Erkennung cloud Hybrid cloud : Ein Leitfaden für Sicherheitsverantwortliche zur cloud der Lücke zwischen On-Premise- und cloud

Wichtige Erkenntnisse

Die Erkennung cloud Hybrid cloud konzentriert sich auf Angreiferaktivitäten, die die cloud zwischen On-Premise- und cloud überspannen – dort, wo Signale aus den Bereichen Identität, Netzwerk und Workloads aufeinandertreffen.
cloud meisten cloud nutzen Schwachstellen bei der Identitätskontrolle und der hybriden Integration aus, nicht Zero-Day-Lücken. Verteidiger sollten der Identitätsbrücke Vorrang vor der Panik wegen fehlender Patches einräumen.
Storm-0501 und ShinyHunters veranschaulichen zwei hybride Angriffsmodelle: die Kompromittierung der Identitätssynchronisierung (Entra Connect Sync) und den Diebstahl von Identitäts-Tokens (OAuth über einen SaaS-Integrator).
Eine hybride Abdeckung erfordert in der Regel mehrere Erkennungskategorien – NDR für den Ost-West-Verkehr und die cloud zwischen On-Premise- und cloud , ITDR für die Identitätsschicht und CDR für cloud – und nicht nur ein einziges Produkt.
Ein kleines SOC-Team kann eine hybride Erkennung in sieben Schritten implementieren: Bestandsaufnahme der Bridge, Hinzufügen von Ost-West-Sensoren, Feinabstimmung der Identitätskorrelationen, Zuordnung zum MITRE ATT&CK, Erstellen von drei hochpräzisen Regeln, Aufbau einer einheitlichen Zeitleiste und Validierung durch Purple-Team-Übungen.

cloud meisten cloud im Jahr 2025 begannen nicht mit einem ausgefallenen Exploit. Sie begannen dort, wo die lokale Identität auf cloud trifft. Eine Anfang 2026 veröffentlichte Studie zur Bedrohungslage in der Branche ergab, dass die Mehrheit der cloud auf Schwachstellen bei Identitätskontrollen, der Konfiguration von Workloads undcloud zurückzuführen war – nicht auf Zero-Day-Exploits (Dark Reading). Diese eine Erkenntnis setzt die Prioritäten der Hybrid-Sicherheitsverantwortlichen neu. Es geht nicht darum, Patches schneller zu installieren, als Angreifer CVEs ausnutzen können. Es geht darum, die Schnittstelle zwischen Ihrem lokalen Active Directory und Ihrem cloud im Auge zu behalten, denn das ist die Angriffsfläche, über die Angreifer tatsächlich eindringen.

Dieser Leitfaden erläutert, was die Erkennung cloud Hybrid cloud ist, wie sie auf der Ebene des Ost-West-Datenverkehrs, von Identitätsereignissen und der Workload-Telemetrie funktioniert und auf welche spezifischen MITRE ATT&CK kleine SOC-Teams heute bereits vorbereitet sein sollten. Er ordnet die kanonischen hybriden Angriffsmuster – die Entwicklung von Storm-0501 hin zu cloud ransomware, die OAuth-Token-Identitätsbrücken von ShinyHunters in Snowflake – den Telemetriequellen zu, die Sie tatsächlich erfassen können. Er vergleicht NDR, CDR, CNAPP, ITDR und XDR hinsichtlich ihrer Hybridabdeckung, damit Sie die fünf sich überschneidenden Akronyme zu einer fundierten Kaufentscheidung zusammenfassen können. Und er ordnet die Ergebnisse NIS2, DORA und NIST CSF 2.0 zu.

Was ist die Erkennung cloud Hybrid cloud ?

Die Erkennung cloud umfasst die Identifizierung und Untersuchung von Angreiferaktivitäten, die sich über die lokale Infrastruktur und eine oder mehrere öffentliche cloud erstrecken, wobei der Schwerpunkt insbesondere auf Identitäts-, Netzwerk- und Workload-Signalen liegt, die die cloud zwischen lokaler Infrastruktur und cloud überqueren. Dabei wird die Brücke – und nicht der Perimeter – als primäre Angriffsfläche betrachtet.

Diese neue Sichtweise ist wichtig, da sich die Datenlage geändert hat. Laut Data Breach „Cost of a Data Breach (2025) des Ponemon Institute beliefen sich die Kosten für Sicherheitsverletzungen in Umgebungen mit mehreren Komponenten – also in Hybridkonfigurationen – im Durchschnitt auf 5,05 Millionen US-Dollar. Dies ist der höchste Wert aller Umgebungskategorien und liegt rund 25 % über den Kosten für Sicherheitsverletzungen in rein lokalen Umgebungen (Berichterstattung auf Dark Reading). Und in einer Umfrage cloud aus dem Jahr 2025 unter 1.021 Sicherheits- und IT-Führungskräften gaben 55 % der Befragten an, dass ihre Unternehmen im vergangenen Jahr einen Datenverstoß erlebt hätten, was einen deutlichen Anstieg gegenüber dem Vorjahr darstellt. Angreifer haben keine Schwierigkeiten mit hybriden Umgebungen. Die Verteidiger hingegen schon.

Die besondere Schwierigkeit bei Hybridumgebungen liegt in den isolierten Datensilos begründet. On-Premise-Teams nutzen ein SIEM-System, das Active-Directory- und Firewall-Protokolle erfasst. Cloud sammeln cloud Audit-Protokolle in einer separaten Konsole. Identitätsmanagement-Teams überwachen Anmeldungen bei Entra ID. Netzwerkteams überwachen den Ost-West-Datenverkehr – sofern sie ihn überhaupt sehen können. Keines dieser Tools allein bietet einen vollständigen Überblick über den zeitlichen Ablauf eines hybriden Angriffs. Die Erkennung cloud besteht darin, diese Informationen miteinander zu verknüpfen.

Dies unterscheidet sich von der cloud Erkennung (CDR), die sich auf cloud und die cloud beschränkt, sowie von der herkömmlichen, ausschließlich vor Ort stattfindenden Erkennung, die an der Peripherie endet. Sie ergänzt die umfassenderen Bereiche cloud und cloud , ihre spezifische Aufgabe ist jedoch die Erkennung über die gesamte Bandbreite hinweg.

So funktioniert die Erkennung cloud Hybrid cloud

Auf Prozessebene umfasst die Erkennung cloud Hybrid cloud acht wiederholbare Schritte:

Erfassen Sie Telemetriedaten aus dem lokalen Netzwerk, aus cloud -Protokollen und aus Identitätssystemen.
Legen Sie Verhaltens-Baselines für jedes Gerät, jede Identität und jede Arbeitslast fest.
Verknüpfen Sie den Ost-West-Datenverkehr mit Identitätsereignissen über verschiedene Umgebungen hinweg.
Erkennen Sie Anomalien, die eine Brücke zwischen lokalen Systemen und cloud schlagen cloud z. B. Kompromittierung von Entra Connect Sync).
Erkennungen zuordnen zu MITRE ATT&CKCloud -Techniken.
Untersuchen Sie die Daten anhand einer durchgängigen Zeitleiste, die On-Premise- und cloud umfasst.
Reagieren Sie, indem Sie Identität, Netzwerk und Arbeitslast gleichzeitig einbeziehen.
Die Referenzwerte anhand des Feedbacks der Analysten kontinuierlich verfeinern.

Drei Signalquellen leisten den Großteil der Arbeit: der Ost-West-Netzwerkverkehr, Identitätsereignisse, die die Brücke zwischen Entra ID und dem lokalen Active Directory überqueren, sowie die Workload-Telemetrie auf beiden Seiten. Die technischen Abläufe laufen im Hintergrund ab.

Transparenz des Ost-West-Datenverkehrs zwischen lokalen Systemen und cloud

Der Nord-Süd-Datenverkehr durchquert den Netzwerkperimeter. Der Ost-West-Datenverkehr verläuft lateral zwischen den Systemen – von Server zu Server, von VM zu VM, von Container zu Container. Perimeter-Tools erfassen den Nord-Süd-Verkehr. Sie sind von ihrer Konzeption her blind für den Ost-West-Verkehr. Genau in dieser Blindstelle verbergen Angreifer ihre lateralen Bewegungen.

Um diese Lücke zu schließen, müssen Sensoren dort platziert werden, wo der Datenverkehr tatsächlich fließt. In lokalen Netzwerken sind das TAPs und SPAN-Ports an Netzwerk-Aggregationspunkten. In cloud sind das VPC-Traffic-Mirroring bei AWS, virtuelle TAPs bei Azure und Paket-Mirroring bei GCP. Das Ergebnis sind Netzwerk-Metadaten – Verbindungsdatensätze, Protokoll-Header, JA3/JA4-Fingerabdrücke – und keine vollständigen Paketaufzeichnungen. Metadaten lassen sich kostengünstig speichern und sind für die Verhaltensanalyse ausreichend aussagekräftig.

Die Verschlüsselung ist die nächste Hürde. Branchenangaben zufolge liegt der Anteil des verschlüsselten Unternehmensdatenverkehrs bei über 80 %, und dieser Trend ist unaufhaltsam. Die Entschlüsselung des Ost-West-Verkehrs in großem Maßstab ist für die meisten Teams undenkbar – zu teuer, zu riskant und oft zu störanfällig. Der moderne Ansatz betrachtet verschlüsselten Datenverkehr als Feature-Set und nicht als Hindernis. JA3 und die neuere JA4-Familie identifizieren TLS-Clients anhand von Handshake-Parametern. Encrypted Traffic Analytics (ETA) überlagert dies mit Verhaltensmetadaten – Paketgrößen, Timing, Sequenzmuster. Zusammen ermöglichen sie es Sicherheitsverantwortlichen, beispielsweise Cobalt Strike anhand ihres konsistenten TLS-Fingerabdrucks und ihrer Beacon-Kadenz zu identifizieren, ohne die TLS-Sitzung jemals zu beenden. In derselben Umfrage cloud aus dem Jahr 2025 unter 1.021 Sicherheits- und IT-Führungskräften bezeichneten 89 % der Befragten eine umfassende Beobachtbarkeit – die Kombination von Protokollen, Metriken und Paket-Metadaten – als grundlegend für ihre Sicherheitsstrategie.

Identitätsbasierte Erkennung über die Entra ID- und On-Prem-AD-Brücke hinweg

Die hybride Identität ist wie eine Glasschiebetür. Von innen betrachtet wirkt sie wie ein einziger Raum – Nutzer melden sich einmal an, Berechtigungen werden weitergeleitet, Ressourcen werden auf beiden Seiten freigeschaltet. Aus Sicht des Angreifers ist diese eine Tür die wertvollste Angriffsfläche in der Umgebung. Wer die Tür kompromittiert, kontrolliert beide Räume.

Die architektonischen Varianten sind von Bedeutung, da jede von ihnen unterschiedliche Erkennungssignale erzeugt. Bei der Passwort-Hash-Synchronisierung (PHS) werden Passwort-Hashes aus dem lokalen AD in Entra ID repliziert. Bei der Pass-Through-Authentifizierung (PTA) erfolgt die Überprüfung lokal, und es wird ein schlanker Agent in der cloud verwendet. Bei der AD FS-Verbundauthentifizierung wird die Authentifizierung an einen lokalen Verbunddienst übergeben. Allen drei gemeinsam ist ein Server – Entra Connect (ehemals Azure AD Connect) –, der die Schlüssel verwaltet.

Dieser Server ist das typische Ziel für Hybridangriffe. Zu den hochpräzisen Erkennungssignalen, auf die Verteidiger ihren Schutz aufbauen sollten, gehören Anmeldungen von Global-Admin-Benutzern, die von einem in eine Hybridumgebung eingebundenen Server stammen, Ereignisse zur Extraktion von Anmeldedaten für Verzeichnissynchronisierungskonten (DSA) außerhalb der geplanten Synchronisierungsfenster sowie das Einfügen einer bösartigen Verbunddomäne in den Mandanten. Verhaltensanalysen von Identitätsprotokollen decken diese Muster zuverlässig auf; die Überprüfung von Rohprotokollen tut dies nur selten.

Korrelation der Auslastungsdaten

Die dritte Signalquelle ist die Workload. In lokalen Umgebungen sind damit Hypervisor- und Prozess-Telemetriedaten aus EDR-Lösungen gemeint. In cloud sind es Laufzeitsensoren und Audit-Protokolle des cloud . Der Sinn der Erfassung beider Daten liegt in der Korrelation: Ein schwaches Signal in Identitätsprotokollen wird zu einem hochgradig aussagekräftigen Vorfall, wenn es mit einem passenden Netzwerksignal und einem passenden Workload-Ereignis im selben Zeitfenster abgeglichen wird.

cloud in cloud Hybrid cloud und MITRE ATT&CK

Zwei namentlich bekannte Akteure stehen im Mittelpunkt der aktuellen Berichterstattung über hybride Bedrohungen – Storm-0501 und ShinyHunters. Beide haben über die „Identity Bridge“ ihre Strategie geändert. Beide sind mittlerweile Musterbeispiele, keine Einzelfälle.

Storm-0501 ist die klassische hybride Kill Chain. Wie von MSTIC dokumentiert und in BleepingComputer sowie Dark Reading berichtet, durchläuft der Angreifer Active Directory, bewegt sich lateral mit Evil-WinRM (PowerShell-over-WinRM nach der Exploitation), kompromittiert einen Entra Connect Sync-Server, extrahiert die Anmeldedaten des Verzeichnissynchronisierungskontos, meldet sich von einem hybrid verbundenen Server aus cloud Global Admin in der cloud an und wechselt dann zu cloudransomware. Die Weiterentwicklung von 2025 umfasste cloud Datenexfiltration aus Azure Storage, das Löschen von Recovery Services-Tresoren und die Neuverschlüsselung von cloud mit vom Angreifer kontrollierten Key Vault-Schlüsseln – ransomware herkömmliche malware. Weitere Berichte über das zugrunde liegende Problem der mangelnden Anmeldeinformationen finden sich in Dark Readings Bericht über nachlässige Entra ID-Anmeldeinformationen beiransomware cloud .

ShinyHunters – in Zusammenarbeit mit Scattered Spider The Com im Bereich Social Engineering – nutzte eine andere Brücke. Anstatt einen Identitätssynchronisierungsserver zu kompromittieren, griff der Akteur auf SaaS-Integratoren zurück (Anodot im April 2026; Vercel und Context AI im April 2026), um langlebige OAuth-Token zu erbeuten, und nutzte diese Token dann als Identitätsbrücken zu nachgelagerten Mandanten (The Hacker News – ShinyHunters-Tag; Berichterstattung über den Vercel-/Context-AI-Hack; Scattered Spider ShinyHunters und Scattered Spider ). MFA auf dem nachgelagerten Mandanten half nicht, da sich der Angreifer mit einer gültigen OAuth-Berechtigung authentifizierte, die der Benutzer bereits genehmigt hatte.

Auf Protokollebene zeigte sich ein drittes Muster. CVE-2025-53786 (CVSS 8.0) ermöglichte eine Privilegienausweitung nach der Authentifizierung vom lokalen Exchange-Administrator auf Exchange Online durch den Missbrauch gemeinsamer Dienstprinzipale. Die CISA veröffentlichte eine Warnung und erließ die Notfallanweisung 25-02, die eine Behebung bis zum 11.08.2025 vorschreibt. Die hybride Integrationsschicht selbst ist nun ein aktives Ziel für Sicherheitslücken.

Der Mandiant M-Trends 2026 belegt diesen Trend mit Zahlen: 32 % der Angriffe im Jahr 2025 begannen mit Exploits, die mittlere Verweildauer beträgt 14 Tage, und die durchschnittliche Zeit bis zum Exploit liegt nun bei -7 Tagen – was bedeutet, dass der Exploit oft noch vor der Veröffentlichung des Patches erfolgt. Dadurch verlagert sich der Schwerpunkt auf die Erkennung.

Zu überwachende Techniken MITRE ATT&CK Cloud

Die folgende Tabelle stellt die für die Erkennung von Hybridangriffen relevantesten Techniken dar – von der Technik-ID über die Telemetriequelle, in der das Signal tatsächlich vorliegt, bis hin zu einer Beispiel-Erkennungsregel, die ein kleines Team in diesem Quartal erstellen kann. Die Zuordnung von Erkennungen zu ATT&CK ist der rote Faden, der den Rest des Programms bei Audits und Überprüfungen vertretbar macht; die Cyber-Kill-Chain liefert den narrativen Rahmen, ATT&CK liefert die Identifikatoren.

