Tools / Neuigkeiten / Google-Bericht: Software-Schwachstellen haben gestohlene Passwörter als häufigsten Einstiegspunkt in Cloud-Systeme abgelöst
Presse

Google-Bericht: Software-Schwachstellen haben gestohlene Passwörter als häufigsten Einstiegspunkt in Cloud-Systeme abgelöst

· VaultTools

Der Threat Horizons H1 2026-Bericht von Google stellt fest, dass ausgenutzte Software-Schwachstellen nun 44,5 % der Cloud-Einbrüche ausmachen und damit erstmals seit Beginn des Berichts den Diebstahl von Zugangsdaten übertreffen.

VaultTools · 11. März 2026

Serverracks in einem Rechenzentrum, das die durch Software-Schwachstellen gefährdete Cloud-Infrastruktur repräsentiert. Foto auf Unsplash

Inhaltsverzeichnis


Was Der Bericht Ergab

Am 11. März 2026 veröffentlichte Google Cloud seinen dreizehnten Threat Horizons-Bericht, eine halbjährliche Analyse aktiver Bedrohungen in Google Cloud- und Unternehmens-Cloud-Umgebungen. Der Bericht deckt beobachtete Vorfälle aus der zweiten Hälfte des Jahres 2025 ab und stützt sich auf Erkenntnisse der Google Threat Intelligence Group (GTIG).

Das zentrale Ergebnis bricht ein Muster, das seit dem Beginn der Berichtsreihe im Jahr 2021 Bestand hatte: Das Ausnutzen von Software-Schwachstellen hat das Stehlen oder Missbrauchen von Zugangsdaten als primäre Methode abgelöst, mit der Angreifer sich anfänglichen Zugang zu Cloud-Systemen verschaffen.

Schwachstellen Überholen Zugangsdaten Erstmals

In der zweiten Hälfte des Jahres 2025 machten Software-Schwachstellen 44,5 % der initialen Zugriffsvektoren bei beobachteten Cloud-Einbrüchen aus. Schwache oder fehlende Zugangsdaten fielen auf 27,2 %, ein deutlicher Rückgang gegenüber 47,1 % in der ersten Hälfte des Jahres 2025. Vorfälle mit Remote Code Execution (RCE) stiegen im selben Zeitraum fast auf das Fünffache an, von 2,9 % auf 13,6 %.

Die Verschiebung spiegelt eine Verhaltensänderung bei Angreifern wider. Anstatt auf den Erwerb gültiger Zugangsdaten durch Phishing oder den Kauf auf Dark-Web-Märkten zu warten, scannen Bedrohungsakteure zunehmend nach nicht gepatchten Drittanbieteranwendungen und nutzen bekannte Schwachstellen direkt aus. Der Bericht stellt fest, dass zu den Zielen sowohl Google Compute Engine- als auch Google Kubernetes Engine-Workloads gehörten und dass Angreifer hauptsächlich öffentlich dokumentierte CVEs anvisiert haben.

Der Missbrauch von Zugangsdaten ist nicht verschwunden. Der Bericht dokumentiert auch sprachbasierte Phishing-Angriffe, bei denen Bedrohungsakteure interne IT-Mitarbeiter imitierten, um Helpdesks unter Druck zu setzen, Zugangsdaten zurückzusetzen und die Multi-Faktor-Authentifizierung zu deaktivieren. Aber der Missbrauch von Zugangsdaten ist nicht mehr der führende Eintrittspunkt.

Das Schrumpfende Zeitfenster Zwischen Bekanntgabe Und Angriff

Der zweite wesentliche Befund betrifft die Geschwindigkeit. Die Daten von Google zeigen, dass die Lücke zwischen dem Bekanntwerden einer Schwachstelle und ihrer aktiven Ausnutzung bei Cloud-Angriffen von Wochen auf Tage geschrumpft ist.

Ein dokumentierter Fall betrifft eine Remote Code Execution-Schwachstelle in einer Anwendungsschicht eines Drittanbieters. Google beobachtete, dass Bedrohungsakteure innerhalb von ungefähr 48 Stunden nach der öffentlichen Bekanntgabe der Schwachstelle Software zum Schürfen von Kryptowährungen eingesetzt hatten. Die Ausnutzung erfolgte automatisiert und erforderte keine gezielte Auswahl bestimmter Organisationen.

Diese Beschleunigung ist bedeutsam, weil sie das Zeitfenster beseitigt, auf das Patch-Management-Prozesse angewiesen sind. Traditionelle Enterprise-Patching-Zyklen laufen in Abständen von Tagen bis Wochen. Wenn Angreifer eine bekannte Schwachstelle innerhalb von zwei Tagen ausnutzen können, bieten diese Zyklen keinen Schutz für das Intervall zwischen Ankündigung und Patch-Deployment.

Cloud-Speicher Als Exfiltrationskanal

Ein sekundärer Befund im Bericht befasst sich mit dem Datendiebstahl durch Insider. Cloud-Speicherplattformen sind zum am schnellsten wachsenden Kanal für die Datenexfiltration durch Insider mit legitimem Zugriff geworden. Der Bericht stellte fest, dass die Nutzung persönlicher Cloud-Speicher die E-Mail als bevorzugte Exfiltrationsmethode überholte und dass Insider in einem einzigen Vorfall häufig mehrere Methoden kombinierten.

Dieser Trend unterscheidet sich strukturell von den oben beschriebenen Schwachstellen- und Zugangsdaten-Bedrohungen. Er erfordert keinen externen Angreifer. Ein Mitarbeiter mit autorisiertem Zugriff auf Dokumente lädt diese Dateien in ein persönliches Cloud-Konto hoch. Die Dokumente verlassen die Organisation, ohne die meisten Endpoint-Detection-Tools auszulösen, weil der Upload normaler Cloud-Aktivität ähnelt.

Der Bericht identifizierte keine technische Gegenmaßnahme für dieses Muster, die über Visibility-Tooling und Zugriffskontrollen hinausgeht.

Was Das Für Die Wahl Von Datei-Tools Bedeutet

Die Google-Daten verweisen auf zwei separate, sich gegenseitig verstärkende Risiken, die mit cloudbasierten Dateiverarbeitungstools verbunden sind.

Das erste ist das Infrastrukturrisiko. Wenn ein Benutzer eine Datei in ein Online-Konvertierungs-, Komprimierungs- oder Bearbeitungstool hochlädt, landet diese Datei auf Server-Infrastruktur, die Software-Stacks von Drittanbietern betreibt. Die Threat Horizons-Daten zeigen, dass Software-Schwachstellen in Cloud-Umgebungen nun innerhalb von 48 Stunden nach der Bekanntgabe ausgenutzt werden. Die Tools, die Benutzer für alltägliche Dateiaufgaben wählen, laufen auf dieser Infrastruktur.

Das zweite ist das Exfiltrationsmuster. Cloud-gehostete Datei-Tools erfordern, dass Benutzer Dokumente vor der Verarbeitung hochladen. Bei sensiblen Dateien ist dieser Upload strukturell identisch mit dem vom Bericht beschriebenen Insider-Exfiltrationsverhalten: Eine Datei bewegt sich von einem lokalen Gerät in eine Cloud-Umgebung, wo die Sichtbarkeit und Kontrolle über ihre anschließende Handhabung dem Plattformbetreiber und nicht dem Benutzer gehört.

Tools, die vollständig im Browser mit WebAssembly laufen, beseitigen beide Vektoren. Die Datei wird niemals an einen Server übermittelt, sodass es keine Cloud-Infrastruktur zu kompromittieren und keinen Upload abzufangen oder zu speichern gibt. Die Verarbeitung erfolgt lokal und das Ergebnis bleibt auf dem Gerät des Benutzers. Die Ergebnisse von Google Threat Horizons liefern das architektonische Argument für lokale Verarbeitung in Begriffen, die über individuelle Datenschutzpräferenzen hinausgehen und in messbares operationelles Risiko einmünden.


Quellen