Die Digitalisierung hat die Nutzung von Software-as-a-Service (SaaS) Lösungen weltweit stark vorangetrieben. Unternehmen verschiedener Größenordnungen verlassen sich auf Dienste, die in der Cloud gehostet werden, um Arbeitsprozesse zu optimieren, Daten zu speichern und Kommunikation zu ermöglichen. Mit dem zunehmenden Einsatz von Cloud-Diensten wachsen jedoch auch die Risiken durch Cyberangriffe, die explizit auf SaaS-Anbieter und deren Infrastrukturen abzielen. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich vor einer wachsenden Bedrohung gewarnt, die insbesondere Anwendungsschlüssel und Fehlkonfigurationen in Cloud-Umgebungen ausnutzt, um unautorisierten Zugriff auf kritische Systeme zu erlangen. Im Fokus steht dabei insbesondere der Fall des Unternehmens Commvault, das eine aktuelle Sicherheitswarnung publizierte.
Commvault, ein bedeutender Anbieter von Backup-Lösungen in Microsoft Azure-Cloud-Umgebungen, wurde Ziel eines Angriffs, bei dem Angreifer möglicherweise auf Anwendungsschlüssel für Commvaults Microsoft 365 Backup-Lösung zugreifen konnten. Dadurch erhielten die Cyberkriminellen möglicherweise Zugang zu den Microsoft 365-Umgebungen der Kunden von Commvault. Die US-Sicherheitsbehörde weist darauf hin, dass es sich bei diesem Vorfall keineswegs nur um einen Einzelfall handelt, sondern dass eine breitere Kampagne existiert, die SaaS-Anwendungen und deren Cloud-Infrastrukturen ins Visier nimmt. Dabei werden bewährte Sicherheitslücken wie fehlerhafte Standardkonfigurationen und überhöhte Zugriffsrechte systematisch ausgenutzt. Besonders besorgniserregend war die Entdeckung, dass Angreifer eine bislang unbekannte Sicherheitslücke in der Web Server Software von Commvault (CVE-2025-3928) ausnutzten.
Diese Schwachstelle ermöglicht es einem gut positionierten Angreifer, mittels Authentifizierung die Ausführung von sogenannten Web Shells durchzuführen – in der Folge können Schadprogramme eingeschleust und persistent Zugriff auf Systeme zurückbehalten werden. Solche Web Shells gelten als besonders tückisch, da sie schwer zu entdecken sind und umfassende Kontrolle ermöglichen. Laut Commvault wurde der Angriff offenbar von einem staatlich unterstützten Akteur durchgeführt, was die Tragweite und das Ziel des Zugriffs verdeutlicht: Die Angreifer versuchen, sensible Anwendungsanmeldeinformationen zu erbeuten, um sich unerlaubt in Kundensysteme einzuloggen. Dieser Vorfall unterstreicht eine deutlich sichtbare Schwäche bei der Absicherung von SaaS-Plattformen, die mit der zunehmenden Komplexität von Cloud-Infrastrukturen und den verwendeten Berechtigungsmodellen einhergeht. Insbesondere Sicherheitslücken, die durch falsch konfigurierte Zugriffsrechte und standardmäßige Einstellungen entstehen, erleichtern es Angreifern, ihre Präsenz möglichst ungehindert einzurichten.
Die Verwaltung von Anwendungsschlüsseln sowie Berechtigungen innerhalb von Microsoft Azure und anderen Cloud-Anbietern gehört daher heute zu den Kernaufgaben moderner IT-Sicherheitsteams. Fehlkonfigurationen oder mangelhaftes Monitoring können schnell zu schwerwiegenden Sicherheitsvorfällen führen, die erhebliche finanzielle und reputative Schäden bedingen. Aus Sicht von CISA und Commvault sind verschiedene strategische Maßnahmen empfehlenswert, um derartigen Bedrohungen zu begegnen. Ein proaktives Monitoring der Audit-Logs und Sign-In-Daten in Microsoft Entra sowie die regelmäßige Überprüfung der Anwendungskonten und Service-Prinzipale auf übermäßige Berechtigungen erhöhen die Chance, unautorisierte Aktivitäten frühzeitig zu erkennen. Die Implementierung strengerer Zugangsrichtlinien, zum Beispiel durch die Einschränkung von IP-Adressen und die Nutzung von Conditional-Access-Policies, ist eine wirksame Methode, um unbefugte Authentifizierungsversuche zu verhindern.
Zudem empfiehlt sich eine Minimierung des Verwaltungszugangs auf vertrauenswürdige Netzwerke und Systeme, um die Angriffsoberfläche für Threat Actor weiter einzuschränken. Die Verwendung von Web Application Firewalls ist ein weiterer wichtiger Schritt, um Angriffe wie Pfadmanipulationen (Path Traversal) und verdächtige Dateiuploads abzuwehren. Die Sicherheitslage für SaaS-Anbieter und deren Kunden bleibt angesichts der zunehmenden Komplexität von Cloud-Architekturen angespannt. Bedrohungsakteure spielen immer raffiniertere Techniken aus, um kritische Schlüssel und Zugangsdaten zu stehlen und so die Kontrolle über Kundenumgebungen zu übernehmen. Dabei werden häufig bereits bekannte Schwachstellen oder Fehlkonfigurationen ausgenutzt, deren Behebung manchmal nur unzureichend umgesetzt wird.
Die konsequente Anwendung von Prinzipien wie Least Privilege, die regelmäßige Aktualisierung und Überprüfung von Zugriffsrechten sowie die kontinuierliche Überwachung der Cloud-Umgebungen sind entscheidende Schritte, um die Sicherheit zu erhöhen. Die Auflistung von CVE-2025-3928 in CISA’s Known Exploited Vulnerabilities Catalog reflektiert die Ernsthaftigkeit dieses Problems und unterstreicht die Notwendigkeit rascher und koordinierter Gegenmaßnahmen. Neben den technischen Maßnahmen wird auch eine verstärkte Sensibilisierung und Schulung von IT-Teams empfohlen, um Angriffe auf Anwendungsschlüssel und Cloud-Fehlkonfigurationen frühzeitig zu erkennen und zu verhindern. Die SaaS-Branche bewegt sich in einem dynamischen Umfeld, in dem Innovation und Schnelligkeit hohe Priorität besitzen. Dies darf jedoch nicht zu Lasten der Sicherheit gehen.
Sicherheitsverantwortliche müssen daher eine Balance zwischen Benutzerfreundlichkeit, Agilität und Schutzbedürfnissen finden und entsprechende Risiken aktiv managen. Die Zusammenarbeit zwischen SaaS-Anbietern, Cloud-Plattformbetreibern und Sicherheitsbehörden wie CISA spielt dabei eine wichtige Rolle, um Bedrohungsinformationen zu teilen und die Angriffsflächen gemeinsam zu reduzieren. Insgesamt zeigt der Commvault-Fall eindrücklich, wie Angreifer durch die gezielte Ausnutzung sensibler Anwendungsschlüssel und Cloud-Fehlkonfigurationen in der Lage sind, weitreichende Zugriffe zu erlangen. Unternehmen, die SaaS-Anwendungen nutzen oder bereitstellen, sind daher gut beraten, ihre Sicherheitsstrategien kritisch zu überprüfen, interne Kontrollmechanismen zu stärken und auf aktuelle Bedrohungen flexibel zu reagieren. Nur durch eine ganzheitliche Sicherheitsstrategie lassen sich die Risiken solcher komplexer Angriffe nachhaltig minimieren.
Cloud-Sicherheit muss als fortlaufender Prozess verstanden werden, der stetige Anpassung und Wachsamkeit erfordert, um neue Angriffsmethoden frühzeitig zu erkennen und zu neutralisieren.