Technik-ID	Technik	Hybrid-Auslöser	Telemetriequelle	Beispiel für eine Erkennungslogik
`T1556.007`	Anpassung des Authentifizierungsprozesses: Hybrid Identity	Kompromittierung des Entra Connect-/AAD Connect-Servers	Anmeldeprotokolle von Entra ID, Sicherheitsereignisse des lokalen Active Directory	Warnmeldung bei DSA-Anmeldeinformationen-Lesevorgängen außerhalb der geplanten Synchronisierungsfenster
`T1078.004`	Gültige Konten: Cloud	Gestohlenes OAuth-Token, das von einem neuen Standort oder einer IP-Adresse eines Nicht-Kunden verwendet wird	Anmeldeprotokolle von Entra ID; cloud Prüfprotokolle	Kombination aus „Impossible-travel“ und neuer IP-Adresse beim Zugriff auf cloud
`T1021.006`	Remote-Dienste: WinRM (Storm-0501 – laterale Bewegung)	Einsatz von Evil-WinRM auf Hosts, die mit Active Directory verbunden sind	EDR + Metadaten des lokalen Netzwerks	WinRM-Sitzung von einem Nicht-Admin-Arbeitsplatz zu mehreren Hosts
`T1550`	Alternatives Authentifizierungsmaterial verwenden	Token-Wiederholung in lokalen und cloud	Identitätsprotokolle (beide Seiten)	Das Gleiche gilt für voneinander getrennte Netzwerksegmente
`T1098.005`	Kontoverwaltung: Geräteregistrierung	Der Angreifer registriert ein neues Gerät in Entra ID	Entra-ID-Prüfprotokolle	Geräteregistrierung, unmittelbar gefolgt vom Zugriff auf sensible Ressourcen

Die vollständige MITRE ATT&CK Cloud ist die maßgebliche Quelle – beginnen Sie hier und erweitern Sie sie, sobald die Abdeckung ausgereifter wird.

Erkennungskategorien: NDR vs. CDR vs. CNAPP vs. ITDR vs. XDR

Fünf sich überschneidende Abkürzungen beschreiben die Erkennung von Hybridbedrohungen aus unterschiedlichen Blickwinkeln. Ein CIO/CISO mit weniger als fünf Vollzeitkräften im Sicherheitsbereich kann diese fünf Aspekte ohne eine einzige Entscheidungsmatrix nicht in einem Beschaffungsplan zusammenfassen. Die nachstehende Matrix dient genau diesem Zweck.

Kategorie	Detektionsschicht	Primäre Signalquelle	Lücke bei der Hybridversicherung geschlossen	Am besten geeignet für
NDR (Netzwerküberwachung und -reaktion)	Netzwerk	Metadaten zum Ost-West- und Nord-Süd-Verkehr	Seitlicher Datenverkehr, verschlüsselt in Ost-West-Richtung, zwischen lokalen Systemen und cloud	Hybride Umgebungen mit hoher Netzwerktiefe
CDR (cloud and Response)	Cloud + Steuerungsebene	Cloud Prüfprotokolle, Laufzeitsensoren	Cloud Angriffe, Missbrauch der Steuerungsebene	Cloud Umgebungen
CNAPP (cloud Anwendungsschutzplattform)	Körperhaltung + Arbeitsbelastung	Cloud + Workload-Scanner	Fehlerhafte Konfiguration, anfällige Workloads	Zustand vor der Ausführung
ITDR (Erkennung und Reaktion auf Identitätsbedrohungen)	Identität	Entra ID, lokales Active Directory, Verbundereignisse	Angriffe auf Identitätsbrücken, Diebstahl von Tokens	Identitätsbasierte Bedrohungsmodelle
XDR (erweiterte Erkennung und Reaktion)	Aggregation über verschiedene Signale hinweg	Endpoint Netzwerk + cloud Identitätsdaten	Domänenübergreifende Korrelation	Teams, die mehrere Feeds zusammenführen

Die Debatte zwischen CNAPP und CDR ist noch nicht entschieden. Anbieter von CNAPP-Plattformen argumentieren, dass ihre Plattform nun auch Laufzeit-CDR umfasst. Anbieter von eigenständigen CDR-Lösungen halten dagegen, dass CNAPP im Wesentlichen präventiv ausgerichtet sei – also auf den Sicherheitsstatus und die Konfiguration – und dass die Erkennung zur Laufzeit eine ganz andere Sache sei. Die praktische Antwort lautet, dass die meisten Unternehmen beide Funktionen benötigen; ob sie diese als ein Produkt oder als zwei separate Produkte erwerben, ist eine Frage des Kaufzyklus und nicht der Leistungsfähigkeit.

Speziell für eine Hybridumgebung umfasst die minimal erforderliche Abdeckung in der Regel zwei der fünf Komponenten: NDR (für die Bridge und den Ost-West-Verkehr) sowie ITDR (für identitätsbasierte Angriffe). CDR kommt ins Spiel, wenn cloud die Infrastruktur dominieren. XDR kommt ins Spiel, wenn das Team bereits mehrere Feeds betreibt und eine Aggregation benötigt. Die klassische SOC-Triade – Netzwerk, endpoint, Protokoll – ist eine nützliche Grundlage; bei Hybridumgebungen muss die Identität das vierte Standbein sein. In derselben Umfrage cloud aus dem Jahr 2025 nannten 70 % der Befragten cloud Public cloud das größte Risiko in ihrer Umgebung, was mit dieser Priorisierung übereinstimmt.

