Wie Cyberkriminelle legitime Cloud-Dienste für Angriffe missbrauchen und was Unternehmen tun können
Cloud-Dienste wie Microsoft 365, Google Workspace und Slack revolutionieren die Zusammenarbeit in Unternehmen. Doch die Bequemlichkeit hat ihren Preis: Cyberkriminelle nutzen genau diese vertrauenswürdigen Plattformen, um ihre Angriffe zu tarnen. Dieses Phänomen nennt sich „Living off the Cloud“ und stellt eine reale, unterschätzte Gefahr dar.
Die gefährliche Tarnung im legitimen Cloud-Traffic
Angreifer nutzen gestohlene Anmeldedaten, kompromittierte API-Zugänge oder OAuth-Tokens, um sich Zugang zu legitimen Cloud-Diensten zu verschaffen. Der Clou dabei: Ihr Vorgehen wirkt auf Firewalls und Antivirensoftware völlig harmlos, weil der Datenverkehr zu beliebten Diensten wie Microsoft 365 oder Google Drive als sicher gilt.
Ein typisches Szenario: Ein Mitarbeiterkonto wird gehackt, sensible Informationen landen unauffällig auf einem privaten Dropbox-Account – und niemand bemerkt den Abfluss, weil alles legitim aussieht.
Bekannte Fälle aus den letzten 5 Jahren
SolarWinds (2020): Das Update, das niemand wollte
Im Dezember 2020 wurde der SolarWinds Orion-Software ein manipuliertes Update untergeschoben, das eine Hintertür enthielt. Diese nutzte legitime Microsoft-365- und Azure-Dienste als Command-and-Control-Kanäle. Der Angriff blieb monatelang unbemerkt, da er signiert und vertrauenswürdig aussah. Erst ein zufälliger Fund durch FireEye brachte die Wahrheit ans Licht.
Lapsus$ & Okta (2022): Interne Kommunikation als Tarnkappe
Die Hackergruppe Lapsus$ verzichtete auf Malware und missbrauchte stattdessen Slack- und Jira-Zugänge bei Okta, um Daten zu exfiltrieren. Diese legitimen Kommunikationskanäle ließen den Angriff wie normale Support- oder Admin-Tätigkeiten erscheinen. Erst durch die Veröffentlichung interner Beweise wurde der Vorfall bekannt.
MOVEit Transfer Exploit (2023/24): Unauffälliger Datenabfluss
2023 missbrauchte die Ransomware-Gruppe Clop legitime Admin-APIs der Datenplattform MOVEit Transfer, um massiv Daten zu exfiltrieren. Da der Datenverkehr via HTTPS über vertraute Admin-Accounts erfolgte, übersahen viele Sicherheitssysteme den Angriff. Die Auswirkungen wurden erst sichtbar, als die Daten öffentlich auftauchten.
TalentHook (2025): Fehlkonfiguration bei Azure Blob
Im Juli 2025 führte eine Fehlkonfiguration eines Azure Blob-Speichers bei TalentHook dazu, dass 26 Millionen Lebensläufe öffentlich zugänglich wurden. Ein scheinbar harmloser Cloud-Fehler mit dramatischen Folgen.
Dropbox API Keys Leak (2024)
2024 nutzten Angreifer kompromittierte Dropbox API-Keys, um unauffällig Daten abzuziehen. Dieser Vorfall demonstrierte eindrucksvoll, wie wichtig die sichere Verwaltung sensibler API-Schlüssel ist.
Commvault/Metallic (2025): SaaS-Plattform kompromittiert
Im Mai 2025 wurde die SaaS-Backup-Plattform Metallic kompromittiert. Angreifer nutzten gestohlene API-Schlüssel und Zero-Day-Exploits, um Zugriff auf Kundendaten in Microsoft 365 zu erhalten.
Warum klassische Sicherheitsmaßnahmen scheitern
Klassische Sicherheitslösungen scheitern an solchen Angriffen, weil sie legitime Cloud-Dienste grundsätzlich als vertrauenswürdig einstufen. Übermäßig großzügige API- und OAuth-Berechtigungen und unkontrollierte Schatten-IT verstärken die Problematik zusätzlich. Hinzu kommt oft mangelnde Awareness bei Mitarbeitern, die vermeintlich harmlose Cloud-Links öffnen.
Effektive Schutzmaßnahmen gegen „Living off the Cloud“
Technische Maßnahmen
- Aktivieren Sie detaillierte Audit-Logs und werten Sie diese regelmäßig aus.
- Feinjustieren Sie Ihre SIEM- und CASB-Systeme gezielt auf Anomalieerkennung.
- Setzen Sie aktives Threat Hunting ein, um Angriffe frühzeitig aufzudecken.
- Automatisierte Konfigurationsprüfungen, insbesondere bei Cloud-Containern (z. B. Azure Blob).
- Umfassendes API-Sicherheitsmanagement inklusive Rotation, Überwachung und SIEM-Integration.
- Strikte Geheimnisverwaltung mit MFA- und Key-Rotation-Richtlinien.
Organisatorische Maßnahmen
- Reduzieren Sie Cloud-Zugriffsrechte nach dem Least-Privilege-Prinzip.
- Kontrollieren und dokumentieren Sie konsequent die Nutzung von Cloud-Diensten.
- Schulen Sie Ihre Mitarbeiter regelmäßig zu Cloud-spezifischen Phishing-Methoden.
Tipps für Ihre Sicherheit
- Cloud-Audit-Logs aktivieren:
Microsoft 365 Unified Audit Log, AWS CloudTrail, Google Workspace Audit-Logs. - CASB-/SIEM-Policies prüfen:
Überwachung ungewöhnlicher Datenmengen, geografische Zugriffe und ungewöhnliche Login-Versuche. - Schatten-IT überwachen:
Einsatz von CASB-Lösungen (z. B. Microsoft Defender for Cloud Apps), Netzwerküberwachungstools wie Cisco Umbrella. - Awareness schaffen:
Regelmäßige Phishing-Simulationen und Workshops. - DFIR-Policy entwickeln:
Klare Richtlinien für Incident Response inklusive Eskalationsprozess und externer Experteneinbindung.
Lessons Learned: Cloud-Sicherheit verbessern
- Automatisierte Konfigurationsprüfungen für Cloud-Container.
- Umfassendes API-Sicherheitsmanagement mit Rotation und Überwachung.
- Strikte Geheimnisverwaltung und regelmäßige Key-Rotation.
- Maßgeschneiderte Incident Response Playbooks für Cloud-Umgebungen.
Quelle: FireEye, Mandiant, Google TAG, Kroll Reports
Fazit: Vorsicht vor blinden Flecken in der Cloud
Cloud-Technologien bieten großartige Chancen, doch auch neue Einfallstore für Angriffe. „Living off the Cloud“ nutzt genau diese blinden Flecken, um Unternehmen unbemerkt anzugreifen. Mit klaren technischen und organisatorischen Maßnahmen, regelmäßigen Mitarbeiterschulungen und einer guten Incident Response-Strategie können Sie die Risiken deutlich minimieren.
DigiFors begleitet Unternehmen genau bei diesen Herausforderungen – von präventiven Maßnahmen bis hin zur professionellen Reaktion im Ernstfall.
