Cloud Security ist Geschäftskontinuität: Warum Observability das fehlende Glied ist

Cloud security

• 07.01.2026

Deutsche Unternehmen sehen sich zunehmenden Cloud-Bedrohungen ausgesetzt. Doch Observability und Breach Containment helfen dabei, Betrieb und Reputation zu schützen

Von Christoph Buschbeck, Regional Sales Director Central Europe bei Illumio

Die Cloud ist heute das digitale Rückgrat der deutschen Wirtschaft. Kaum ein Unternehmen kommt ohne sie aus – von der Entwicklung über die Produktion bis hin zum Vertrieb. Fällt die Cloud aus, leidet das Geschäft. Doch obwohl nahezu jeder auf die Cloud angewiesen ist, klafft eine gefährliche Lücke zwischen Cloud-Nutzung und Cloud Security.

Der Illumio Cloud Security Index bringt diese Diskrepanz ans Licht: Fast alle deutschen Unternehmen nutzen Cloud-Dienste und speichern sensible Daten dort. Doch 63 Prozent zweifeln daran, ob ihre Cloud-Sicherheit ausreicht. 96 Prozent befürchten, dass ein Angriff auf ihre Cloud ihren Betrieb stören würde, und jedes dritte Unternehmen rechnet sogar mit einem Stillstand.

Diese Sorgen sind berechtigt. Der BSI-Lagebericht 2024 stellt fest: Öffentliche Clouds stehen unter Dauerbeschuss und es hat bereits zahlreiche Vorfälle mit Datenverlust und Betriebsstörungen gegeben. In einer digitalisierten Wirtschaft, in der Uptime gleichbedeutend mit Wettbewerbsfähigkeit ist, entsteht so eine strategische Schwachstelle.

Cloud Security: Die eigentliche Gefahr lauert im Inneren

Viele Cyberangriffe beginnen mit einem einzigen Einstiegspunkt – etwa einem mit Ransomware infizierten Laptop, einer ausgenutzten Schwachstelle oder einem kompromittierten Dienstleister. Die wahre Gefahr liegt jedoch in dem, was danach passiert: Sobald Angreifer im Netzwerk sind, bewegen sie sich in der IT-Umgebung – ein Vorgehen, das als „lateral movement“ bezeichnet wird – und nehmen heimlich kritische Assets in Visier.

Diese Gefahr lässt sich am besten anhand einer Analogie erklären: Die klassische Perimeter-Sicherheit funktioniert wie eine Burgmauer. Sie hält viele Angreifer davon ab, einzudringen. Doch nicht alle. Was, wenn ein Angreifer die Mauer überwindet oder verkleidet (mit gestohlenen Zugangsdaten) durchs Burgtor spaziert? Dann kann er sich ungehindert durch das Innere der Festung bewegen und die Schatzkammer plündern.

Das Ausnutzen von lateralem Bewegungsspielraum ist einer der gefährlichsten Aspekte moderner Cloud-Angriffe. Laut dem Global Cloud Detection and Response Report 2025 haben 86 Prozent der deutschen Unternehmen im letzten Jahr Sicherheitsvorfälle mit lateraler Bewegung erlebt.

Alert Fatigue und der Preis des Zögerns

Die Herausforderung für deutsche Unternehmen besteht nicht nur in einer übermäßigen Abhängigkeit vom Perimeterschutz. Es fehlt vielmehr an Überblick über Datenströme im Netzwerk (Visibilität) und Reaktionsfähigkeit. Zwar setzen viele Organisationen bereits auf Lösungen für Detection & Response, doch sie kämpfen mit zu vielen Warnmeldungen, fehlendem Kontext und mangelnder Priorisierung. Sicherheitsteams werden allzu oft von der Anzahl der Warnmeldungen überwältigt und wissen nicht, was sie untersuchen sollen – oder wie. So gaben im Global Cloud Detection and Response Report 2025 73 Prozent der deutschen Führungskräfte an, dass ihre Sicherheitsteams mehr Alerts erhalten, als sie effektiv untersuchen können.