Das ist auch der Grund, warum das breitere Spektrum der Erkennung hybrider Bedrohungen selten durch ein einziges Produkt abgedeckt wird – vielmehr wird es durch eine kleine Auswahl gut integrierter Produkte abgedeckt.

Erkennung von cloud Hybrid cloud in der Praxis

Zwei Vorfälle aus der Praxis veranschaulichen dieses Muster besser als jedes abstrakte Modell.

Was die „Snowflake“-/„Anodot“-Identity-Bridge-Kampagnen den Sicherheitsverantwortlichen gelehrt haben

Im Jahr 2024 nutzten mit ShinyHunters verbundene Akteure Anmeldedaten, die aus früheren Infostealer-Infektionen – von denen einige bis ins Jahr 2020 zurückreichten – gewonnen worden waren, um sich Zugang zu rund 165 Organisationen zu verschaffen, darunter AT&T, Ticketmaster/Live Nation, Santander, LendingTree, Advance Auto Parts und Neiman Marcus. Die retrospektive Analyse der Cloud legte die Diagnosedaten offen: Bei mehr als 80 % der kompromittierten Konten waren die Anmeldedaten bereits zuvor offengelegt worden, und den betroffenen Konten fehlte eine Multi-Faktor-Authentifizierung. Der Diebstahl der Anmeldedaten war schon länger zurückliegend. Die Erkennungslücke bestand darin, dass niemand darauf achtete, ob alte Anmeldedaten in neuen Regionen und auf neuen Geräten wiederverwendet wurden.

Der Vorfall von 2026 verdeutlichte dieses Muster. Angreifer kompromittierten den SaaS-Integrator Anodot, sammelten OAuth-Token und nutzten diese als langlebige Identitätsbrücken zu nachgelagerten Mandanten – darunter Snowflake –, ohne Snowflake selbst anzugreifen. Der Angriff auf Vercel/Context AI im April 2026 folgte dem gleichen Muster. Es handelt sich um einen Supply-Chain-Angriff, der auf der Identitätsschicht ausgeführt wird, und die Erkenntnis für die Verteidiger ist konkret: Eine hybride Erkennung muss OAuth-Berechtigungen für Integrator-Service-Principals umfassen, gefolgt von einer anomalen Nutzung der Quell-IP und einer nicht-interaktiven Authentifizierung von neuen Geräten. Ohne die Verknüpfung dieser drei Signale bleibt die Kontoübernahme über eine OAuth-Brücke unsichtbar.

Was Storm-0501 den Sicherheitsverantwortlichen gelehrt hat

Die Kill Chain von Storm-0501 lässt sich von Anfang bis Ende wie folgt beschreiben: Errichtung eines ersten AD-Fußabdrucks, laterale Bewegung über Evil-WinRM, Extraktion von DSA-Anmeldedaten aus Entra Connect Sync, Anmeldung als Global Admin von einem hybrid verbundenen Windows-Server aus, Löschung des Recovery Services-Tresors und cloud Neuverschlüsselung über einen vom Angreifer kontrollierten Key Vault. Jede Phase bietet eine Möglichkeit zur Erkennung. Das eindeutigste Signal, das die meisten Verteidiger übersehen haben: Eine Anmeldung als Global Admin, die von einem hybrid verbundenen Windows-Server stammt, ist ungewöhnlich und sollte einen Alarm mit hohem Schweregrad auslösen. Microsoft hat seitdem die Berechtigungen für Verzeichnissynchronisierungskonten in Entra Connect Sync und Cloud eingeschränkt – eine defensive Maßnahme, auf die sich Verteidiger verlassen können, die jedoch nicht die einzige ist, die sie ergreifen sollten.

Implementierung cloud Bedrohungserkennung in cloud Hybrid cloud

Für ein kleines SOC-Team – weniger als fünf Vollzeitkräfte, hybride Arbeitsumgebung, regulierte Branche – umfasst eine praktikable Einführung sieben Schritte:

Erfassen Sie die Infrastruktur. Dokumentieren Sie die hybride Identitätsarchitektur (PHS, PTA, AD FS), Entra Connect-/Entra Connect Sync-Server, Verbunddomänen, hybride Exchange-Mandanten und SaaS-Integratoren mit langlebigen OAuth-Berechtigungen. Was Sie nicht erfasst haben, können Sie auch nicht erkennen.
Schließen Sie die Lücke in der Ost-West-Transparenz. Installieren Sie NDR-Sensoren an lokalen Aggregationspunkten und cloud -Spiegeln. Erfassen Sie Metadaten statt vollständiger Pakete, um die Speicher- und Verarbeitungskosten im Rahmen zu halten.
Richten Sie identitätsbasierte Erkennungsmechanismen ein. Optimieren Sie die Korrelationen zwischen Entra ID und Signalen aus dem lokalen Active Directory. Aktivieren Sie phishing MFA gemäß den CISA SCuBA-Leitlinien für hybride Identitätslösungen. Behandeln Sie die Identitätsebene als eigenständigen Überwachungsbereich und nicht als nachträglichen Einfall im SIEM.
Die Erkennungen an die MITRE ATT&CK Cloud anpassen. Beginnen Sie mit den fünf Techniken in der obigen Tabelle (T1556.007, T1078.004, T1021.006, T1550, T1098.005). Mit zunehmender Reife des Versicherungsschutzes nach außen ausweiten.
Erstellen Sie zunächst drei hochpräzise Erkennungsregeln: Anmeldung eines globalen Administrators von einem Server aus, der in einer Hybridumgebung eingebunden ist; Abruf von DSA-Anmeldedaten außerhalb der geplanten Synchronisierungsfenster; OAuth-Berechtigungserteilung an einen Integrator-Dienstprinzipal, gefolgt von Aktivitäten mit unbekannter Quell-IP. Allein diese drei Regeln decken die vorherrschenden Angriffsmuster für Hybridumgebungen im Zeitraum 2024–2026 ab.
Erstellen Sie eine einheitliche Zeitleiste für die Untersuchung. Unabhängig davon, ob die Zusammenführungsschicht aus einer SIEM- oder einer NDR-Plattform besteht, benötigt der Analyst Identitätsereignisse, Netzwerk-Metadaten und cloud in einer einzigen Ansicht. Die domänenübergreifende Korrelation macht den Unterschied zwischen einem Incident-Response-Workflow, der innerhalb von Stunden zum Abschluss kommt, und einem, der sich über Tage hinzieht.
Testen und validieren. Führen Sie Purple-Team-Übungen an der Identitätsbrücke durch. Ermitteln Sie die durchschnittliche Erkennungszeit und die durchschnittliche Reaktionszeit. Lassen Sie die gewonnenen Erkenntnisse in den SOC-Betrieb und die threat hunting Playbook ein.

Die Sicherheitsverletzungsrate von 55 % aus derselben Umfrage cloud aus dem Jahr 2025, an der 1.021 Führungskräfte aus den Bereichen Sicherheit und IT teilnahmen, sollte den Entscheidungsträgern vor Augen gehalten werden – die Grundwahrscheinlichkeit einer Sicherheitsverletzung ist mittlerweile so hoch, dass Investitionen in die Erkennung bei objektiver Betrachtung als kontrollierbare Kosten anzusehen sind. Data Breach „Cost of a Data Breach (2025) des Ponemon Institute beziffert die durchschnittlichen Kosten einer Sicherheitsverletzung in mehreren Umgebungen auf 5,05 Millionen US-Dollar. Die Ausgaben für die Erkennung sind im Vergleich dazu gering.

Erkennung von cloud und Einhaltung von Vorschriften in cloud Hybrid cloud

Die Erkennungsfähigkeiten lassen sich eindeutig den gesetzlichen Verpflichtungen zuordnen. Die nachstehende Übersicht behandelt die vier Regelwerke, mit denen ICP-Branchen – Finanzdienstleistungen, Gesundheitswesen, Fertigung – am häufigsten konfrontiert sind. Hierbei handelt es sich um eine Zuordnung und nicht um eine Compliance-Beratung.

Rahmenwerk	Anforderung	Hybride Erkennungsfunktion, die abbildet
NIST CSF 2.0	DE.AE Analyse unerwünschter Ereignisse; DE.CM Kontinuierliche Überwachung	Domänenübergreifende Telemetrie-Korrelation; kontinuierliche Überwachung von Ost-West-Verkehr und Identitäten
EU-NIS2 (Artikel 21)	Fähigkeiten zur Erkennung und Bearbeitung von Vorfällen für wesentliche und wichtige Einrichtungen	Erfassungsbereich über Identitäten, Netzwerke und Workloads hinweg; dokumentierte Reaktionsanleitungen
EU-DORA (Artikel 10)	Erkennung ungewöhnlicher Aktivitäten; 4-Stunden-Frühwarnmeldungen werden seit dem 17.01.2026 aktiv durchgesetzt	Hybride Echtzeit-Erkennung mit automatischer Paketierung von Vorfällen
CISA SCuBA HISG	Phishing MFA, bedingter Zugriff, moderne Verbundlösung	Erkennungen, die die Durchsetzung der MFA bestätigen und Anomalien in der Verbundstruktur melden

Geografische Besonderheiten spielen eine Rolle. Finanzinstitute in der EU, die unter DORA fallen, müssen Vorfälle innerhalb von vier Stunden melden, sobald ein Ereignis als schwerwiegender IKT-Vorfall eingestuft wird. In Deutschland lag die Erfüllungsquote für die NIS2-Registrierung beim BSI zum Stichtag 06.03.2026 bei etwa 33 %, was darauf hindeutet, dass viele wesentliche und wichtige Einrichtungen noch dabei sind, dokumentierte Erkennungsfähigkeiten aufzubauen. Die Sicherheitsrahmenwerke selbst schreiben keine Anbieter vor – sie legen vielmehr fest, welche Ergebnisse ein vertretbares Erkennungsprogramm nachweisen kann.

Moderne Ansätze zur Erkennung von cloud in Hybrid cloud

Die Kategorie entwickelt sich in dreierlei Hinsicht weiter.

KI-gestützte domänenübergreifende Korrelation optimiert den Arbeitsablauf der Analysten. Anstelle von drei Übergaben zwischen Identitäts-, Netzwerk- und cloud verknüpfen moderne Erkennungsplattformen die drei Signaldomänen zu einem einzigen Angriffsgraphen und zeigen einen priorisierten Vorfall an, bei dem die On-Premise- und cloud bereits miteinander verknüpft sind. Die Methodik ist wichtiger als das Marketing-Label – KI-gestützte Bedrohungserkennung ist ein Mittel zur schnelleren und präziseren Analyse des Angreiferverhaltens, kein Selbstzweck.

Die Analyse verschlüsselten Ost-West-Datenverkehrs ohne Entschlüsselung ist mittlerweile ein Muss. JA3/JA4-Fingerprinting und Encrypted Traffic Analytics betrachten verschlüsselten Datenverkehr als eine Reihe von Merkmalen, die es zu modellieren gilt, und nicht als Hindernis, das es zu beseitigen gilt. Die zugrunde liegende Logik ist einfacher, als es klingt: malware ändern ihren TLS-Fingerabdruck nur selten, und Verhaltensmetadaten (Paketgrößen, Zeitablauf der Datenflüsse) bilden eine stabile Signatur, selbst wenn die Nutzdaten unlesbar sind.

