Cloud-Fehlkonfigurationen: Die 10 gefährlichsten Sicherheitslücken in AWS und Azure

4 Min. Lesezeit

Fehlkonfigurationen sind laut der Cloud Security Alliance zum zweiten Mal in Folge die Nr. 1 unter den Cloud-Bedrohungen. Laut IBM verursachen sie 15 Prozent aller Datenpannen. Palo Alto Unit 42 dokumentiert: 76 Prozent der Organisationen erzwingen keine MFA für Console-User. 63 Prozent der öffentlich zugänglichen Storage Buckets enthalten sensible Daten. Dieser Praxisguide zeigt die zehn gefährlichsten Fehlkonfigurationen in AWS und Azure und wie IT-Security-Teams sie finden und fixen.

Das Wichtigste in Kürze

• 🔒 Cloud Misconfiguration verursacht 15 Prozent aller Datenpannen, Durchschnittskosten: 4,88 Mio. Dollar (IBM 2024).
• ⚠️ 76 Prozent der Organisationen erzwingen keine MFA für Console-User (Palo Alto Unit 42).
• 🛡️ Cloud Intrusions stiegen 2024 um 26 Prozent. Valid Account Abuse ist Nr. 1 Initial Access (CrowdStrike 2025).
• 📊 61 Prozent der Root-Accounts haben keine MFA. 81 Prozent haben vernachlässigte public-facing Assets (Orca Security 2024).
• 🔧 CIS Benchmarks und CSPM-Tools machen systematische Konfigurationsprüfung automatisierbar.

Warum Fehlkonfigurationen die Nr. 1 sind

Die Cloud Security Alliance (CSA) rankt Misconfiguration und Inadequate Change Control seit 2024 als größte Bedrohung für Cloud-Umgebungen. Zum zweiten Mal in Folge. IAM-Schwachstellen folgen auf Platz 2. Gartner prognostiziert, dass bis 2025 99 Prozent aller Cloud-Sicherheitsfehler durch den Kunden verursacht werden, nicht durch den Cloud-Anbieter.

IBM bestätigt die Dimension im Cost of a Data Breach Report 2024: Cloud Misconfiguration ist für 15 Prozent aller Datenpannen verantwortlich, gleichauf mit Phishing. Die globalen Durchschnittskosten pro Breach erreichten 2024 ein Allzeithoch von 4,88 Millionen Dollar. Basis: 604 Organisationen, 17 Branchen, 16 Länder.

CrowdStrike dokumentiert im Global Threat Report 2025, dass Cloud Intrusions um 26 Prozent zugenommen haben. Der häufigste Einstiegsvektor: Valid Account Abuse, verantwortlich für 35 Prozent aller Cloud-Incidents im ersten Halbjahr 2024. Angreifer nutzen keine Zero Days. Sie nutzen das, was IT-Teams offen gelassen haben.

Quellen: IBM Cost of a Data Breach 2024, CrowdStrike Global Threat Report 2025

Die 10 gefährlichsten Fehlkonfigurationen

1. Zu breite IAM-Berechtigungen. Palo Alto Unit 42 hat in einer Analyse von 680.000 Cloud-Identitäten festgestellt: 99 Prozent aller Identitäten (User, Rollen, Services) haben mehr Berechtigungen als sie brauchen. Das Prinzip der minimalen Berechtigung wird fast nirgends durchgesetzt. Jede überflüssige Permission ist ein potenzieller Angriffsvektor.

2. Fehlende MFA für Root und Admin. Orca Security dokumentiert: 61 Prozent der Root-Accounts oder Account-Owner haben keine Multi-Faktor-Authentifizierung aktiviert. Unit 42 bestätigt: 76 Prozent erzwingen keine MFA für Console-User, 58 Prozent nicht einmal für Root/Admin. In Kombination mit AiTM-Phishing wird das zur offenen Tür.

3. Öffentlich zugängliche Storage Buckets. Unit 42 dokumentiert, dass 63 Prozent der öffentlich erreichbaren S3 Buckets sensible Daten enthalten. Das Ergebnis: Kundendaten, interne Dokumente und Zugangsdaten, die über eine einfache URL abrufbar sind. Capital One verlor 2019 die Daten von 106 Millionen Kunden durch eine Kombination aus fehlkonfigurierter WAF und zu breiten S3-Permissions.

4. Deaktiviertes oder unvollständiges Logging. Ohne CloudTrail (AWS), Azure Monitor oder GCP Cloud Audit Logs fehlt die Grundlage für Incident Response. Wenn ein Breach passiert und kein Log existiert, gibt es keinen forensischen Trail. Sicherheitsteams brauchen laut Unit 42 durchschnittlich 145 Stunden zum Lösen von Security Alerts. Ohne Logs verdoppelt sich die Zeit.

5. Offene Security Groups und NSGs. Orca Security berichtet: 81 Prozent der Organisationen haben vernachlässigte public-facing Assets mit offenen Ports (80, 443, 8080, 22, 3389, 5900). Jeder offene Port ist ein Einstiegspunkt. RDP (3389) und SSH (22) auf öffentlichen IP-Adressen werden innerhalb von Minuten gescannt und angegriffen.

„Bis 2025 werden 99 Prozent aller Cloud-Sicherheitsfehler durch den Kunden verursacht, nicht durch den Cloud-Anbieter.“
Gartner (mehrfach zitiert in IBM, CSA, Unit 42 Reports)

6. Öffentlich erreichbare Datenbanken. Wiz dokumentiert im Cloud Data Security Report 2025: 72 Prozent der Cloud-Umgebungen haben öffentlich exponierte PaaS-Datenbanken ohne Zugangskontrolle. RDS-Instanzen, Cosmos DB oder Cloud SQL, die ohne VPC-Isolation oder IP-Whitelisting laufen, sind für jeden erreichbar.