Die Folge: Kritische Bedrohungen bleiben zu lange unentdeckt. 93 Prozent der Unternehmen berichten laut demselben Report von Sicherheitsvorfällen, die auf übersehene oder nicht untersuchte Warnmeldungen zurückzuführen sind. Der finanzielle Schaden ist erheblich. Laut dem eingangs erwähnten Cloud Security Index liegt in Deutschland der durchschnittliche Schaden eines Cloud-Sicherheitsvorfalls bei 6,6 Millionen Euro.

• Illumio Global Cloud Detection and Response Report 2025
• Illumio eBook: Denken wie ein Angreifer
• Mehr zu Illumio Insights

Das Geschehen hinter der Mauer im Blick: Die Macht von Observability

Um Visibilität und Reaktionsfähigkeit in der Cloud zu gewährleisten, braucht es einen grundlegenden Strategiewechsel: Unternehmen müssen davon ausgehen, dass ihre Burgmauer früher oder später überwunden wird.

Wer sich effektiv verteidigen will, muss daher wie ein Angreifer denken und antizipieren, wie sich ein Angreifer bewegen würde, wo er sich verstecken und was er anvisieren würde. Dies erfordert einen Wandel von statischen Abwehrmaßnahmen hin zu dynamischer Wahrnehmung, wobei nicht nur der Perimeter, sondern auch die Wege innerhalb des Perimeters verstanden werden müssen. Aber Wahrnehmung allein reicht nicht aus. Visibilität mag zwar zeigen, dass etwas geschieht, aber ohne Kontext ist sie bedeutungslos. Um wirklich zu verstehen und effektiv reagieren zu können, müssen Unternehmen über Visibilität hinausgehen und Observability erreichen.

Observability ermöglicht es, Datenflüsse, Kommunikationsmuster und Beziehungen zwischen Workloads in Echtzeit zu visualisieren und zu analysieren. Sie liefert das nötige Kontextverständnis, um nicht nur zu erkennen, was innerhalb der IT-Umgebung geschieht, sondern auch, warum es geschieht – und was das für das Unternehmen bedeutet.

In der Burg-Analogie entspricht Observability dem Aufbau von Wachtürmen und Patrouillen im Inneren der Mauern: Systeme, die Bewegungen erkennen, Anomalien erkennen, Alarm schlagen und Verteidiger warnen, bevor der Eindringling die Schatzkammer erreicht.

In der heutigen Bedrohungslage ist diese mit Kontext angereicherte Visibilität in Echtzeit kein „Nice-to-have“ mehr, sondern absolut entscheidend.

Angriffe eindämmen: Segmentierung als Verteidigungsstrategie

Wird verdächtiges Verhalten erkannt, ist die Eindämmung des Angriffs (Breach Containment) der nächste entscheidende Schritt. Dabei kommt es aber nicht nur auf Geschwindigkeit an. Zwar ist eine schnelle Reaktion in reaktiven Szenarien unerlässlich, allerdings kann Containment auch proaktiv erfolgen, mit dem Ziel, Angreifern schon vor einem Breach die freie Bewegung zu verwehren.

Segmentierung spielt dabei eine zentrale Rolle, sowohl in der proaktiven als auch in der reaktiven Verteidigung. Sie schafft interne Sicherheitsbarrieren (bildlich gesprochen: unzählige feste Türen und Mauern innerhalb der Burg). Damit wird der Bewegungsradius des Angreifers präventiv massiv eingeschränkt. Im proaktiven Szenario bedeutet das: vordefinierte Vertrauenszonen, die sicherstellen, dass selbst wenn ein Angreifer eindringt, er sich nicht ungehindert weiterbewegen kann. Im reaktiven Fall ermöglicht Segmentierung die gezielte Quarantäne der infizierten Systeme – was wiederum bedeutet, das kritische Applikationen weiterlaufen, selbst wenn der Angreifer noch in der IT-Umgebung aktiv ist. Dieser Ansatz – bekannt als Breach Containment – reduziert Downtime deutlich und trägt wesentlich dazu bei, die Geschäftskontinuität zu sichern.

Dass der oben erwähnte grundlegende Strategiewechsel hin zu Observability und Breach Containment in der Cloud weit vorangeschritten ist, beweist Microsoft. Der Konzern nutzt Illumio Insights und Illumio Segmentation in seiner gesamten globalen IT-Infrastruktur. Das zeigt: Observability und Breach Containment sind längst nicht mehr nur Theorie, sondern praxiserprobte Realität, die auch im Maßstab von Microsoft funktioniert.

Von der Festung zur Resilienz: Ein neues Sicherheitsparadigma in der Cloud Security

Die aktuelle Bedrohungslage verdeutlicht eines ganz klar: Unzureichende Cloud Security ist eine Schwachstelle ersten Ranges für deutsche Unternehmen. Cloud-Sicherheit bedeutet heute, die digitale Handlungsfähigkeit eines Unternehmens strategisch abzusichern. Wer Cloud Security nicht genug priorisiert, riskiert Downtime, Kosten und Reputationsschäden.

Unternehmen, die den Strategiewechsel hin zu Observability und Breach Containment konsequent in ihrer Sicherheitsstrategie verankern, schaffen die Grundlage für operative Resilienz, ganz gleich, wie komplex ihre Cloud- und On-Prem-Umgebung ist.

Sie drehen den Spieß um: Anstatt im Blindflug zu hoffen, dass die Burgmauern alle Angreifer draußen halten, gewinnen die Verteidiger die Kontrolle über das Innere und minimieren so den potenziellen Schaden auf ein überschaubares Maß. Dadurch wird ein Sicherheitsvorfall zu einem begrenzten Ereignis – und Unsicherheit zu vorhersagbarer Resilienz.

Über Illumio

• ►
  Warum ist Observability in der Cloud Security wichtig?

  Observability geht über Visibilität hinaus und stellt Kontext bereit. Observability ermöglicht die Analyse von Datenflüssen und Kommunikationsmustern in Echtzeit, sodass Sicherheitsteams Bedrohungen frühzeitig erkennen und effektiv darauf reagieren können.

• ►
  Welche Risiken bestehen bei unzureichender Cloud Security?

  Unzureichende Cloud Security kann zu Betriebsstörungen, Datenverlust und erheblichen finanziellen Schäden führen. Zudem besteht die Gefahr von Reputationsschäden und Downtime.

• ►
  Was ist unter 'lateral movement' zu verstehen?

  Laterale Bewegung in der Cybersicherheit bezieht sich auf die Techniken, mit denen Angreifer nach dem ersten Zugriff durch ein Netzwerk navigieren. Anstatt ein einzelnes System anzugreifen, bewegen sich Angreifer lateral, um weitere Ressourcen zu identifizieren und zu kompromittieren, ihre Berechtigungen zu erweitern und ihre Position innerhalb der IT-Umgebung auszubauen.

• ►
  Welche Rolle spielt Segmentierung bei der Verteidigung gegen Angriffe?

  Segmentierung schafft interne Sicherheitsbarrieren, die die Bewegung von Angreifern einschränken, wodurch sich Angriffe weniger leicht ausbreiten können und im Falle eines Angriffs nur Teile des Netzwerks betroffen sind.

• ►
  Wie reagieren Sicherheitsteams auf 'Alert Fatigue'?

  Sicherheitsteams haben mit einer Flut von Warnmeldungen zu kämpfen und müssen diese effizient priorisieren, um kritische Bedrohungen nicht zu übersehen und effektiv darauf zu reagieren. Graph-basierte Ansätze können dabei helfen, Risiken in Hybrid- und Multi-Cloud-Umgebungen zu visualisieren und zu priorisieren, und bieten enorme Vorteile in Bezug auf Effizienz und Automatisierung.