Bedeutung sind. Angreifer stehlen Token, nutzen Synchronisierungsdienste aus oder umgehen schwache MFA, um Privilegien in cloud zu erlangen. Sobald sie Zugang erhalten haben, imitieren sie vertrauenswürdige Prozesse und saugen sensible Daten ab, oft ohne herkömmliche Warnungen auszulösen.

Diese Angriffe sind effektiv, weil sie genau die Systeme ausnutzen, auf die sich Unternehmen für Konnektivität und Vertrauen verlassen. Wenn man die Techniken aufschlüsselt, wird klar, warum Identitäts- und API-Kontrollen in hybriden Umgebungen zu den Hauptzielen geworden sind:

• Token-Diebstahl und Replay-Angriffe: Gestohlene API-Tokens ermöglichen einen langlebigen Zugang, der Passwort- und MFA-Prüfungen umgeht.‍
• Schwache oder falsch konfigurierte MFA: Angreifer nutzen Lücken in den Authentifizierungsabläufen aus, wie z. B. SMS-Müdigkeitsangriffe oder schlecht durchgesetzte Step-up-Richtlinien.‍
• Missbrauch von Synchronisierungs- und Föderationsdiensten: Eine kompromittierte Identitätssynchronisierung zwischen cloud und On-Premise (z. B. Entra ID oder AD Connect) ermöglicht eine domänenübergreifende Eskalation von Berechtigungen.‍
• Privilegienerweiterung in Administratorrollen: Angreifer nutzen zu weit gefasste API-Berechtigungen oder Dienstkonten aus, um erweiterte Kontrolle zu erlangen.‍
• Unauffällige Datenexfiltration: Sobald die Angreifer eingedrungen sind, verstecken sie die Exfiltration im legitimen API-Verkehr, so dass die böswillige Nutzung fast nicht mehr von Geschäftsprozessen zu unterscheiden ist.

Diese Taktiken zeigen, wie Angreifer das Vertrauen in hybriden Umgebungen ausnutzen und warum der Schutz von APIs und Identitäten für die Sicherung moderner Unternehmen heute von zentraler Bedeutung ist.

Da Angreifer die unscharfen Grenzen zwischen cloud, Identitäts- und On-Premise-Systemen ausnutzen, wird die Notwendigkeit einer einheitlichen Transparenz und Kontrolle immer wichtiger. Diese Taktiken zeigen, wie Angreifer das Vertrauen in hybriden Umgebungen ausnutzen und warum der Schutz von APIs und Identitäten für die Absicherung moderner Unternehmen heute von zentraler Bedeutung ist.

Warum die Hybrid cloud das Risiko erhöht

Hybride cloud bringen eine Komplexität mit sich, für die herkömmliche Sicherheitsmodelle nicht ausgelegt sind. Jede Ebene, von APIs über Identitäten bis hin zu Netzwerken, wird immer flüchtiger, verteilter und dynamischer. Diese Veränderungen schaffen Lücken in der Sichtbarkeit, Durchsetzung und Kontrolle, die Angreifer schnell ausnutzen können.

Lücken in der Sichtbarkeit werden immer größer, wenn Unternehmen kurzlebige Workloads, verschlüsselten Datenverkehr und föderierte Identitätsdienste einsetzen. Herkömmliche Perimeter-basierte und signaturgesteuerte Überwachungstools übersehen oft diese flüchtigen Verhaltensweisen, insbesondere wenn Workloads innerhalb von Sekunden hoch- und runterfahren oder wenn API-Aktivitäten vorhersehbare Netzwerkflüsse ersetzen.

Die Ausbreitung cloud Clouds stellt eine zusätzliche Herausforderung dar, da verschiedene CSPs unterschiedliche Standardsicherheitsmaßnahmen anwenden. Da die Richtlinien plattformübergreifend abweichen, verlieren Unternehmen die Konsistenz bei der Zugriffskontrolle, Protokollierung und Reaktion. Diese Inkonsistenzen werden zu blinden Flecken, die Angreifer ausnutzen können, um sich Zugang zu verschaffen und sich seitlich zu bewegen.

Die Herausforderungen der Einhaltung verschärfen sich ebenfalls. Regulatorische Standards wie HIPAA, PCI DSS und FedRAMP verlangen eine kontinuierliche Durchsetzung einheitlicher Kontrollen. Dies in einer hybriden Architektur zu erreichen, in der die Assets über SaaS, IaaS und On-Premise verteilt sind, macht die Audit-Bereitschaft und Rechenschaftspflicht zunehmend schwieriger.

Laut Gartner sind 99 % der Sicherheitsmängel cloud vom Kunden selbst verschuldet. Die Realität ist, dass die cloud aufgrund ihrer schieren Größe und ihres Umfangs in Verbindung mit ständigen Veränderungen niemals sicher konfiguriert werden kann. Im Idealfall möchten Sie Einblick in die Erstellung und Änderung von Konten sowie in die Nutzung von Diensten haben, ohne sich auf Agenten oder statische Richtlinienregeln zu verlassen.

Zusammengenommen schaffen diese Faktoren eine Umgebung, in der eine einzige Fehlkonfiguration oder eine nicht überprüfte Identität zu einem schwerwiegenden Sicherheitsverstoß führen kann, und zwar nicht aufgrund mangelnder Bemühungen, sondern weil sich die Kontrolle und der Kontext außerhalb der traditionellen Grenzen verlagert haben.

Reale Sicherheitsvorfälle in der Hybrid cloud

Jüngste Vorfälle zeigen, wie Angreifer hybride Komplexität als Waffe einsetzen, um herkömmliche Verteidigungsmaßnahmen zu umgehen und ihre Wirkung zu maximieren.

In einem Fall nutzten die Angreifer ransomware , um sich zunächst über einen anfälligen endpoint Zugang zu verschaffen, und gelangten dann in die cloud , indem sie mithilfe von Open-Source-Tools Anmeldedaten abfingen. Sobald sie in Azure AD und Exchange eingedrungen waren, umgingen sie MFA, stellten eine Persistenz in den cloud her und löschten schließlich VMs und Speicherkonten.

Diese auf Anmeldeinformationen basierende Kompromittierung zeigte, wie laterale Bewegungen die Grenzen zwischen endpoint, Identität und Infrastrukturebene überschreiten können, wobei die hybride Natur der Umgebung den Radius der Explosion vervielfacht.

Die gleiche domänenübergreifende Reichweite war bei der Operation Cloud Hopper zu beobachten, einer globalen Kampagne, die der APT10-Gruppe:

• Anfängliche Kompromittierung: Die Angreifer zielten auf verwaltete CSP-Konten durch phishing und malware ab, um administrative Anmeldedaten zu erlangen.‍
• Pivotieren: Einmal drinnen, wechselten sie seitlich zwischen cloud und On-Premises-Systemen.‍
• Erkundung: Tools wie PowerShell wurden verwendet, um Umgebungen abzubilden.‍
• Persistenz: Fernzugriffs-Trojaner wurden eingesetzt, um die Kontrolle zu behalten und sich der Entdeckung zu entziehen.‍
• Datenexfiltration: Gestohlene Zugangsdaten und etablierte Standbeine wurden genutzt, um sensible Daten von cloud abzuschöpfen, wobei die blinden Flecken der CSPs ausgenutzt wurden, um unentdeckt zu bleiben.

Diese Beispiele unterstreichen die Notwendigkeit für Sicherheitsteams, Identitäts-, SaaS- und IaaS-Domänen als einheitliches Ökosystem und nicht als unverbundene Silos zu überwachen. Die Fähigkeit, die Verwendung von Anmeldeinformationen, laterale Bewegungen und die Ausweitung von Privilegien über verschiedene Plattformen hinweg zu erkennen und zu korrelieren, ist heute unerlässlich, um moderne Angriffe abzuwehren.

Wie man die Sicherheitsbedrohungen der cloud eindämmt

Übernahme von zero trust um sicherzustellen, dass kein Benutzer und keine Arbeitslast standardmäßig vertrauenswürdig ist. Kontinuierliche Überprüfung, Minimierung von Berechtigungen und eingeschränkte seitliche Bewegung begrenzen die Reichweite von Angreifern und reduzieren die Verweildauer.

Bereitstellung von cloud zur Vereinheitlichung der Sichtbarkeit über SaaS, IaaS und Identität. Dies ermöglicht die Erkennung von verdecktem Missbrauch im TLS-Datenverkehr, Missbrauch von Verbundkonten und Exfiltration von Anmeldeinformationen, selbst wenn Angreifer normales Benutzerverhalten imitieren.

Implementieren Sie kontinuierliche Überwachung und beschleunigen Sie die Reaktion mit KI-gesteuerter Erkennung die Angriffsmuster früher in der Angriffskette erkennt. Von heimlichen Seitwärtsbewegungen, die in verschlüsselten Kanälen versteckt sind, bis hin zu inszenierter Aufklärung über Domänen hinweg - KI-Analysen decken Verhaltensweisen auf, die herkömmlichen Tools entgehen.

Einhaltung von Vorschriften und behördlichen Auflagen durch Angleichung an Standards wie HIPAA, PCI DSSund FedRAMP. Die Erfüllung dieser Vorgaben erfordert eine einheitliche Kontrolle über Identität, Daten und Infrastruktur, was mit herkömmlichen Tools in isolierten Umgebungen nicht möglich ist.

Zukunftsaussichten für die Sicherheit der Hybrid cloud

Um mithalten zu können, benötigen Verteidiger Strategien, die die Sichtbarkeit vereinheitlichen, die Erkennungslatenz verringern und sich über Identitäts-, SaaS- und cloud hinweg anpassen. Der nächste Schritt besteht darin, zu verstehen, wie diese Anforderungen in praktische Verteidigungsmaßnahmen umgesetzt werden können, die in realen Umgebungen funktionieren.

Dies bedeutet, dass wir uns mit drei Bereichen befassen müssen, die die Zukunft der Sicherheit heute bestimmen:

KI und Automatisierung in der Verteidigung

Mit der zunehmenden Verbreitung von Hybriden verstärken Angreifer ihre Bemühungen durch Automatisierung. Das Abgreifen von Zugangsdaten, die Kompromittierung der Lieferkette und der API-Missbrauch erfolgen zunehmend über Skripte und sind schnelllebig.

Verteidiger werden KI benötigen, um dieser Automatisierung entgegenzuwirken. Automatisierte Erkennung, Korrelation und Reaktion werden unerlässlich sein, um die Lücke zu schließen.

Neue Bedrohungen: schädliche KI und phishing

Auch neue Angriffstechniken sind auf dem Vormarsch. Von KI, die darauf abzielt, Abwehrmechanismen zu umgehen, bis hin zu phishing , die auf Deepfakes basieren, erfordern neue Bedrohungen ein Gleichgewicht zwischen maschinengesteuerter Erkennung und menschlicher Reaktion.

Übergang von perimeterbasierten zu adaptiven Modellen

Bei der hybriden cloud geht es nicht mehr darum, stärkere Mauern zu errichten. Es geht um dynamische, anpassungsfähige Verteidigungsmaßnahmen, die sich mit den Strategien der Angreifer weiterentwickeln und Transparenz über Identitäts-, SaaS- und cloud hinweg bieten.

Machen Sie den nächsten Schritt

Sehen Sie, wie Vectra AI hybride cloud absichert mit Attack Signal Intelligence sichert.