7. Fehlende Verschlüsselung at Rest. Daten in S3, Azure Blob Storage oder GCS ohne Encryption at Rest sind bei einem Breach sofort lesbar. AWS bietet SSE-S3 als Default seit 2023, aber ältere Buckets und selbst verwaltete Schlüssel werden oft vergessen. Gleiches gilt für EBS Volumes und RDS Snapshots.

8. Ungepatchte Container Images. Unit 42 berichtet: 63 Prozent der Production-Codebasen enthalten ungepatchte Vulnerabilities mit einem CVSS-Score von 7.0 oder höher. Wiz ergänzt: 12 Prozent der Container sind gleichzeitig öffentlich exponiert und über bekannte Schwachstellen angreifbar. Veraltete Base Images sind die häufigste Ursache.

9. Fehlende Netzwerk-Segmentierung. Flache Netzwerke ohne VPC-Peering-Controls oder Subnet-Isolation ermöglichen laterale Bewegung. Wenn ein Angreifer einen Workload kompromittiert, kann er ohne Segmentierung auf alle Ressourcen im selben Netzwerk zugreifen. Zero Trust verlangsamt laterale Bewegung, stoppt sie aber nicht bei gültigen Accounts.

10. Default Credentials und API Keys im Code. Hardcodierte AWS Access Keys, Azure Service Principal Secrets oder Datenbank-Passwörter in Git Repositories. Einmal gepusht, im Commit-Verlauf für immer sichtbar. Automatisierte Scanner durchsuchen GitHub in Echtzeit nach exponierten Credentials.

Wie IT-Security-Teams systematisch prüfen

CIS Benchmarks als Baseline. Das Center for Internet Security publiziert kostenlose Konfigurationsbenchmarks für AWS, Azure und GCP. Sie definieren konkrete Checks: Ist CloudTrail aktiviert? Ist MFA für Root erzwungen? Sind S3 Buckets öffentlich? AWS Security Hub integriert den CIS AWS Foundations Benchmark direkt. Azure bietet den Microsoft Cloud Security Benchmark als Pendant.

CSPM-Tools für kontinuierliches Monitoring. Cloud Security Posture Management (CSPM) prüft Konfigurationen automatisiert gegen Policies und Compliance-Frameworks. Nicht einmalig, sondern kontinuierlich. Jede Änderung wird bewertet. Drift wird erkannt. Native Optionen: AWS Config Rules, Azure Policy, GCP Security Command Center. Spezialisierte Anbieter: Wiz, Prisma Cloud, Orca Security, Microsoft Defender for Cloud.

Infrastructure as Code Scanning. Fehlkonfigurationen verhindern, bevor sie in Produktion landen. Tools wie Checkov, tfsec oder Bridgecrew scannen Terraform, CloudFormation und ARM Templates auf Sicherheitsprobleme. Shift Left: Security wird Teil der CI/CD Pipeline, nicht nachträglicher Audit.

Fazit: Die Angriffsfläche liegt in der Konfiguration

Cloud-Anbieter liefern sichere Infrastruktur. Aber die Konfiguration liegt beim Kunden. Solange 76 Prozent keine MFA erzwingen, 63 Prozent sensible Daten in öffentlichen Buckets lassen und 99 Prozent aller Identitäten zu breit berechtigt sind, bleibt die Konfiguration der einfachste Angriffsvektor. Die Tools zur Prüfung existieren. CIS Benchmarks sind kostenlos. CSPM ist in jeder großen Cloud-Plattform integriert. Was fehlt, ist nicht Technologie, sondern Disziplin.

Häufige Fragen

Was ist eine Cloud-Fehlkonfiguration?

Eine Einstellung in AWS, Azure oder GCP, die von der sicheren Default-Konfiguration abweicht oder eine Sicherheitslücke öffnet. Beispiele: öffentlich erreichbare S3 Buckets, fehlende MFA, zu breite IAM-Berechtigungen. Laut CSA die Nr. 1 Cloud-Bedrohung seit 2024.

Wie finde ich Fehlkonfigurationen in meiner Umgebung?

CIS Benchmarks als Checkliste, CSPM-Tools (AWS Config, Azure Policy, Wiz, Prisma Cloud) für automatisiertes Monitoring, und Infrastructure-as-Code-Scanner (Checkov, tfsec) für Prävention in der CI/CD Pipeline.

Was kostet ein Breach durch Fehlkonfiguration?

Laut IBM Cost of a Data Breach 2024 durchschnittlich 4,88 Millionen Dollar. Cloud Misconfiguration verursacht 15 Prozent aller Breaches. Capital One zahlte 2020 eine Strafe von 80 Millionen Dollar nach einem Breach durch misconfigurierte AWS-Ressourcen.

Welche Fehlkonfiguration ist am gefährlichsten?

Zu breite IAM-Berechtigungen. 99 Prozent aller Cloud-Identitäten haben laut Unit 42 mehr Permissions als nötig. In Kombination mit gestohlenen Credentials (Valid Account Abuse, 35 Prozent aller Cloud-Incidents laut CrowdStrike) ist das der direkteste Weg in sensible Daten.

Reichen native Cloud-Security-Tools?

Für den Einstieg ja. AWS Security Hub, Azure Defender for Cloud und GCP Security Command Center decken die Basics ab. Für Multi-Cloud-Umgebungen, automatische Remediation und Compliance-Reporting empfehlen sich spezialisierte CSPM-Lösungen wie Wiz, Prisma Cloud oder Orca Security.

Quelle Titelbild: Pexels / Panumas Nikhomkhai

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer