Die Cloud ist nicht unsicher. Aber die Art, wie viele Unternehmen die Cloud konfigurieren, ist es. Das Shared Responsibility Model macht deutlich: AWS, Azure und GCP sind verantwortlich für die Sicherheit der Cloud-Infrastruktur. Sie sind verantwortlich für die Sicherheit in der Cloud - also für alles, was Sie dort ablegen und konfigurieren.
Die kritischsten AWS-Fehlkonfigurationen
1. Öffentlich zugängliche S3-Buckets
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
S3-Buckets mit Public Access sind der Klassiker unter den Cloud-Fehlkonfigurationen. Tausende Datenpannen mit Kundendaten, Konfigurationsdateien und sogar Zugangsdaten wurden so verursacht. AWS bietet inzwischen Account-weite S3 Block Public Access Einstellungen - die werden aber nicht immer genutzt.
2. Zu weitreichende IAM-Rollen
Das Prinzip der minimalen Berechtigung wird in der Cloud häufig ignoriert. Lambda-Funktionen mit Admin-Rechten, EC2-Instances mit zu breiten IAM-Rollen, Service-Accounts mit unbenötigten Permissions: Jede übermäßige Berechtigung ist ein potenzieller Angriffsvektor.
3. Security Groups ohne Einschränkungen
Ports, die für alle IP-Adressen (0.0.0.0/0) offen stehen, sind ein häufiges Problem. Besonders kritisch: SSH (22), RDP (3389) und Datenbank-Ports öffentlich zugänglich zu machen.
In unserer Cloud-Security-Praxis finden wir in über 70% der AWS-Assessments mindestens eine kritische Fehlkonfiguration, die einem Angreifer initialen Zugang oder erhebliche Privilege Escalation ermöglichen würde.
Die kritischsten Azure-Fehlkonfigurationen
1. Fehlende MFA für privilegierte Azure AD Konten
Globale Administratoren ohne Multi-Faktor-Authentifizierung sind ein inakzeptables Risiko. Password Spraying und Credential Stuffing sind triviale Angriffstechniken, die ohne MFA sofort erfolgreich sein können.
2. Übermäßige Gastbenutzer-Berechtigungen
Azure AD Gastbenutzer können standardmäßig mehr Informationen über Ihre Organisation abrufen als in den meisten Fällen erwünscht. Directory-Enumeration durch kompromittierte Gastkonten ist ein reales Angriffsrisiko.
3. Fehlende Conditional Access Policies
Ohne Conditional Access können sich Nutzer von beliebigen Standorten und Geräten einloggen. Risikobasierter Zugriff und Geräte-Compliance-Prüfungen sind in einer Zero-Trust-Architektur unverzichtbar.
Häufige Fehler bei beiden Plattformen
- Secrets und API-Keys in Quellcode oder Umgebungsvariablen statt in Secrets Managern
- Fehlende Verschlüsselung für Storage und Datenbanken at rest
- Unzureichendes Logging und fehlende SIEM-Integration
- Keine regelmäßigen Zugriffsreviews für Berechtigungen
- Veraltete VM-Images ohne aktuelle Sicherheits-Patches
Was ist ein Cloud-Security-Assessment?
Ein professionelles Cloud-Security-Assessment geht über automatisierte Scanner wie AWS Inspector oder Microsoft Defender hinaus. Es beinhaltet manuelle Analyse der IAM-Konfigurationen, Netzwerkarchitektur, Daten-Zugriffskontrollen und Service-spezifischen Einstellungen - aus der Perspektive eines realen Angreifers.
Fazit: Konfiguration ist Sicherheit
Cloud-Sicherheit ist zu 85% Konfigurationsmanagement. Die gute Nachricht: Fehlkonfigurationen sind behebbar, oft mit geringem Aufwand. Ein Cloud-Security-Assessment alle 12 Monate - bei aktivem Wachstum alle 6 Monate - ist die wirksamste Investition in Ihre Cloud-Sicherheit. Genau das leistet unsere Cloud-Sicherheitsanalyse für AWS, Azure und GCP.
Häufige Fragen
Was sind die häufigsten Cloud-Fehlkonfigurationen?
Öffentlich zugängliche Storage-Buckets, zu weit gefasste IAM-Berechtigungen, fehlende Multi-Faktor-Authentifizierung für Admin-Konten und exponierte Zugangsschlüssel in Code-Repositories.
Wer ist für Cloud-Sicherheit verantwortlich - Anbieter oder Kunde?
Beide, nach dem Shared-Responsibility-Modell: Der Anbieter sichert die Infrastruktur, der Kunde ist für Konfiguration, Identitäten, Berechtigungen und Daten verantwortlich. Die meisten Vorfälle entstehen auf Kundenseite.
Wie oft sollte ein Cloud-Security-Audit stattfinden?
Mindestens alle 12 Monate, bei aktivem Wachstum oder häufigen Änderungen alle 6 Monate - zusätzlich nach größeren Architekturumstellungen.
Samir Shamdin
IT-Sicherheitsberater & NIS2-Experte · 3. Platz NISCON Awards 2026 (Deutschlands beste Pentester)
LinkedIn-ProfilPassende Leistung
Web-Applikation Pentest
OWASP-basierter Sicherheitstest Ihrer Webanwendungen und APIs.
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.