Cloud-Fehlkonfigurationen: Die häufigste Breach-Ursache, die niemand behebt

1 Min. Lesezeit

Gartner prognostiziert: Bis 2025 werden 99 Prozent aller Cloud-Security-Failures durch den Kunden verursacht – nicht durch den Provider. Offene S3-Buckets, überprivilegierte IAM-Rollen und fehlende Logging-Konfigurationen sind die wahren Schwachstellen. Die Cloud ist sicher – die Art, wie Unternehmen sie nutzen, oft nicht.

Das Wichtigste in Kürze

Gartner: 99 Prozent der Cloud-Security-Failures durch Kundenfehler
68 Prozent der Unternehmen hatten 2024 eine Cloud-Fehlkonfiguration mit Datenexposition
Top-Fehler: Öffentliche Storage-Buckets, zu breite IAM-Policies, fehlendes Logging
CSPM-Tools (Cloud Security Posture Management) automatisieren die Erkennung

Das Shared-Responsibility-Missverständnis

Cloud-Provider sichern die Infrastruktur – Server, Netzwerk, physische Sicherheit. Alles darüber – Konfiguration, Zugriffsrechte, Datenverschlüsselung, Logging – liegt beim Kunden. Dieses Shared-Responsibility-Modell wird von vielen Unternehmen nicht verstanden oder ignoriert.

Die Folge: Unternehmen migrieren in die Cloud und nehmen an, der Provider kümmere sich um Security. In Wahrheit haben sie mehr Verantwortung als im eigenen Rechenzentrum – mit weniger Kontrolle und mehr Komplexität.

Die Top 5 der Cloud-Fehlkonfigurationen

1. Öffentliche Storage-Buckets: S3, Azure Blob, GCS – ein falsches ACL-Setting und die Daten sind weltweit zugänglich. Betroffen waren Capital One, Twitch und Hunderte kleinere Unternehmen.

2. Überprivilegierte IAM-Rollen: AdministratorAccess für Lambda-Funktionen, Star-Policies für Service Accounts. Least Privilege wird in der Cloud noch seltener befolgt als On-Premises.

3. Fehlendes Logging: CloudTrail, Azure Activity Log, GCP Audit Log – standardmäßig nicht vollständig konfiguriert. Ohne Logs keine Forensik, keine Anomalie-Erkennung.

4. Keine Verschlüsselung: Datenbanken, Message Queues und Storage ohne Encryption at Rest. AWS bietet Default-Encryption für S3 – aber nicht für alle Services.

5. Exponierte Management-Interfaces: RDP, SSH, Kubernetes API-Server – direkt aus dem Internet erreichbar statt hinter VPN oder ZTNA.

CSPM: Automatisierte Fehlkonfigurationserkennung

Cloud Security Posture Management (CSPM) scannt Cloud-Umgebungen kontinuierlich auf Fehlkonfigurationen – gegen Benchmarks wie CIS, SOC 2 und unternehmensspezifische Policies. Findings werden priorisiert, kontextualisiert und idealerweise automatisch remediated.

Führende Tools: Wiz, Orca, Prisma Cloud, AWS Security Hub, Azure Defender for Cloud. Für Multi-Cloud-Umgebungen sind Drittanbieter (Wiz, Orca) überlegen, da sie alle Provider aus einer Plattform heraus bewerten.

Infrastructure as Code: Fehlkonfigurationen verhindern statt finden

Der beste Zeitpunkt, eine Fehlkonfiguration zu verhindern, ist vor dem Deployment. IaC-Scanning-Tools (Checkov, tfsec, Bridgecrew) prüfen Terraform, CloudFormation und Pulumi-Templates auf Security-Fehler, bevor sie ausgerollt werden.

In Kombination mit Policy-as-Code (OPA, Sentinel) entsteht ein Guardrail-System: Entwickler können schnell deployen, aber die Policies verhindern unsichere Konfigurationen automatisch. Security als Leitplanke statt Straßensperre.

Key Facts

Kundenfehler: 99 Prozent der Cloud-Security-Failures (Gartner)

Exposition: 68 Prozent hatten Fehlkonfiguration mit Datenexposition in 2024

Prävention: IaC-Scanning verhindert 73 Prozent der Fehlkonfigurationen vor Deployment (Bridgecrew)

Häufige Fragen

Ist die Cloud unsicherer als On-Premises?

Nein – die großen Provider investieren Milliarden in Infrastruktur-Sicherheit. Das Problem liegt in der Konfiguration durch den Kunden. Eine korrekt konfigurierte Cloud-Umgebung ist sicherer als die meisten On-Premises-Rechenzentren.

Reicht AWS Security Hub als CSPM?

Für reine AWS-Umgebungen ist Security Hub ein guter Einstieg. Für Multi-Cloud (AWS + Azure + GCP) brauchen Sie einen Drittanbieter wie Wiz oder Orca, der alle Umgebungen aus einer Plattform heraus bewertet und korreliert.

Wie schnell kann ich CSPM einführen?

Sehr schnell. Agentless-CSPM-Lösungen (Wiz, Orca) verbinden sich per API mit den Cloud-Accounts – kein Agent, keine Netzwerkänderung. Erster Scan in Stunden, vollständige Abdeckung in Tagen. Die Herausforderung liegt nicht in der Einführung, sondern in der Remediation der gefundenen Issues.