Thought Leadership
Cloud-Infrastrukturen sind fester Bestandteil moderner IT-Architekturen. Doch ihre Dynamik, Skalierbarkeit und Kurzlebigkeit machen sie zur Herausforderung für Sicherheits- und Incident-Response-Teams.
Ohne integrierte, automatisierte Forensikstrategien bleibt wertvolle Zeit ungenutzt und mit ihr oft auch die entscheidenden Hinweise auf Angriffe.
Die Digitalisierung schreitet branchenübergreifend voran. Energieversorger, Industrieunternehmen, öffentliche Verwaltung – sie alle setzen auf Cloud-Technologien. Doch mit der Flexibilität steigt auch die Komplexität. Systeme skalieren automatisch, Applikationen bestehen oft nur für Sekunden, Log-Daten sind fragmentiert, Zuständigkeiten verteilt.
Laut dem aktuellen BSI-Lagebericht wurden allein im Jahr 2024 über 43.000 neue Schwachstellen verzeichnet – im Schnitt rund 119 pro Tag. Das entspricht einem Anstieg von fast einem Viertel gegenüber dem Vorjahr. Besonders kritisch: Nahezu die Hälfte dieser Schwachstellen wurde als hochriskant eingestuft. Für viele Unternehmen stellt sich längst nicht mehr die Frage, ob ein Angriff erfolgt, sondern ob er rechtzeitig erkannt und untersucht werden kann. Die Reaktionszeit ist entscheidend –und hier entstehen neue Herausforderungen.
Verlorene Zeit – verlorene Beweise
In einer US/UK-Umfrage von Darktrace gaben 65 Prozent der befragten Security-Verantwortlichen an, dass Cloud-Vorfälle im Schnitt drei bis fünf Tage später analysiert werden als vergleichbare Vorfälle im On-Prem-Bereich. Fast 90 Prozent berichteten, dass bereits Schaden entstanden war, bevor sie überhaupt erste Eindämmungsmaßnahmen ergreifen konnten.
Sicherheitsteams sind zunehmend mit Qualifikationslücken überfordert – insbesondere in der Cloud, wo traditionelles Fachwissen nicht immer übertragbar ist. Selbst erfahrene SOC-Analysten können Schwierigkeiten haben, Bedrohungen in kurzlebigen, serverlosen Umgebungen zu untersuchen. Die seltene Kombination aus Cloud-Architektur, DevOps und Sicherheitsexpertise ist schwer zu finden, und die meisten Unternehmen können nicht schnell genug neue Mitarbeiter einstellen, um diese Lücke zu schließen. Infolgedessen jagen Teams schnelllebigen Bedrohungen hinterher, ohne über die erforderliche Transparenz, den Kontext oder das cloudspezifische Verständnis zu verfügen – was die Cloud-Sicherheitslücke vergrößert und das Risiko für das gesamte Unternehmen erhöht.
Das Problem liegt tiefer: Klassische Forensikprozesse basieren auf manuelle Korrelation, punktuellen Snapshots und Übertragungen zwischen Tools. Gleichzeitig gehen volatile Daten – etwa temporäre Protokolle oder Speicherinhalte – oft verloren, bevor sie gesichert werden können. Gerade bei modernen Angriffsmethoden, etwa dem Missbrauch legitimer Software oder der Ausnutzung schwacher Schnittstellen, fehlen dadurch zentrale Hinweise.
Neue Taktiken – neue Anforderungen an die Forensik
Hinzu kommt: Immer mehr Angriffe nutzen neuartige, schwer erkennbare Techniken. Klassische Signatur-basierte Systeme stoßen hier an ihre Grenzen. Die zunehmende Verbreitung von generativer Malware, das gezielte Ausnutzen legitimer APIs oder das Ausweichen auf flüchtige Cloud-Ressourcen machen es schwer, Bedrohungen im Nachhinein vollständig zu rekonstruieren.