Aktive Resilienz ist die dritte Front. Mandiant M-Trends 2026 hebt die Taktik „Recovery Denial“ hervor – Angreifer zielen gezielt auf die Backup-Infrastruktur ab, um eine Wiederherstellung zu verhindern und die Zahlung von Lösegeld zu erzwingen (Mandiant M-Trends 2026). Der „Threat Horizons“-Bericht Cloud Google Cloud für das erste Halbjahr 2026 verzeichnet Zeiträume von 48 Stunden für Massenangriffe auf verwaltete Kubernetes-Instanzen. Die Konsequenz für die Verteidigung ist, dass unveränderliche Backups, die Absicherung cloud Key-Vaults und Runbooks, die davon ausgehen, dass Angreifer Wiederherstellungspunkte bereits gelöscht haben, nicht mehr optional sind.

Wie Vectra AI die Erkennung von cloud Hybrid cloud Vectra AI

Attack Signal Intelligence Vectra AI Attack Signal Intelligence das moderne Netzwerk – On-Premise, cloud, Identitäten, SaaS und IoT/OT – als eine einheitliche Angriffsfläche. Die Methodik lässt sich einfach zusammenfassen: Man geht von einer Kompromittierung aus; Signale werden gegenüber Rauschen priorisiert; es werden die wenigen Verhaltensweisen hervorgehoben, die entscheidend sind, wenn ein Angreifer die cloud zwischen On-Premise und cloud überbrückt. Die Arbeit liegt in der Mathematik und den Labels hinter den Kulissen, aber für den Analysten erscheint dies als klarer, priorisierter Vorfall, bei dem die On-Premise- und cloud bereits miteinander verknüpft sind – genau die Zeitachse, die eine Untersuchung von Storm-0501 oder ShinyHunters erfordert.

Schlussfolgerung

Die Erkennung cloud in Hybrid cloud ist längst kein optionales Teilgebiet der cloud mehr. Alle Daten deuten in dieselbe Richtung: Hybrid-Sicherheitsverletzungen sind mittlerweile die teuerste Kategorie, die Mehrheit der cloud nutzt Identitätskontrollen statt Zero-Day-Lücken aus, und die typischen Angriffsmuster für 2024–2026 – die Weiterentwicklung von Storm-0501 zu cloud ransomware sowie die OAuth-Token-Brücken von ShinyHunters in Snowflake – basieren beide auf der cloud von On-Premise-Systemen cloud .

Die gute Nachricht ist, dass das Spielbuch der Verteidiger konkret ist. Erfassen Sie die Infrastruktur. Fügen Sie Ost-West-Sensoren an lokalen Aggregationspunkten und cloud hinzu. Optimieren Sie die Identitätskorrelationen zwischen Entra ID und dem lokalen AD. Ordnen Sie Erkennungen den Techniken MITRE ATT&CK Cloud zu, die Angreifer tatsächlich gegen hybride Umgebungen einsetzen. Erstellen Sie drei hochpräzise Regeln – Anmeldung des Global Admin von einem hybrid verbundenen Server, Auslesen von DSA-Anmeldedaten außerhalb der Synchronisierungsfenster, OAuth-Grant gefolgt von Aktivitäten mit unbekannter Quell-IP – und fügen Sie die daraus resultierenden Vorfälle zu einer einheitlichen Zeitleiste zusammen. All dies erfordert weder ein riesiges Team noch ein unbegrenztes Budget. Es erfordert lediglich die Disziplin, die Bridge als die Angriffsfläche zu behandeln, zu der sie geworden ist.

Für einen tieferen Einblick in den architektonischen Kontext empfiehlt sich als nächste Lektüre der Abschnitt cloud , während die MITRE ATT&CK „Netzwerk-Erkennung und -Reaktion“, „Identitätsbedrohungserkennung und -reaktion“ sowie MITRE ATT&CK die grundlegenden Konzepte vermitteln, auf denen jeder der sieben Implementierungsschritte aufbaut. Die Themen „Cyber-Resilienz“ und zero trust verbinden diese Funktionen wieder mit den Ergebnissen auf Führungsebene.

‍

Häufig gestellte Fragen

Was ist die Erkennung cloud Hybrid cloud ?

Die Erkennung cloud bezeichnet die Identifizierung von Angreiferaktivitäten, die sich über die lokale Infrastruktur und eine oder mehrere öffentliche cloud erstrecken, wobei der Schwerpunkt auf Identitäts-, Netzwerk- und Workload-Signalen liegt, die die cloud zwischen lokaler Infrastruktur und cloud überqueren. Dabei wird diese Brücke – Identitätssynchronisationsserver, Verbundlösungen, Ost-West-Datenverkehr zwischen den Umgebungen – als primäre Angriffsfläche betrachtet und nicht der Perimeter. Dieser Ansatz entstand, weil herkömmliche Perimeter- und endpoint systematisch die Momente übersehen, in denen Angreifer zwischen On-Premise- und cloud wechseln, und weil die meisten modernen Angriffe Identitätskontrollen und hybride Integrationen ausnutzen, anstatt Zero-Day-Schwachstellen. Ein Programm zur Erkennung hybrider Bedrohungen sammelt Telemetriedaten aus Netzwerk-, Identitäts- und Workload-Quellen auf beiden Seiten der Brücke, erstellt Basisdaten für normales Verhalten pro Gerät und Identität und deckt Anomalien auf, die keine einzelne Domäne allein erkannt hätte.

