Sysdig 2026 Report: Cloud-Sicherheit im Maschinentakt

Formel-1-Boxencrews brauchten früher fast eine Minute, um vier Reifen zu wechseln. Heute sind es unter zwei Sekunden – und kein Mensch in der Box entscheidet, wann der Wagenheber abgesenkt wird: Das übernehmen Sensoren und Mechanik. Sysdigs neuer Report sagt im Wesentlichen dasselbe über den Cloud-SOC. Der Mensch mit dem Klemmbrett ist nach wie vor nützlich – aber er ist nicht mehr derjenige, der den Abzug betätigt.

Was passiert ist

Am Montag, wie SecurityBrief UK berichtete, veröffentlichte Sysdig seinen 2026 Cloud-Native Security and Usage Report, der auf der Analyse von Milliarden von Software-Paketen und Hunderttausenden von Cloud-Identitäten basiert. Das zentrale Argument, verfasst von Senior-Cybersecurity-Strategin Crystal Morin, lautet: Cloud-Verteidigung verlagert sich von menschlich geführten Abläufen hin zu Erkennung und Reaktion im Maschinentakt.

Die Zahlen sprechen für sich. KI-spezifische Pakete wuchsen im Jahresvergleich um 25 %. Unternehmen nahmen sechsmal mehr Machine-Learning-Pakete auf als im Vorjahr. Dennoch waren nur 1,5 % der KI-bezogenen Assets öffentlich zugänglich – ein Hinweis darauf, dass Teams tatsächlich sorgfältig mit dem umgehen, was sie exponieren.

Europa schneidet überraschend gut ab. Europäische Organisationen machten mehr als 50 % aller im Bericht erfassten KI- und ML-Pakete aus sowie mehr als 34 % der Falco-Nutzung – des Open-Source-Tools zur Laufzeit-Bedrohungserkennung in Container- und Kubernetes-Umgebungen. Die DSGVO hat sie nicht eingefroren, sondern diszipliniert.

Auf der Verteidigungsseite nutzen mittlerweile mehr als 70 % der Sicherheitsteams verhaltensbasierte Erkennungen, die 91 % der Cloud-Umgebungen abdecken. Die bemerkenswerteste Zahl: 140 % mehr Organisationen beenden jetzt automatisch verdächtige Prozesse, sobald eine Erkennungsregel anschlägt – verglichen mit dem Vorjahr.

Loris Degioanni, Sysdig-Gründer und CTO, brachte es auf den Punkt: „Sicherheitsteams haben menschliche Arbeitsabläufe optimiert, aber sie haben ihre Grenze erreicht. KI-gestützte Bedrohungen bewegen sich zu schnell für Dashboards, Warnmeldungen und manuelle Triage. Die menschengesteuerte Ära der Cloud-Sicherheit geht zu Ende, und der Aufstieg der KI-Autonomie wird die nächste Generation der Cyberabwehr prägen." Der Report stellt außerdem fest, dass Angreifer KI einsetzen, um Schwachstellen innerhalb von Stunden nach deren Bekanntgabe auszunutzen.

Technische Analyse

Der Kern der Sache ist eine Verlagerung des Entscheidungskreislaufs. Über ein Jahrzehnt lang war die Standard-Pipeline eines Cloud-SOC: Telemetrie ins SIEM, SIEM in die Alert-Queue, Analyst zum Dashboard, Analyst zum Ticket, Ticket zum Responder. Jeder Pfeil in dieser Kette ist eine menschlich bedingte Latenz. Das funktioniert gut, wenn der Angreifer ebenfalls ein Mensch ist, der in Burp Suite tippt. Es hört auf zu funktionieren, wenn der Angreifer ein Skript ist, das den CVE-Feed liest, eine ausnutzbare Lücke findet und einen funktionierenden Exploit entwickelt hat, bevor der Kaffee am Patch-Dienstag kalt geworden ist.