Security-Teams stehen dadurch unter Druck, schnell zu reagieren und ohne Lücken zu verstehen, was genau vorgefallen ist – in welchem System, über welchen Pfad, mit welcher Auswirkung.
Antwort in Echtzeit: Automatisierte Cloud-Forensik
Mit der Methode der forensischen Datensicherung hat Darktrace ein System entwickelt, das Datensicherung direkt mit der Erkennung von Bedrohungen verknüpft. Sobald ein Alarm ausgelöst wird – durch den Anwender selbst oder über ein bestehendes SIEM, XDR oder Cloud-Tool – startet automatisch eine Sammlung relevanter Daten.
Erfasst werden u. a. Speicherinhalte, Log-Dateien und Prozessinformationen – auch von kurzlebigen Assets wie Containern oder serverlosen Workloads. Die Daten werden über native Cloud-APIs gesichert, ganz ohne zusätzliche Agenten oder komplexe Konfigurationen. Das bedeutet: Forensik startet, bevor kritische Spuren verloren gehen.
Von der Datenspur zur Entscheidung
In Verbindung mit Detection- und Response-Mechanismen lässt sich so ein Angriff nicht nur stoppen, sondern unmittelbar analysieren. Statt tagelanger Spurensuche erhalten Analyst:innen in wenigen Minuten eine forensische Timeline, die chronologisch aufbereitet, wie sich die Bedrohung im System ausgebreitet hat.
Besonders in hybriden oder Multi-Cloud-Architekturen, in denen klassische EDR- oder Log-basierte Lösungen an ihre Grenzen stoßen, ermöglicht das ein präzises Verständnis komplexer Angriffsmuster – unabhängig davon, ob die Attacke über Mail, Netzwerk oder Cloud-Kanäle initiiert wurde.
Qualität statt Masse: Die Relevanz volatiler Daten
Automatisierung bedeutet in diesem Zusammenhang nicht, wahllos möglichst viele Daten zu sammeln. Entscheidend ist, die richtigen Spuren im richtigen Moment zu erfassen. Besonders relevant sind volatile Informationen: temporäre Dateien, in RAM gespeicherte Sitzungstokens oder Shell-Historien.
Gerade in KRITIS-Umgebungen wird die Bedeutung dieser Informationen spürbar. Der BSI hebt in seinem Lagebericht hervor, dass Cloud-Infrastrukturen inzwischen als „zentrale potenzielle Schwachstelle“ im Betrieb kritischer Systeme gelten – insbesondere dort, wo Transparenz, Segmentierung und Verantwortlichkeiten fehlen.
Forensik als strategisches Werkzeug
Automatisierte Forensik kann helfen, strukturelle Sicherheitslücken sichtbar zu machen, und das nicht nur im Moment des Angriffs. Die daraus gewonnenen Erkenntnisse unterstützen auch in der Nachbearbeitung: bei regulatorischer Dokumentation, in der Kommunikation mit Aufsichtsbehörden oder Versicherungen, aber auch intern – etwa beim Aufdecken systemischer Schwächen in Prozessen oder Architektur.
Was früher als Sonderfall galt, wird zunehmend zur operativen Notwendigkeit. Forensik ist heute kein nachgelagerter Teil der Security-Strategie mehr, vielmehr ein zentrales Element vorausschauender Verteidigung.
Wer verstehen will, muss erfassen
Eine moderne Sicherheitsarchitektur braucht nicht nur Prävention, sondern ein tiefes, kontextbasiertes Verständnis laufender Vorfälle. Die Fähigkeit, digitale Spuren in Echtzeit und automatisiert zu sichern, ist dabei ein entscheidender Faktor. Cloud-Forensik, wie sie heute technisch möglich ist, schafft genau das: Schnelle Reaktion, fundierte Analyse, belastbare Entscheidungsgrundlagen. Sie reduziert Abhängigkeiten von Spezialwissen, verkürzt Entscheidungswege und schafft Transparenz – auch dort, wo Bedrohungen bislang im Verborgenen agierten.
