CNAPP und CSPM 2025: Cloud-Native-Sicherheit richtig aufbauen

Q: Lässt sich CNAPP in DevOps-Prozesse integrieren?

Das ist der Kern von "Shift Left Security". Moderne CNAPP-Plattformen haben Plugins für GitHub Actions, GitLab CI, Jenkins und andere CI/CD-Tools. Infrastructure-as-Code wird schon vor dem Deployment auf Fehlkonfigurationen geprüft.

1 Min. Lesezeit

Fehlkonfigurationen sind die häufigste Ursache von Cloud-Sicherheitsvorfällen – nicht ausgefeilte Angriffe, sondern ein falsch geöffneter S3-Bucket oder eine zu weit gefasste IAM-Rolle. Cloud Security Posture Management (CSPM) und der übergeordnete CNAPP-Ansatz sind die Antwort der Branche auf dieses strukturelle Problem.

Das Wichtigste in Kürze

CSPM erkennt Fehlkonfigurationen automatisch: Continuous Compliance-Monitoring gegen CIS Benchmarks, AWS Well-Architected, ISO 27001.
CNAPP ist der Oberbegriff: Kombiniert CSPM, CWPP (Workload Protection) und CIEM (Entitlements) in einer Plattform.
Shift Left Security: Sicherheitsprüfungen in die CI/CD-Pipeline – nicht erst in der Produktion.
Gartner-Begriff seit 2021: CNAPP hat sich als Standard-Kategorie etabliert, alle großen Security-Anbieter haben CNAPP-Lösungen.
Multi-Cloud-fähig: Moderne CNAPP-Plattformen decken AWS, Azure und GCP gleichzeitig ab.

CSPM: Was es tut und warum es nötig ist

Ein Cloud Security Posture Management Tool verbindet sich mit Cloud-APIs und prüft kontinuierlich die Konfiguration aller Ressourcen gegen definierte Sicherheitsstandards. Ergebnis: eine Übersicht aller Fehlkonfigurationen, nach Schwere priorisiert, mit Remediation-Empfehlungen.

Typische Findings: Öffentlich zugängliche S3-Buckets, Security Groups mit 0.0.0.0/0 Zugängen, fehlende Encryption-at-Rest, Root-Account ohne MFA, überprivilegierte Service-Accounts. In den meisten Cloud-Umgebungen gibt es Hunderte solcher Findings – CSPM macht sie sichtbar und priorisierbar.

CNAPP: Der ganzheitliche Ansatz

CNAPP (Cloud-Native Application Protection Platform) ist der Gartner-Begriff für eine integrierte Plattform, die mehrere Cloud-Security-Disziplinen kombiniert:

CSPM: Infrastruktur-Konfiguration monitoring.

CWPP (Cloud Workload Protection): Sicherheit von VMs, Containern und serverlosen Funktionen zur Laufzeit.

CIEM (Cloud Infrastructure Entitlement Management): Wer hat welche Berechtigungen in der Cloud? Least-Privilege durchsetzen.

SAST/DAST im CI/CD: Sicherheitsprüfungen im Code und in der Deployment-Pipeline, bevor etwas in Produktion geht.

Der Vorteil: Eine Plattform, ein Datenmodell, eine Oberfläche für das Cloud-Security-Team – statt vier verschiedene Tools zu integrieren.

Marktübersicht und Einstieg

Führende Anbieter 2025: Wiz, Palo Alto Prisma Cloud, Microsoft Defender for Cloud (für Azure-heavy Umgebungen), Crowdstrike Falcon Cloud Security, Sysdig und Lacework. Wiz hat sich mit einem agentenlosen Ansatz besonders schnell durchgesetzt.

Einstieg ohne großes Budget: Alle drei großen Cloud-Anbieter haben native CSPM-Grundfunktionen: AWS Security Hub, Azure Security Center, GCP Security Command Center. Diese sind kostenlos (oder im Service enthalten) und ein guter Startpunkt.

Priorisierung: Nicht versuchen, alle 500 Findings auf einmal zu lösen. Mit kritischen Fehlkonfigurationen beginnen (öffentlicher Speicher, fehlende Encryption, Root-Account-Sicherheit) und systematisch vorgehen.

Key Facts auf einen Blick

Ursache Cloud-Sicherheitsvorfälle: 80% durch Fehlkonfigurationen (Gartner)

CNAPP-Marktgröße 2025: ~7,5 Mrd. USD (IDC)

Wachstumsrate: 25%+ jährlich (schnellstwachsendes Cloud-Security-Segment)

Durchschnittliche Fehlkonfigurationen: Enterprise-Umgebungen haben im Schnitt 200-400 aktive CSPM-Findings

Native CSPM ohne Mehrkosten: AWS Security Hub, Azure Security Center, GCP SCC – alle kostenlos verfügbar

Fakt: Gartner prognostiziert, dass bis 2027 rund 80 % der Unternehmen eine CNAPP-Plattform nutzen werden, um Cloud-Workloads ganzheitlich abzusichern – gegenüber 15 % in 2023.

Fakt: Laut CrowdStrike Cloud Threat Report 2025 sind Fehlkonfigurationen mit 36 % der Vorfälle die häufigste Ursache für Cloud-Security-Incidents.

Häufige Fragen

Was ist der Unterschied zwischen CSPM und CNAPP?

CSPM ist eine Unterkategorie: es überwacht die Konfiguration von Cloud-Infrastruktur. CNAPP ist der übergeordnete Begriff für eine integrierte Plattform, die CSPM plus Workload-Schutz, Entitlement-Management und CI/CD-Security kombiniert.

Brauche ich einen Agenten für CNAPP?

Nicht zwingend. Agentenlosen Ansätze (z.B. Wiz) nutzen nur Cloud-APIs – ohne Installation auf VMs oder Containern. Agenten-basierte Ansätze geben mehr Laufzeitinformationen, sind aber aufwendiger zu betreiben. Für den Start sind agentenlose Lösungen oft pragmatischer.

Was ist CIEM und warum ist es wichtig?

Cloud Infrastructure Entitlement Management analysiert, wer welche Berechtigungen in der Cloud hat – und vergleicht das mit dem, was tatsächlich genutzt wird. Das Ergebnis: ein Least-Privilege-Report mit Hunderten überprivilegierter Accounts. Angreifer suchen genau diese.

Lässt sich CNAPP in DevOps-Prozesse integrieren?

Das ist der Kern von „Shift Left Security“. Moderne CNAPP-Plattformen haben Plugins für GitHub Actions, GitLab CI, Jenkins und andere CI/CD-Tools. Infrastructure-as-Code wird schon vor dem Deployment auf Fehlkonfigurationen geprüft.

Welches Tool empfiehlt sich für den Einstieg?

Für den Start: native Cloud-Tools (AWS Security Hub / Azure Security Center) aktivieren – kostenlos und schnell. Für professionelleren Einsatz: Wiz oder Palo Alto Prisma Cloud evaluieren. Beide bieten kostenlose Trials und POC-Programme.