Verhaltensbasierte Erkennung ist das Element, das Autonomie sicher genug macht, um sie einzusetzen. Signaturbasierte Tools schlagen an, wenn gilt: „Das haben wir schon mal gesehen." Verhaltensbasierte Tools, die auf Kernel- oder Container-Runtime-Ebene laufen, schlagen an, wenn gilt: „Dieser Prozess tut etwas, das dieser Workload noch nie getan hat." Falco ist das Paradebeispiel: eBPF-gestützte Syscall-Inspektion, Regeln, die Absichten statt Hashes beschreiben. Wenn 91 % der Umgebungen über diese Art von Runtime-Sichtbarkeit verfügen, kann man einer automatisierten Kill-Aktion tatsächlich vertrauen, ohne jeden Dienstag die Produktion zu zerschießen.

Das ist es, was der 140-%-Sprung bei der automatischen Prozessbeendigung wirklich misst. Es ist nicht so, dass Teams plötzlich mutiger geworden sind. Es ist das Signal-Rausch-Verhältnis bei Runtime-Erkennungen, das endlich die Schwelle überschritten hat, ab der kill -9 auf einen verdächtigen Prozess weniger riskant ist, als ihn von einem Analysten zehn Minuten lang beobachten zu lassen. Wer freitagabends schon mal auf eine überlaufende Detection-Queue gestarrt hat, weiß genau, warum dieses Verhältnis entscheidend ist.

Auf der Identitätsebene wird es richtig merkwürdig. Menschliche Benutzer machen gerade einmal 2,8 % der verwalteten Identitäten in Cloud-Umgebungen aus. Die anderen 97,2 % sind Maschinen: Service-Accounts, Workload-Identitäten, CI-Runner, Lambda-Rollen, Kubernetes-Service-Tokens, Bots, Agenten – und zunehmend KI-Coding-Assistenten mit eigenen Zugangsdaten. Jede davon ist ein potenzieller Einstiegspunkt, der realen Techniken in der ATT&CK-Matrix unter Credential Access und Lateral Movement zugeordnet werden kann. Das alte IAM-Playbook, das auf vierteljährlichen Zugriffsüberprüfungen und Menschen aufgebaut ist, die montags einloggen, skaliert schlicht nicht auf dieses Verhältnis.

Wer verliert

Die offensichtlichen Verlierer sind Tier-1-SOC-Analyst-Shops, deren gesamtes Wertversprechen lautet: „Wir beobachten Ihr Dashboard für Sie." Wenn 70 %+ der Erkennung verhaltensbasiert ist und automatische Reaktion zum Standard wird, ist der Mensch vor dem Splunk-Tab, der Warnmeldungen liest, der teuerste und langsamste Teil der Pipeline. Ich würde argumentieren, dass diese Stufe innerhalb der nächsten 18 Monate in Detection Engineering aufgeht – und die MSSPs, die sich nicht neu ausrichten, werden Vertragsverlängerungen an Plattformen verlieren, die Policy-as-Code liefern.

iGaming-Betreiber mit Multi-Region-Kubernetes-Umgebungen sind auf eine spezifische Weise exponiert. Regulierte Jurisdiktionen verlangen Audit-Trails und menschliche Verantwortlichkeit bei Sicherheitsentscheidungen – aber die Angriffsfenster, die Morin beschreibt, also Ausnutzung innerhalb von Stunden nach Bekanntgabe, bedeuten, dass „auf das Change Advisory Board warten" faktisch ein Einverständnis zur Kompromittierung ist. Die nächsten 90 Tage für Plattform-Verantwortliche in diesem Bereich sehen nach einer Dokumentationsübung aus: Regulierungsbehörden gegenüber nachzuweisen, dass automatische Prozessbeendigung nachvollziehbar, reversibel und protokolliert ist.

Fintech- und Zahlungsteams stehen dem Maschinenidentitätsproblem direkt gegenüber. Eine Zahlungsorchestrierungsschicht könnte Tausende von Service-Accounts über PSPs, Fraud-Engines, Ledger-Services und Abstimmungsjobs hinweg haben. Dass menschliche Nutzer 2,8 % der Identitäten ausmachen, ist für diesen Stack wahrscheinlich noch eine großzügige Schätzung. Wenn Berechtigungen nicht eng gefasst sind, reicht eine kompromittierte CI-Pipeline-Zugangsdaten, und das Spiel ist vorbei. Hier erwarte ich die teuersten Vorfälle des Jahres 2026.

Krypto- und DeFi-Infrastrukturteams – die, die Validatoren, RPC-Flotten und Bridge-Relayer betreiben – lebten schon immer in einer Welt, in der der Angreifer automatisiert vorgeht. Sie werden diesen Report lesen und nicken. Ihr Problem ist nicht die Einführung von Verteidigung im Maschinentakt, sondern ihren Versicherern zu erklären, warum verhaltensbasierte Runtime-Erkennung einen Prämienrabatt verdient.

Europäische Engineering-Leiter kommen dabei gut weg. Der 50-%-Anteil bei der Übernahme von KI-Paketen zusammen mit dem 34-%-Anteil bei Falco deutet darauf hin, dass die stark regulierten Organisationen auch diejenigen sind, die auf instrumentierten Grundlagen aufbauen. Das ist eine Geschichte, die es wert ist, beim nächsten Vorstandsmeeting erzählt zu werden.

Playbook für Sicherheitsteams

Diese Woche, drei Maßnahmen. Erstens: Überprüfen Sie, wie viele Ihrer Erkennungen noch menschliche Triage erfordern, bevor eine Aktion erfolgt. Liegt diese Zahl über 50 %, betreiben Sie einen SOC aus dem Jahr 2019. Wählen Sie drei hochzuverlässige Regelfamilien (Cryptominer-Verhalten, Reverse-Shell-Muster, Credential Dumping) und stellen Sie sie auf automatische Beendigung mit einer Break-Glass-Override-Option um. Morins Ansatz zur Schließung der asymmetrischen Lücke ist dabei der richtige Rahmen.

Zweitens: Führen Sie eine Identitätszählung durch. Ziehen Sie jeden nicht-menschlichen Principal in Ihrer Cloud-Umgebung, ordnen Sie ihn einem besitzenden Workload zu und markieren Sie alles ohne einen solchen. Gleichen Sie dies mit der CISA-KEV-Liste ab, um jeden Dienst zu finden, dessen Zugangsdaten möglicherweise in einem öffentlichen Image oder einem alten Repository liegen. Die Anzahl der Maschinenidentitäten steigt nur weiter, wenn KI-Coding-Agenten beginnen, PRs einzureichen – also wird jede Hygiene, die Sie jetzt aufschieben, im nächsten Quartal zehnmal schwieriger.

Drittens: Sorgen Sie für Runtime-Sichtbarkeit in Containern, falls noch nicht geschehen. Falco ist Open Source, eBPF ist ausgereift, und die Einstiegshürde ist niedriger als Ihre EDR-Verlängerung. Das Mühsame ist das Schreiben von Regeln, die zu Ihren tatsächlichen Workloads passen, statt Standardkonfigurationen zu verwenden. Der Punkt, an dem alles auseinanderfällt, ist, wenn die Alerts feuern und niemand den Response-Pfad besitzt – also verdrahten Sie sie in denselben Auto-Terminierungs-Flow, bevor Sie sie aktivieren.

Viertens: Schreiben Sie Ihr Incident-Response-Runbook so um, dass der erste Responder eine Maschine ist. Was macht der Mensch, wenn er eintrifft und der Prozess bereits beendet wurde? Das ist die neue Tier-1-Jobbeschreibung.

Wichtigste Erkenntnisse

• Sysdigs 2026-Report stellt Verteidigung im Maschinentakt als einzig tragfähige Antwort auf KI-gestützte Angreifer dar, die CVEs innerhalb von Stunden nach Bekanntgabe ausnutzen.
• Verhaltensbasierte Erkennung schützt jetzt 91 % der Cloud-Umgebungen, und die Zahl der Organisationen, die verdächtige Prozesse automatisch beenden, stieg um 140 % im Jahresvergleich.
• Maschinenidentitäten dominieren Cloud-Umgebungen mit 97,2 % und machen nicht-menschliches IAM zum zentralen Sicherheitsproblem statt zu einem Randthema.
• Europäische Organisationen führen sowohl bei der Übernahme von KI-Paketen (50 %+) als auch bei der Falco-Nutzung (34 %+), was darauf hindeutet, dass Regulierung und Instrumentierung sich gegenseitig verstärken.
• Die Tier-1-Dashboard-Überwachungsrolle im SOC ist das Boxencrew-Mitglied mit dem Klemmbrett: noch in der Box, aber nicht mehr derjenige, der den Wagenheber absenkt.