Inwiefern unterscheidet sich die Erkennung cloud Hybrid cloud von der Erkennung cloud?

Die Cloud Erkennung – in der Regel als Cloud and Response“ (CDR) bereitgestellt – deckt cloud Steuerungsebenen und Workloads ab. Sie überwacht cloud , Laufzeitsensoren und Konfigurationsabweichungen innerhalb von cloud . Die Erkennung cloud ergänzt die cloud zwischen On-Premise und cloud : die Identitätssynchronisierungsschicht (Entra Connect Sync), Verbunddienste (AD FS), den Ost-West-Datenverkehr zwischen On-Premise und cloud sowie OAuth-Berechtigungen für SaaS-Integratoren, die als Identitätsbrücken fungieren. An dieser Brücke dreht sich bei Storm-0501 tatsächlich alles, und hier landen die OAuth-Token-Kampagnen von ShinyHunters in Snowflake. CDR allein übersieht die On-Premise-Hälfte dieser Zeitachsen; rein On-Premise-basierte NDR- oder SIEM-Lösungen übersehen die cloud . Die hybride Erkennung ist die Disziplin, beide Hälften zu einer einzigen Untersuchung zusammenzufügen. Für die meisten regulierten Unternehmen ist cloud notwendig, aber nicht ausreichend.

Wie hoch sind die durchschnittlichen Kosten cloud in einer cloud (Multi-Environment-Cloud)?

Laut Data Breach „Cost of a Data Breach (2025) des Ponemon Institute beliefen sich die Kosten für Datenpannen, die mehrere Umgebungen betrafen – also in hybriden Konfigurationen –, im Durchschnitt auf 5,05 Millionen US-Dollar und waren damit die höchsten aller Umgebungskategorien (Berichterstattung auf Dark Reading). Zum Vergleich: cloud privaten cloud 4,68 Millionen US-Dollar, bei öffentlichen cloud cloud cloud , cloud Millionen cloud und bei rein lokalen Lösungen cloud 4,01 Millionen US-Dollar. Der Aufschlag für Hybridumgebungen spiegelt die operative Realität wider, dass Sicherheitsverletzungen in Umgebungen mit mehreren Systemen länger zu erkennen und einzudämmen sind, da die Ermittler Identitäts-, Netzwerk- und Workload-Telemetriedaten aus Systemen zusammenführen müssen, die selten über eine gemeinsame Konsole verfügen. Allein die Kostendifferenz ist ein stichhaltiges Argument dafür, in Erkennungsfunktionen zu investieren, die diese Lücke überbrücken, anstatt sie als Problem anderer zu betrachten.

Welche Rolle spielt SIEM bei cloud Hybrid cloud ?

SIEM aggregiert Protokolle aus lokalen und cloud und wendet Korrelationsregeln an. Dies ist für cloud zwar notwendig, reicht aber nicht aus. Moderne Hybrid-Erkennungslösungen bauen auf dem SIEM zwei spezialisierte Funktionen auf. NDR bietet Ost-West-Transparenz und Verhaltensanalysen von Netzwerk-Metadaten, die SIEM-Regeln allein aus den Protokollen nicht extrahieren können – insbesondere bei verschlüsseltem Datenverkehr, wo JA3/JA4-Fingerprinting und Verhaltens-Metadaten erforderlich sind. ITDR ergänzt dies um die Erkennung von Identity-Bridge-Angriffen, die auf der Verknüpfung von Entra-ID- und lokalen AD-Ereignissen mit einer Genauigkeit im Sub-Minuten-Bereich sowie auf Verhaltens-Baselines pro Identität basiert. SIEM bleibt die Ebene für die langfristige Protokollaufbewahrung und der Speicher für Compliance-Nachweise. In einer Umgebung im Jahr 2025, in der über 80 % des Unternehmensdatenverkehrs verschlüsselt sind, führt die Betrachtung von SIEM als gesamtes Erkennungsprogramm jedoch dazu, dass vorhersehbare hybride Angriffsmuster unsichtbar bleiben.

Inwiefern trägt eine umfassende Observability cloud Hybrid cloud bei?

Umfassende Observability – die Kombination von Protokollen, Metriken und Netzwerkpaketen oder Metadaten – liefert Sicherheitsverantwortlichen eine objektive Grundlage, die Protokolle allein nicht bieten können. Protokolle werden von Systemen erstellt, die sich selbst beschreiben; Netzwerktelemetrie entsteht durch das tatsächliche Verhalten der Systeme. Wenn diese beiden Informationen voneinander abweichen (weil ein Angreifer die Protokollierung manipuliert, einen Agenten deaktiviert oder Daten über einen verschlüsselten Kanal übertragen hat, den die Protokollebene nicht erfasst), sind die Paket-Metadaten die verlässliche Quelle. In einer Umfrage cloud aus dem Jahr 2025 unter 1.021 Sicherheits- und IT-Führungskräften bezeichneten 89 % umfassende Observability als grundlegend für ihre Hybrid-Sicherheitsstrategie, und 83 % gaben an, dass sie zu einem Thema auf Vorstandsebene geworden sei. Die praktische Konsequenz für Hybridumgebungen ist, dass East-West-Netzwerk-Metadaten, einschließlich JA3/JA4-Fingerabdrücke und Verhaltensflussmerkmale, eine erstklassige Telemetriequelle sein müssen – und nicht nur ein nachträglicher Einfall in logzentrierten Architekturen.