Sie sind hier: Startseite » Markt » Studien

Kritische Risiken in modernen Cloud-Umgebungen


Der "Tenable Cloud Risk Report" schlägt Alarm angesichts toxischer Cloud-Sicherheitslücken, die Unternehmen weltweit bedrohen
38 Prozent der Unternehmen haben mit einer toxischen Dreierkombination zu kämpfen – Cloud-Workloads, die öffentlich zugänglich sind, kritische Schwachstellen aufweisen und über hohe Privilegien verfügen


Tenable hat ihren "Cloud Risk Report 2024" veröffentlicht, in dem die kritischen Risiken untersucht werden, die in modernen Cloud-Umgebungen bestehen. Dabei ist besonders besorgniserregend, dass sich nahezu vier von zehn Unternehmen weltweit aufgrund der "toxischen Dreierkombination" aus öffentlich zugänglichen, kritisch gefährdeten und hoch privilegierten Cloud-Workloads auf höchster Ebene angreifbar machen. Jede dieser Fehlerquellen stellt für sich allein bereits ein Risiko für Cloud-Daten dar, aber durch die Kombination aller drei wird die Wahrscheinlichkeit eines unbefugten Zugriffs durch Cyber-Angreifer drastisch erhöht.

Sicherheitslücken, die durch Fehlkonfigurationen, unangemessen hohe Berechtigungen und Schwachstellen entstehen, erhöhen das Risiko in der Cloud erheblich. Der Tenable Cloud Risk Report bietet einen tiefen Einblick in die dringlichsten Cloud-Sicherheitsprobleme, die im ersten Halbjahr 2024 beobachtet wurden. Dabei werden Bereiche wie Identitäten und Berechtigungen, Workloads, Speicherressourcen, Schwachstellen, Container und Kubernetes herausgestellt. Unternehmen, die Risiken in der Cloud einschränken möchten, bietet er darüber hinaus Anleitungen zur Risikominderung.

Öffentlich zugängliche und zugleich hoch privilegierte Cloud-Daten führen zu Datenlecks. Kritische Schwachstellen erhöhen die Wahrscheinlichkeit von Sicherheitsvorfällen. Der Report deckt auf, dass erstaunliche 38 Prozent der Unternehmen über Cloud-Workloads verfügen, die alle drei Kriterien dieser toxischen Dreierkombination aufweisen – ein perfektes Ziel für Cyberattacken. Wenn Bedrohungsakteure diese Sicherheitslücken ausnutzen, kommt es bei Sicherheitsvorfällen in der Regel zu Anwendungsausfällen, komplettem Kontrollverlust über Systeme sowie DDoS-Angriffen, die oft mit Ransomware in Zusammenhang stehen. Szenarien wie diese könnten für Unternehmen verheerende Folgen haben, denn die durchschnittlichen Kosten einer einzigen Datenpanne im Jahr 2024 liegen bei nahezu 5 Millionen US-Dollar.1

Hier einige weitere wichtige Ergebnisse des Berichts:

>> 84 Prozent der Unternehmen verfügen über riskante Zugriffsschlüssel für Cloud-Ressourcen: Die Mehrheit der Unternehmen (84,2 Prozent) verfügt über nicht genutzte oder seit geraumer Zeit bestehende Zugriffsschlüssel, die übermäßige Berechtigungen mit hohem oder kritischem Schweregrad aufweisen – eine erhebliche Sicherheitslücke, die beträchtliche Risiken birgt.

>> 23 Prozent der Cloud-Identitäten weisen übermäßige Berechtigungen mit hohem oder kritischem Schweregrad auf: Eine auf Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure abzielende Analyse ergab, dass 23 Prozent der Cloud-Identitäten (Personen- sowie Maschinenidentitäten) übermäßige Berechtigungen mit hohem oder kritischem Schweregrad aufwiesen.

>> Kritische Schwachstellen bleiben bestehen: Besonders erwähnenswert ist hier CVE-2024-21626 – eine schwerwiegende Container Escape-Schwachstelle, die zur Kompromittierung des Server-Hosts führen kann –, die selbst 40 Tage nach ihrer Veröffentlichung in über 80 Prozent der Workloads nicht behoben war.

