Neuer CNAPP-Standard als Basis der Hyper-Priorisierung und autonomen Behebung im Cloud-Maßstab

Die meisten modernen CNAPP-Plattformen eignen sich gut, „Cloud“-Sicherheitssignale über weitläufige und flüchtige Angriffsfläche hinweg zu aggregieren und zu korrelieren – jedoch sind sie allein für sich noch keine Plattformen zur Behebung von Schwachstellen

[datensicherheit.de, 28.06.2026] Shrikant Dhanawade, Director „Product Management“, „Cloud-Security“ bei Qualys, betont in seiner aktuellen Stellungnahme, dass sich auf Künstliche Intelligenz (KI) stützende Erkennung eine Schwelle überschritten habe: IT-Sicherheitsteams könnten nun Schwachstellen, Fehlkonfigurationen und aktive Angriffspfade mit einer Geschwindigkeit und in einem vor einigen Jahren noch unvorstellbaren Umfang aufdecken. Das Problem bestehe nicht mehr darin, Risiken zu finden oder zu erkennen, sondern darin, „sie schnell genug zu beheben, damit es wirklich etwas bewirkt“. „Cloud“-Bereitstellungen verstärkten diesen Druck auf besondere Weise: „Die Infrastruktur, die Sicherheitsteams eilig beheben müssen, verändert sich, skaliert, wird neu bereitgestellt und neu konfiguriert – und das schneller, als es manuell möglich ist.“ Die Frage, die sich jedes Sicherheitsteam derzeit stellt, lautet demnach: „Wie können wir in ,Cloud’-Umgebungen, die niemals stillstehen, Prioritäten setzen und Abhilfemaßnahmen mit der gleichen Geschwindigkeit durchführen, mit der die Erkennung erfolgt?“ Seine ausführliche, ungekürzte Ausarbeitung liegt als Gastbeitrag zum Download vor.

Shrikant Dhanawade bringt die Herausforderung auf den Punkt: Die Infrastruktur verändert sich ständig über verschiedene Bereitstellungsarten hinweg, die jeweils unterschiedliche Risikomodelle mit sich bringen

Cyberangreifer jagen der sich rasant entwickelnden „Cloud“ dicht hinterher

„Fragt man die meisten Sicherheitsteams nach ihrer größten Herausforderung in der ,Cloud’, werden sie etwas über mangelnde Transparenz, zu viele Ressourcen, zu viele ,Tools’ und zu viele Daten sagen“, berichtet Dhanawade.

• Transparenz sei wohl ein echtes Problem – aber es sei nicht das schwierigste. „Das schwierigste Problem ist, dass die ,Cloud’-Infrastruktur von Natur aus dynamisch ist. Dadurch werden die Annahmen untergraben, auf denen traditionelle Sicherheitsprogramme basierten.“

Das „Weaponization Window“ (d.h. die Zeitspanne von der Veröffentlichung einer CVE bis zum aktiven cyberkriminellen Einsatz eines „Exploits“ in der Praxis) habe sich in den letzten Jahren von Wochen auf nur noch Stunden verkürzt. Dhanawade warnt: „KI unterstützt nicht nur Verteidiger, sondern hilft auch Angreifern dabei, Angriffspfade schneller zu entdecken und abzubilden, als es jede von Menschen durchgeführte Analyse nachhalten kann.“ Statische Angriffspfadmodelle, welche nur wöchentlich aktualisiert werden, seien dann bereits veraltet.

Sicherheitsprogramme auf Basis periodischer Bewertungszyklen können mit ständig weiterentwickelter Infrastruktur nicht Schritt halten

Die Gemengelage: „Ein für einen ,Batch-Job’ gestarteter Container kann maximal vier Minuten bestehen bleiben. Eine serverlose Funktion wird in Millisekunden ausgeführt. Eine Auto-Scaling-Gruppe kann als Reaktion auf einen Traffic-Anstieg Dutzende von Instanzen hinzufügen und entfernen, noch bevor ein wöchentlicher Scan überhaupt ausgeführt wurde.“

• Herkömmliche Schwachstellen-Scanner seien jedoch für eine Welt entwickelt worden, „in der Ressourcen lange genug vorhanden waren, um gescannt, bewertet, priorisiert und gepatcht zu werden“. In „Cloud“-Umgebungen könne die Ressource jedoch bereits verschwunden sein, bevor die Priorisierung überhaupt beginnt.

Er führt aus: „Dies ist kein Problem der Scan-Häufigkeit, das durch schnellere Scanner behoben werden kann. Es handelt sich um eine architektonische Diskrepanz. Sicherheitsprogramme, die auf periodische Bewertungszyklen angewiesen sind, können mit der sich ständig weiterentwickelnden Infrastruktur nicht Schritt halten.“ Es müsse sich folglich nicht nur der Scan-Zeitplan, sondern auch das Reaktionsmodell ändern.

Vergrößerung der Angriffsfläche aufgrund der Vielfalt der Bereitstellungsarten

Moderne „Cloud“-Umgebungen seien nicht homogen. Jede Bereitstellungsart weise ein anderes Sicherheitsmodell, andere Abhilfemaßnahmen und ein anderes Risikoprofil auf. Eine anfällige Anwendung werde verschoben und skaliert, um die Verfügbarkeit zu verbessern. Ein einheitlicher „Workflow“ für das Schwachstellen-Management, der alle diese Fälle gleichbehandelt, sei für die meisten von ihnen ungeeignet.

• Die Erkennungsleistung einer „Cloud Native Application Protection Platform“ (CNAPP) sei gut – aber es stelle sich die Frage, ob die Geschwindigkeit ausreicht. Die meisten modernen CNAPP-Plattformen seien zwar hervorragend darin, „Cloud“-Sicherheitssignale über diese weitläufige und flüchtige Angriffsfläche hinweg zu aggregieren und zu korrelieren – indes seien sie jedoch keine Plattformen zur Behebung von Schwachstellen.

Die Lücke zwischen einem einheitlichen Befund und einer behobenen Schwachstelle werde nach wie vor überwiegend durch einen manuellen Arbeitsablauf geschlossen. Es werde ein Ticket eröffnet, ein Team benachrichtigt, eine Änderung genehmigt, eine Bereitstellung durchgeführt und ein Scan zur Bestätigung erneut ausgeführt. In einer dynamischen „Cloud“-Umgebung dauere dieser Prozess Tage. „Bis das Ticket gelöst ist, wurde die Infrastruktur, die den Befund verursacht hat, möglicherweise bereits zweimal ersetzt.“

„Qualys TotalCloud™“ bietet sofortige Erkennung in Echtzeit auf Basis von „Cloud“-Ereignissen

Dhanawade hat auch einen hauseigenen Lösungsansatz parat: „Qualys TotalCloud™“ sei eben entwickelt worden, um diese Lücke zu schließen. Die Erkennung erfolge sofort – in Echtzeit und auf Basis von „Cloud“-Ereignissen. Als einheitliche CNAPP-Lösung korreliere diese Lösung Signale zu Schwachstellen, Fehlkonfigurationen, Identitätsproblemen und Befunden zu sensiblen Daten zu einem einzigen, kontinuierlichen Risikobild und verknüpfe dieses Bild direkt mit der Behebung.

• Das Ergebnis sei eine Sicherheitslage, welche nicht nur mehr erkenne, sondern auch schneller reagiere. Von einer falsch konfigurierten IAM-Rolle („Identity und Access Management“) bis hin zu einem aktiv ausnutzbaren Angriffspfad stellten erstklassige CNAPP-Lösungen sicher, „dass jedes von der Erkennungs-Engine aufgedeckte Signal einen direkten, automatisierten Weg zur Behebung hat“.

Um diese Lücke zu schließen, müsse das korrelierte Signal eines CNAPP mit einer autonomen Behebungsfunktion verknüpft werden, welche mit der Geschwindigkeit und dem Umfang der „Cloud“ agieren kann.

Den Überblick behalten mittels Hyper-Priorisierung in Cloud-Umgebungen

„Eine CNAPP, die zwar innerhalb von Sekunden einen ausnutzbaren Angriffspfad aufdeckt, aber eine Woche benötigt, um ihn zu schließen, bietet kein angemessenes Sicherheitsergebnis!“, unterstreicht Dhanawade. Diese verursache lediglich einen größeren Rückstau. „Entscheidend ist nicht, wie viele Schwachstellen erkannt wurden, sondern wie lange sie offenblieben, so dass ein Angreifer sie ausnutzen konnte. Die manuelle Priorisierung ist der Hauptgrund dafür, dass sie so lange offenbleiben.“

• Eine ausgereifte CNAPP-Implementierung in einem Unternehmen könne wöchentlich Zehntausende von Befunden zutage fördern. Allein das „Cloud Security Posture Management“ (CSPM) generiere in großen Umgebungen üblicherweise Zehntausende Richtlinienverstöße. „Ohne konsequente Priorisierung sehen sich Sicherheitsteams einer unüberschaubaren Triage-Last gegenüber und greifen standardmäßig auf die Vorgehensweisen ,vom Ältesten zum Neuesten’ oder ,mit dem höchsten CVSS-Wert zuerst’ zurück.“ Dabei spiegele keine dieser Methoden das tatsächliche Risiko wider. Zudem ignorierten die meisten Unternehmen fast ein Drittel ihrer als „geringfügig“ eingestuften Warnmeldungen. Dies sei problematisch, da das ausschließliche Verlassen auf den Wert vom „Common Vulnerability Scoring System“ (CVSS) dazu führen könnte, „dass Warnmeldungen aufgrund falscher Annahmen übersehen werden, die eigentlich sofort isoliert und behoben werden müssten“.

Unternehmen, welche „Compliance“-Vorgaben und -Rahmenwerken wie NIST 800-53 unterliegen, müssten zudem die Anforderungen an eine kontinuierliche Überwachung und schnelle Reaktion berücksichtigen. „Die Lösung? Eine fortgeschrittene Priorisierung, die sich auf die wichtigsten ,Exploits’ konzentriert – eine Art ,Hyper-Priorisierung’ auf der Grundlage mehrerer Kriterien“, so Dhanawade.

Umfassende hochdynamische Neubewertung der Ressourcen im Risikokontext

Jede Ressource werde kontinuierlich anhand eines Live-Bedrohungs-Feeds neu bewertet, „während sich die Bedrohungslandschaft weiterentwickelt“. Dabei würden auch die folgenden Risikofaktoren berücksichtigt:

• Exposition
  „Ist die betroffene ,Workload’ mit dem Internet verbunden?“ „Ist der anfällige Port von außerhalb der VPC erreichbar?“ Eine kritische Schwachstelle bei einem isolierten internen Dienst unterscheide sich grundlegend von derselben Schwachstelle bei einem öffentlich zugänglichen Endpunkt mit Lastenausgleich.
• Identität und Zugriff
  „Verfügt die kompromittierte Workload über eine IAM-Rolle mit weitreichenden Berechtigungen?“ „Kann ein Angreifer, der diese Schwachstelle ausnutzt, auf andere Konten oder Regionen zugreifen oder Daten exfiltrieren?“ Der Auswirkungsbereich eines Angriffs hänge stark davon ab, wozu die „Workload“ berechtigt ist.
• Wege der lateralen Bewegung
  „Die Analyse von Angriffspfaden über die ,Cloud’-Topologie hinweg zeigt, welche Schwachstellen, wenn sie ausgenutzt werden, einen Weg zu den wertvollsten ,Assets’ bieten!“ So könne ein Befund mit niedrigem CVSS-Wert bei einer „Workload“ mit Netzwerkzugriff auf eine Produktionsdatenbank eine höhere Priorität haben als ein kritischer CVE-Befund auf einer isolierten Entwicklungsinstanz.
• Geschäftlicher Kontext
  „Nicht alle Ressourcen haben das gleiche Gewicht!“ Eine Schwachstelle im Zahlungsabwicklungsdienst, im Kundendatenspeicher oder in einer für die „Compliance“ kritischen „Workload“ erfordere ein anderes Maß an Reaktionsdringlichkeit als derselbe Befund in einem internen Entwicklungstool.
• Aktive Bedrohungsfeeds
  Laufzeitsensoren beobachteten tatsächliches verdächtiges Verhalten, ungewöhnliche Prozessausführungen, unerwartete Netzwerkverbindungen sowie Zugriffsmuster bei Anmeldedaten und erhöhten die Priorität der damit verbundenen Schwachstellen von „theoretisch“ auf „bestätigt – aktiv“.
• Ausgleichende Kontrollmaßnahmen
  Eine Schwachstelle, welche durch eine WAF-Regel (Web Application Firewall) abgedeckt ist, welche den spezifischen Angriffsvektor blockiert, oder die sich in einer Workload befindet, in der der anfällige Codepfad niemals ausgeführt wird, berge ein geringeres effektives Risiko. Durch die Berücksichtigung von Kontrollmaßnahmen werde verhindert, dass die Behebungswarteschlange von Schwachstellen dominiert werde, welche bereits gemindert wurden.

Fokussierung auf verstärkende Wechselwirkung von Risikofaktoren

Der Befund mit der höchsten Priorität sei nicht derjenige mit der höchsten Punktzahl in einer einzelnen Dimension, „sondern derjenige, bei dem mehrere Risikofaktoren zusammenkommen“. Nicht Tausende von Befunden, sondern nur Dutzende.

• „Wenn sie nicht behoben werden, stellen Schwachstellen und Fehlkonfigurationen einen glaubwürdigen Weg zu einer schwerwiegenden Sicherheitsverletzung dar. Dies ist die Liste, auf die die autonome Behebung zuerst reagieren sollte.“

Die Hyper-Priorisierung in der „Cloud“ gehe über eine genaue Bewertung hinaus. Sie sei unerlässlich, um eine Liste mit Tausenden von Schwachstellen auf die wenigen Dutzend zu reduzieren, welche aktuell in ihrer spezifischen Umgebung ein echtes, unmittelbar bevorstehendes und ausnutzbares Risiko darstellten.

Qualys-Fazit: Impulse für „Cloud“-Sicherheitsteams

Die autonome Fehlerbehebung in der „Cloud“ sei kein Schwarz-Weiß-Szenario. Bei Konfigurationsabweichungen sei eine vollständige Automatisierung möglich. Beim „Human-in-the-Loop“-Ansatz würden Änderungen der Arbeitslasten, die mit operativen Risiken verbunden sind, manuell überprüft. Bei neuartigen Bedrohungen, für die es noch kein „Playbook“ gibt, komme eine auf „Large Language Models“ (LLM) gestützte Triage zum Einsatz.

• Die „Cloud“-Sicherheit sei eine besondere Herausforderung, da die zu schützende Umgebung von Natur aus dynamisch sei. Dhanawade gibt zu bedenken: „Die Infrastruktur verändert sich ständig über verschiedene Bereitstellungsarten hinweg, die jeweils unterschiedliche Risikomodelle mit sich bringen. All dies wird von Teams verwaltet, die schneller agieren als ursprünglich von den Sicherheitsprogrammen vorgesehen.“

CNAPP biete Sicherheitsteams nun einen einheitlichen Überblick über die gesamte Umgebung. Durch die Hyper-Priorisierung könnten sie sich auf das Wesentliche konzentrieren. Die autonome Behebung von Sicherheitslücken ermögliche es ihnen, Risiken schnell zu beseitigen, „bevor diese ausgenutzt werden können“. Doch abschließend merkt Dhanawade noch an: „Keine dieser Maßnahmen reicht für sich allein aus! Zusammen bilden sie jedoch ein Sicherheitsprogramm, das mit den neuesten KI-gestützten ,Cloud’-Bedrohungen tatsächlich Schritt halten kann.“

Weitere Informationen zum Thema:

Qualys
About Qualys. / The leading provider of information security and compliance cloud solutions.

Qualys
All posts by Shrikant Dhanawade / Director, Product Management, Cloud Security, Qualys

Qualys, Shrikant Dhanawade, Juni 2026
Der neue Standard bei CNAPP: Hyper-Priorisierung und autonome Behebung im Cloud-Maßstab

datensicherheit.de, 27.05.2026
Die physische Dimension digitaler Resilienz angesichts kinetischer Angriffe auf Cloud-Infrastrukturen / Patrick Fetter macht deutlich, weshalb physische Angriffe auf „Cloud“-Infrastrukturen – von Drohnen-Attacken auf Rechenzentren bis hin zu Sabotageakten an Seekabeln – die digitale Resilienz der Unternehmen grundlegend in Frage stellen

datensicherheit.de, 24.05.2026
Digitale Souveränität: Europa erneuert seine Cloud-Infrastruktur für 180 Millionen Euro / Die „GITEX AI EUROPE 2026“ in Berlin soll führende Unternehmen zusammenbringen, welche Europas „Cloud“- und KI-Zukunft gestalten – darunter IONOS und Trend Micro mit praxisreifen Lösungen für die Anforderungen des Marktes

datensicherheit.de, 08.04.2026
Warum Datenschutz zum entscheidenden Kriterium für Cloud-Speicher wird / Trotz der weiten Verbreitung digitaler Dienste bleibt ein Teil der deutschen Bevölkerung zurückhaltend gegenüber Cloudspeicher-Lösungen. Die STRATO-Studie zeigt deutlich welche Gründe dahinterstehen. Besonders häufig wird der Wunsch nach lokaler Speicherung genannt.

datensicherheit.de, 08.04.2026
Physische Sicherheit in Unternehmen: Governance entscheidend bei Cloud-Nutzung / Genetec unterstützt Unternehmen, mithilfe der „Cloud“ ihre physische Sicherheit zu modernisieren und zugleich widerstandsfähiger zu werden

datensicherheit.de, 07.03.2026
Monitoring von Cloud-Datenbanken: Transparenz und Kontrolle in dynamischen IT-Umgebungen / Die Datenspeicherung hat sich in den letzten Jahren erheblich verändert. Im Fokus der aktuellen digitalen Infrastruktur stehen neben der Migration in die Cloud insbesondere auch der Betrieb und das Management von Cloud-Datenbanken. Unternehmen verarbeiten Arbeitslasten in einem bislang unbekannten Umfang – Cloud-Datenbank-Management macht das möglich, indem es den Wartungsaufwand reduziert und zudem Flexibilität und Effizienz erhöht.