Angriff auf ein Unternehmen der „Big 4“
Im Oktober 2025 wurde bekannt, dass Ernst & Young (EY), eines der weltweit größten Beratungsunternehmen, aufgrund einer Fehlkonfiguration während einer Cloud-Migration auf Microsoft Azure versehentlich ein umfangreiches, vier Terabyte umfassendes SQL-Server-Backup im öffentlichen Internet zugänglich gemacht hat.
Das betroffene Backup enthielt nicht nur harmlose Metadaten: Angeblich waren auch API-Schlüssel, Sitzungstoken, Anmeldedaten für Service-Accounts, interne Datenbankschemata und möglicherweise auch Benutzeranmeldedaten und Kundendaten enthalten. Da die Datei öffentlich zugänglich war, also „im offenen Internet“, war das Risiko real. Jeder Scan-Mechanismus (ob böswillig oder nicht), der die exponierten Speicher-Buckets durchsucht, hätte die Daten innerhalb von Sekunden auffinden können.
Obwohl keine Hinweise auf einen Missbrauch bekannt sind (keine bestätigten Fälle von massenhaftem Datendiebstahl oder Ransomware-Angriffen infolge dieser Datenpanne), stellt die Offenlegung an sich bereits einen schwerwiegenden Verstoß gegen das Vertrauensprinzip, die Datenhygiene und bewährte Sicherheitsverfahren dar. Für das Image eines Unternehmens von der Größe und mit den Ressourcen von EY ist ein solcher Vorfall absolut verheerend und macht eines ganz deutlich: Auch Cloud-Migrationen nach dem „Secure-by-Design“-Prinzip bieten keine hundertprozentige Sicherheit.
Dieser Vorfall zeigt, dass selbst eine erstklassige Sicherheitskultur durch einfache menschliche Fehler oder Fehlkonfigurationen versagen kann. Aus einem Cloud Data Lake wird dann eine öffentlich zugängliche Datenquelle. Der Vorfall bei EY ist mehr als nur beunruhigend. Er sollte ein Weckruf für Unternehmen auf der ganzen Welt sein: In Cloud-Umgebungen darf Sicherheit niemals als inhärent vorausgesetzt werden. Ohne kontinuierliche, automatisierte Transparenz und Sicherheitsvorkehrungen können leistungsstarke Plattformen zum Risiko werden – manchmal mit katastrophalen Folgen. Kleine Versäumnisse können zu verheerenden Cyberangriffen führen.
Digitale Infrastrukturen sind erheblichen Sicherheitsbedrohungen ausgesetzt
Die rasante Zunahme der Cloud-Nutzung in den vergangenen Jahren hat nicht nur die digitale Infrastruktur verändert, sondern auch die Angriffsfläche vergrößert. Laut einem Bericht aus dem Jahr 2025 ist die Anzahl der Cyberangriffe pro Woche und Unternehmen stark angestiegen.
Unternehmen erleben im Schnitt 1.925 Angriffe pro Woche – das entspricht einem Anstieg um 47 % seit 2024. Die Zahl der Ransomware-Angriffe stieg allein im ersten Quartal 2025 um 126 %. Viele dieser Angriffe haben Cloud-Systeme im Visier. Rund 80 % der Unternehmen melden inzwischen mindestens einen Cloud-Angriff pro Jahr.
Fehlkonfigurationen gehören zu den häufigsten Ursachen: Eine Umfrage zeigt, dass etwa 23 % der Cloud-bezogenen Vorfälle auf Fehlkonfigurationen zurückzuführen sind, während menschliche Fehler mehr als die Hälfte aller Sicherheitsverletzungen im Zusammenhang mit der Cloud verursachen. Darüber hinaus verschlüsselt nur ein kleiner Teil der Unternehmen erfolgreich den Großteil seiner Cloud-Daten. Dieser Trend ist besorgniserregend, wenn man bedenkt, dass über 54 % der in der Cloud gespeicherten Daten sensibel sind.4
Gleichzeitig laufen auch die Angriffe immer häufiger automatisiert ab. Sie sind skalierbar und es wird immer schwieriger, sie zu erkennen. Angreifer nutzen mittlerweile routinemäßig gestohlene Anmeldedaten, automatisierte Scans und sogar KI, um Cloud-Umgebungen in großem Umfang zu durchsuchen.
Die Cloud ist zum Rückgrat der Unternehmensinfrastruktur geworden. Doch mit ihrer zunehmenden Nutzung haben auch das Ausmaß, die Häufigkeit und die Komplexität von Angriffen zugenommen. Das Cloud-Zeitalter erfordert mehr als die üblichen Sicherheitsmaßnahmen. Neue Ansätze, neue Tools und kontinuierliche Schutzmaßnahmen sind unverzichtbar.
XSIAM als optimale Lösung gegen Cyberbedrohungen
Hier kommen Plattformen wie Cortex XSIAM ins Spiel. XSIAM von Palo Alto Networks wurde entwickelt, um genau die Risiken zu managen, die EY und auch anderen zum Verhängnis wurden.
Im Wesentlichen bietet XSIAM eine kontinuierliche, automatisierte Überwachung und Erkennung von Fehlkonfigurationen, abnormem Verhalten und potenziellen Sicherheitsrisiken in Cloud-Umgebungen, Data Lakes, Anwendungs-Backends, Speicher-Buckets, Identitäts- und Zugriffssystemen, APIs und mehr.
Es kombiniert Protokollzusammenfassungen, Verhaltensanalyse, Identitätserkennung und kontextbezogene Alarme, um Transparenz über die Vorgänge zu schaffen – nicht nur intern, sondern auch im öffentlichen Internet.
Während herkömmliche Sicherheitstools häufig auf manuelle Überprüfungen oder regelmäßige Scans angewiesen sind, bietet XSIAM eine Echtzeit-Risikobewertung, die sich an den Vorgehensweisen von Angreifern orientiert. Sicherheitsteams müssen nicht mehr auf eine vierteljährliche Überprüfung warten, um ein falsch konfiguriertes Backup zu entdecken, sondern erhalten umgehend eine Warnmeldung. Dank integrierter automatischer Erkennung, Reaktionskoordination und Compliance-Berichterstellung verkürzt XSIAM die mittlere Erkennungszeit (MTTD) und die durchschnittliche Reaktionszeit (MTTR) erheblich. Das Bedrohungsmanagement reduziert Sicherheitslücken um bis zu 99 % und entlastet damit die Sicherheitsteams.
Über die Bedrohungserkennung hinaus lässt sich XSIAM in das Identitäts- und Zugangsmanagement (IAM), das Berechtigungsmanagement, Verschlüsselungsschlüsselspeicher und Tools zur Orchestrierung der Cloud-Infrastruktur integrieren. Das unterstützt automatisierte Gegenmaßnahmen, die Durchsetzung von Richtlinien und die Automatisierung bewährter Sicherheitspraktiken.
Die wichtigsten Funktionen von Cortex XSIAM
Cortex XSIAM bündelt wesentliche SOC-Funktionen in einer einzigen Plattform:
- Security Information and Event Management (SIEM): Protokollverwaltung, Korrelation, Alarme, Berichterstellung und langfristige Datenspeicherung
- Threat Intelligence Platform (TIP): Fasst Bedrohungsinformationen zusammen und wertet sie aus, einschließlich Unit 42®-Feeds; liefert Informationen für Warnmeldungen und tauscht Daten mit Tools von Drittanbietern aus
- Endpoint Detection and Response (XDR): Sammelt Telemetriedaten aus beliebigen Quellen für allgemeine Erkennungsaufgaben und für erstklassige Erkennungen auf der Grundlage des MITRE ATT&CK Frameworks
- Endpoint Protection Platform (EPP): Blockiert Exploits, Malware und dateilose Angriffe und stellt gleichzeitig vollständige Endpunkt-Telemetriedaten für die Reaktion bereit
- Attack Surface Management (ASM): Analysiert das System aus der Perspektive eines Angreifers, einschließlich Asset Discovery, Schwachstellenanalyse und Risikomanagement
- Identity Threat Detection and Response (ITDR): Erkennt Identitätsbedrohungen mithilfe von Machine Learning und Verhaltensanalysen, um kompromittierte Benutzerkonten oder Insider zu ermitteln und zu kennzeichnen
- Security Orchestration, Automation and Response (SOAR): Automatisiert Arbeitsabläufe anhand von Hunderten festgelegter Szenarien und einem Drag-and-Drop-Editor zur benutzerspezifischen Anpassung
- Cloud Detection and Response (CDR): Korreliert Cloud-Protokolle und andere Daten für eine umfassende Erkennung und Reaktion in hybriden Umgebungen
- Management, Berichterstellung und Compliance: Zentrale Konfiguration, Überwachung, Berichterstellung und Richtlinienverwaltung
Vorteile von XSIAM als Cyber-Defense-Plattform
XSIAM bietet folgende Vorteile:
- Volle Transparenz über Multi-Cloud- und Hybrid-Cloud-Umgebungen hinweg
- Proaktive statt reaktive Sicherheitsstrategie: Erkennung von Fehlkonfigurationen oder Sicherheitslücken, bevor Angreifer diese ausnutzen können
- Kontextbezogene Daten: Zuordnung von Daten nach Identität, Netzwerk, Speicher, Anwendungen und Benutzerverhalten, um Alarmmüdigkeit zu reduzieren und hochentwickelte Bedrohungen zu erkennen
- Automatisierung und Orchestrierung: höhere Reaktionsgeschwindigkeit, Isolierung betroffener Ressourcen und Reduktion menschlicher Fehler
- Durchsetzung von Compliance und Governance: Sensible Daten bleiben geschützt, der Zugriff gesichert und die gesetzlichen Anforderungen werden erfüllt
In einer Welt, in der die Komplexität der Cloud durch Container, Microservices, serverloses Computing und gemeinsam genutzte Speicher täglich zunimmt, ist eine Plattform wie XSIAM unverzichtbar. Sie ist das Rückgrat einer sicheren und widerstandsfähigen Cloud-Architektur.
Wie T-Systems Unternehmen unterstützt
Die Implementierung von XSIAM ist ein wichtiger erster Schritt. Aber für viele Unternehmen – besonders für solche ohne große interne Sicherheitsteams – bietet erst die Kombination aus XSIAM und Managed Security Services zukunftsfähige Sicherheit.
T-Systems hilft globalen Unternehmen, die Kapazitäten von XSIAM umfassend zu nutzen. Der Service beinhaltet die Verwaltung der Plattform, die Überwachung von Alarmen, die Einstufung von Vorfällen, die Durchführung kontinuierlicher Risikobewertungen und die Umsetzung von Gegenmaßnahmen. All diese Aufgaben übernehmen erfahrene Sicherheitsexperten.
Wenn Unternehmen XSIAM und alle damit verbundenen Vorgänge an T-Systems auslagern, profitieren sie von einer Überwachung rund um die Uhr, fachkundiger Reaktion auf Vorfälle und proaktiver Bedrohungssuche. Sie sichern sich Schutz auf Unternehmensniveau, ohne die Notwendigkeit, intern ein vollständiges Cyber Defense Center oder Security Operations Center (SOC) aufzubauen und mit Personal auszustatten. Noch wichtiger ist, dass Fehlkonfigurationen – die stillen Gefährder der Cloud-Sicherheit – nicht nur erkannt, sondern auch sofort behoben werden, wodurch die Verweildauer von Angreifern und der Schadensradius reduziert werden.
Darüber hinaus passen wir Sicherheitsrichtlinien, Compliance-Standards und Berichtsmechanismen an spezifische regulatorische Anforderungen und Branchen an (z. B. Finanzdienstleistungen, Gesundheitswesen, Fertigung), um unseren Kunden maximale Flexibilität bei höchster Sicherheit zu bieten. Viele Unternehmen, die sich in einer rasanten digitalen Transformation befinden, finden in diesem dualen Ansatz die perfekte Balance: Sie kombinieren robusten Schutz bei minimalem Aufwand und betrieblicher Ausfallsicherheit.
Quelle:
https://www.t-systems.com/de/de/insights/newsroom/experten-blogs/xsiam-and-fci-1132188