>> 74 Prozent der Unternehmen verfügen über öffentlich zugängliche Datenspeicher: 74Prozent der Unternehmen verfügen über öffentlich zugängliche Storage-Assets, darunter auch Assets mit sensiblen Daten. Diese Gefährdung, die in vielen Fällen auf unnötige oder übermäßige Berechtigungen zurückzuführen ist, wird mit der Zunahme von Ransomware-Angriffen in Verbindung gebracht.

>> 78 Prozent der Unternehmen setzen öffentlich zugängliche Kubernetes-API-Server ein: Davon lassen 41 Prozent auch eingehenden Zugriff aus dem Internet zu. Darüber hinaus besteht bei 58 Prozent der Unternehmen eine Cluster-Admin-Rollenbindung, wodurch bestimmte Nutzer uneingeschränkte Kontrolle über sämtliche Kubernetes-Umgebungen haben.

"Unser Bericht verdeutlicht, dass eine überwältigende Anzahl von Unternehmen Zugriffsrisiken in ihren Cloud-Workloads haben, derer sie sich möglicherweise nicht einmal bewusst sind", erklärt Shai Morag, Chief Product Officer bei Tenable. "Es sind nicht immer nur Bedrohungsakteure, die neuartige Angriffe ausführen. In vielen Fällen stellen Fehlkonfigurationen und überprivilegierter Zugriff das größte Risiko für die Offenlegung von Cloud-Daten dar. Die gute Nachricht ist, dass viele dieser Sicherheitslücken ganz leicht geschlossen werden können, sobald sie bekannt sind und aufgedeckt wurden."

Der Report spiegelt Erkenntnisse des Tenable Cloud Research-Teams wider, die auf Telemetriedaten von Milliarden von Cloud-Ressourcen aus mehreren Public-Cloud-Repositories basieren, die vom 1. Januar bis zum 30. Juni 2024 analysiert wurden. (Tenable: ra)

eingetragen: 31.10.24
Newsletterlauf: 20.01.25

Tenable Network Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • KI ein geschäftlicher Hebel

    Kyndryl, IT-Dienstleisterin für unternehmenskritische Systeme, hat die Ergebnisse seiner dritten jährlichen State of Mainframe Modernization Survey veröffentlicht. Die Studie zeigt, wie Unternehmen die Schlüsselrolle des Mainframes in einer sich rasant wandelnden digitalen Landschaft neu definieren. Sie verdeutlicht, dass Firmen auf flexible Modernisierungsstrategien setzen, KI im großen Maßstab nutzen und den Einsatz des Mainframes in hybriden IT-Umgebungen ausweiten - und das trotz Fachkräftemangel und wachsender Regulierung.

  • Cloud Security Posture Management

    Tenable veröffentlichte kürzlich ihren State of Cloud and AI Security 2025 Report, aus dem hervorgeht, dass das rasante Wachstum von Hybrid-, Multi-Cloud- und KI-Systemen schneller voranschreitet als die Entwicklung von Cloud-Sicherheitsstrategien, sodass neue Ebenen an Komplexität und Risiken entstehen.

  • Nutzung von GenAI-Applikationen

    Nutanix, Spezialistin für Hybrid Multicloud Computing, hat die Ergebnisse der siebten Ausgabe ihrer jährlichen Studie Enterprise Cloud Index (ECI) für Deutschland vorgestellt. Demnach teilen deutsche Unternehmen generell die Prioritäten ihrer Kollegen in EMEA und weltweit bei Einführung und Umsetzung von generativer künstlicher Intelligenz (GenAI) und Containerisierung. Sie setzen jedoch im Detail abweichende Schwerpunkte und erwarten einen längeren Zeithorizont, bis sich Investitionen in GenAI-Projekte rechnen. Hauptgründe dafür sind offenbar Bedenken hinsichtlich Sicherheit und Datenschutz sowie der in Deutschland immer stärker spürbare Fachkräftemangel.

  • Fähigkeiten im Bereich Responsible AI

    Das Infosys Knowledge Institute (IKI), ein Forschungszweig von Infosys veröffentlichte ihre aktuelle Studie über den verantwortungsvollen Einsatz von KI in Unternehmen. Für den "Responsible Enterprise AI in the Agentic Era" Report wurden mehr als 1.500 Führungskräfte in Deutschland, Frankreich, Großbritannien, den USA und Australien befragt und interviewt. Die Umfrage zeigt deutliche Lücken in der Fähigkeit von Organisationen, künstliche Intelligenz verantwortungsbewusst einzusetzen. 78 Prozent der Unternehmen betrachten Responsible AI als Motor für ihr Wachstum. Doch nur zwei?Prozent haben geeignete Kontrollen implementiert, um Reputationsrisiken und finanzielle Verluste zu vermeiden.

  • Lückenhafte Datensicherung birgt Risiken

    Hycu hat die Ergebnisse einer aktuellen Studie veröffentlicht, die unter Anwaltskanzleien und Fachleuten aus dem Rechtsbereich durchgeführt wurde. Während Anwaltskanzleien zunehmend auf Cloud-basierte Anwendungen umsteigen, zeigen die Ergebnisse der neuen globalen Umfrage, dass es erhebliche Wissenslücken hinsichtlich der Verantwortlichkeiten im Bereich Datensicherung gibt. Laut dem in Kürze erscheinenden Bericht "State of SaaS Resilience 2025" glauben 85 Prozent der IT-Entscheidungsträger im Bereich Unternehmens- und freiberufliche Dienstleistungen, einschließlich Rechtsdienstleistungen, dass native SaaS-Plattformen wie iManage Cloud, Microsoft 365, DocuSign und Box eine umfassende Datensicherung bieten.

  • Skepsis gegenüber SaaS

    Die IT-Modernisierung zählt seit Jahren zu den Top-Prioritäten von CIOs - allerdings gibt es aufgrund der hohen Komplexität oft nur geringe Fortschritte. Der Druck zur IT-Modernisierung ist jedoch höher denn je, denn je häufiger veraltete Anwendungslandschaften auf moderne digitale Technologien treffen, desto stärker werden ihre technischen und wirtschaftlichen Grenzen sichtbar. Management und Fachbereiche erkennen daher zunehmend die Notwendigkeit von Modernisierungsmaßnahmen.

  • Cloud-Angriffe werden schneller und intelligenter

    Sysdig, Anbieterin von Cloud-Sicherheit in Echtzeit, hat ihren aktuellen Cloud Defense Report 2025 veröffentlicht. Der Bericht enthält Erkenntnisse und Prognosen über die entscheidende Rolle von KI, Open Source und Transparenz durch Runtime Insights (Laufzeit-Analysen) im Kontext aktueller Cloud-Bedrohungen. Die Datengrundlage stammt aus einer sorgfältigen und methodisch fundierten Analyse von Millionen von Cloud-Konten und Kubernetes-Containern, die Sysdig-Kunden täglich betreiben und sichern. Die repräsentative Stichprobe umfasst eine Vielzahl von Cloud-affinen Branchen auf der ganzen Welt.

  • Interne IT-Dienstleister: Umsätze steigen

    Interne IT-Dienstleister von Unternehmen und Organisationen in Deutschland verzeichnen 2024 ein Wachstum von durchschnittlich rund 10 Prozent und gewinnen im Kontext der digitalen Transformation an Bedeutung. Im Fokus stehen dabei der Wandel zum datengetriebenen Unternehmen, die Entwicklung KI-basierter Anwendungen, die IT-Modernisierung, das Vorantreiben der Prozessautomatisierung sowie die Kompensation des Fachkräftemangels und des demografischen Wandels durch digitale Technologien.

  • Risiken im Zusammenhang mit KI kaum versichert

    Künstliche Intelligenz (KI) ist längst in deutschen Unternehmen im Dienstleistungssektor voll angekommen - das zeigt eine aktuelle Umfrage zu Nutzung, Chancen und Risiken von KI, die im Auftrag von Hiscox durchgeführt wurde. Befragt wurden Anwendende sowie (Mit-) Entscheider über den Einsatz von KI.

  • Investitionen beginnen sich auszuzahlen

    Rockwell Automation hat die deutschen Ergebnisse ihres 10. jährlichen Berichts zur intelligenten Fertigung vorgestellt. Die Daten zeigen, dass der Fertigungssektor erhebliche Investitionen und Erträge in generative KI tätigt, aber immer noch mit Herausforderungen wie ungleichmäßiger Personalentwicklung und unzureichend genutzten Daten zu kämpfen hat.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen