Cyberkriminelle folgen Unternehmen in die Cloud. Da immer mehr Unternehmen auf gehostete E-Mails und Webmails, Cloud-basierte Produktivitätsanwendungen wie Microsoft 365 und Google Workspace sowie Cloud-basierte Entwicklungsumgebungen wie AWS und Azure umstellen, haben Cyberkriminelle schnell festgestellt, dass sich die grundlegenden Konto-Anmeldedaten eignen, um an Geld und Macht zu kommen. Diese Anmeldedaten sind daher das Ziel von immer mehr Bedrohungskampagnen – und die stetigen Bemühungen sind nur der erste Schritt zu Überweisungsbetrug, Industriespionage, Diebstahl von personenbezogenen Daten und anderen Aktionen.

Eine Cloud-Kontoübernahme beginnt damit, dass der Angreifer die Anmeldedaten eines Anwenders kompromittiert und so Zugriff auf Systeme erlangt. Diese Angriffe starten oft mit einer E-Mail, die Malware enthält oder den Anwender dazu verleitet, seine Anmeldedaten bereitzustellen. Sobald das Konto übernommen wurde, können sich die Angreifer als legitime oder vertrauenswürdige Person innerhalb des Unternehmens ausgeben. Dadurch erhalten sie die Möglichkeit, sich lateral im Netzwerk zu bewegen und Schaden anzurichten, beispielsweise indem sie wichtige Daten stehlen oder verschlüsseln. Ebenso können sie Malware hochladen, um Sync-and-Share-Funktionen zwischen Ihren Endpunkten, Microsoft 365 und anderen Cloud-Repositorys zu nutzen. Ab diesem Punkt können sie sich schnell im gesamten Unternehmen verbreiten oder vertrauliche Daten herunterladen, um Sie anschließend zu erpressen.

Da zunehmend Single Sign-On-Systeme verwendet werden, erhalten die Angreifer mit nur einem Satz Anmeldedaten umfassenden Zugriff auf verschiedenste Systeme im Unternehmen.