Pressemitteilung von Tenable

Tenable Research deckt allgegenwärtige Fehlkonfigurationen in Cloud-Umgebungen auf, die kritische Daten und vertrauliche Informationen gefährden

---

---

COLUMBIA, Md. (23. Juni 2025) - Tenable® , das Unternehmen für Exposure-Management, hat heute seinen Cloud Security Risk Report 2025 veröffentlicht. Die Untersuchung ergab, dass 9 % der öffentlich zugänglichen Cloud-Speicher sensible Daten enthalten, von denen 97 % als geheim oder vertraulich eingestuft sind. Derartige Sicherheitsschwächen erhöhen das Risiko eines Missbrauchs, insbesondere wenn sie zusammen mit Fehlkonfigurationen oder eingebetteten Secrets auftreten.

Cloud-Umgebungen sind einem deutlich erhöhten Risiko durch offengelegte sensible Daten, Fehlkonfigurationen, zugrunde liegende Schwachstellen und unsachgemäß gespeicherte Secrets (wie Passwörter, API-Schlüssel und Zugangsdaten) ausgesetzt. Der Cloud Security Risk Report 2025 enthält eine detaillierte Analyse der vorrangigen Cloud-Sicherheitsprobleme, die sich auf Daten, Identitäten, Workloads und KI-Ressourcen auswirken, und bietet praktische Strategien zur Risikominderung, mit denen Unternehmen Risiken proaktiv reduzieren und kritische Lücken schließen können.

Einige weitere wichtige Ergebnisse aus dem Report:

- In verschiedenen Cloud-Ressourcen gefundene Secrets setzen Unternehmen Risiken aus: Mehr als die Hälfte der Unternehmen (54 %) haben mindestens ein Secret direkt in den Task-Definitionen von Amazon Web Services (AWS) Elastic Container Service (ECS) gespeichert - und damit einen direkten Angriffspfad geschaffen. Ähnliche Probleme wurden bei Unternehmen festgestellt, die Google Cloud Platform (GCP) Cloud Run (52 %) und Microsoft Azure Logic Apps-Workflows (31 %) einsetzen. Besorgniserregend ist, dass 3,5 % aller AWS Elastic Compute Cloud (EC2)-Instanzen Secrets in Benutzerdaten aufweisen - angesichts der weit verbreiteten Nutzung von EC2 ein erhebliches Risiko.
- Die Sicherheit von Cloud-Workloads verbessert sich, doch toxische Kombinationen bestehen weiterhin: Zwar ist die Anzahl der Unternehmen mit einer "toxischen Dreierkombination in der Cloud" - Workloads, die öffentlich zugänglich, hochgradig anfällig und mit weitreichenden Berechtigungen verbunden sind - von 38 % auf 29 % zurückgegangen, aber dennoch stellt diese gefährliche Kombination nach wie vor ein erhebliches und verbreitetes Risiko dar.
- Die Verwendung von Identitätsanbietern (IdPs) allein reicht nicht aus, um Risiken auszuschließen: 83 % der AWS-Organisationen folgen Best Practices und setzen Identity-Provider-Dienste (IdPs) zur Verwaltung ihrer Cloud-Identitäten ein. Doch aufgrund zu laxer Standardeinstellungen, übermäßiger Berechtigungen und unbefristeter Zugriffsrechte sind sie dennoch nach wie vor identitätsbasierten Bedrohungen ausgesetzt.

"Trotz der Sicherheitsvorfälle, die wir in den letzten Jahren erlebt haben, lassen Unternehmen weiterhin kritische Cloud-Assets - von sensiblen Daten bis hin zu Secrets - durch vermeidbare Fehlkonfigurationen ungeschützt", erklärt Ari Eitan, Director of Cloud Security Research bei Tenable.

"Der Erstzugang ist dabei für Angreifer oft einfach: Sie nutzen öffentlichen Zugriff aus, stehlen eingebettete Secrets oder machen sich überprivilegierte Identitäten zunutze. Damit diese Lücken geschlossen werden können, benötigen Sicherheitsteams vollständigen Einblick in ihre Umgebungen und müssen in der Lage sein, Behebungsmaßnahmen zu priorisieren und zu automatisieren, bevor Bedrohungen eskalieren. Die Cloud erfordert ein kontinuierliches, proaktives Risikomanagement und keine reaktiven Ad-hoc-Lösungen."

Der Report reflektiert die Ergebnisse des Tenable Cloud Research Teams, die auf Telemetriedaten aus Workloads in verschiedenen Public Cloud- und Unternehmensumgebungen basieren und von Oktober 2024 bis März 2025 analysiert wurden. Um den Report herunterzuladen, besuchen Sie bitte https://de.tenable.com/cyber-exposure/tenable-cloud-security-risk-report-2025

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt