Die überwältigende Mehrheit der Cloud-Sicherheitsvorfälle geht nicht auf raffinierte Hackerangriffe zurück. Sie entstehen durch Fehlkonfigurationen. Laut dem CSA Top Threats Report 2024 ist «Misconfiguration & Inadequate Change Control» die grösste Bedrohung für Cloud-Umgebungen – noch vor Identity-Management-Schwächen und unsicheren APIs. Die NSA veröffentlichte im März 2024 ihre «Top 10 Cloud Security Mitigation Strategies» und bestätigt: Angreifer nutzen systematisch Konfigurationsfehler aus, die mit grundlegender Sorgfalt vermeidbar wären.
Das Problem ist strukturell. Cloud-Plattformen bieten hunderte Konfigurationsoptionen. Wer diese nicht aktiv absichert, betreibt de facto offene Infrastruktur. Hier sind die zehn häufigsten Fehlkonfigurationen, die wir in Assessments regelmässig antreffen.
1. Öffentlich zugängliche Storage Buckets
S3-Buckets bei AWS, Azure Blob Storage, Google Cloud Storage – alle bieten Public-Access-Optionen, die standardmässig zu leicht aktivierbar sind. Ein falsch gesetztes ACL oder eine fehlende Block-Public-Access-Policy genügt, und vertrauliche Daten stehen im Internet. AWS hat seit 2023 zwar «Block Public Access» als Default aktiviert, doch bestehende Buckets und manuell überschriebene Policies bleiben ein Dauerproblem.
2. Übermässige IAM-Berechtigungen
Das Prinzip der minimalen Berechtigung (Least Privilege) wird in Cloud-Umgebungen systematisch verletzt. Service Accounts mit Admin-Rechten, Wildcard-Policies wie *:* bei AWS IAM, geteilte Zugangsdaten zwischen Entwicklung und Produktion. Jede überzählige Berechtigung ist ein potenzieller Angriffsvektor. Die NSA empfiehlt explizit die regelmässige Überprüfung und Einschränkung von IAM-Policies.
3. Fehlende Multi-Faktor-Authentifizierung
Cloud-Konsolen ohne MFA sind Einladungen. Ein kompromittiertes Passwort – durch Phishing, Credential Stuffing oder einen Breach bei einem anderen Dienst – gewährt direkten Zugriff auf die gesamte Infrastruktur. Laut IBM Cost of a Data Breach Report 2024 kosten Breaches mit gestohlenen Zugangsdaten durchschnittlich USD 4.81 Millionen. MFA für alle privilegierten Accounts ist keine Option, sondern Grundvoraussetzung.
4. Unverschlüsselte Daten
Verschlüsselung at rest und in transit muss der Standard sein – nicht die Ausnahme. Viele Cloud-Dienste bieten Encryption by Default, aber nicht alle Speicher- und Datenbankdienste aktivieren dies automatisch. Besonders kritisch: Datenbanken mit sensiblen Personendaten ohne Verschlüsselung, Backups auf unverschlüsselten Volumes, und interne Kommunikation ohne TLS.
5. Fehlendes Logging und Monitoring
Ohne CloudTrail, Azure Monitor oder GCP Cloud Audit Logs fehlt jede Sichtbarkeit. Im Ernstfall kann weder nachvollzogen werden, was passiert ist, noch wann ein Angreifer eingedrungen ist. IBM beziffert den durchschnittlichen Breach-Lifecycle auf 258 Tage – wer nicht loggt, merkt es noch später. Logging muss aktiviert, zentral gesammelt und aktiv ausgewertet werden.
6. Zu permissive Sicherheitsgruppen
Security Groups und Firewall Rules mit eingehenden Regeln wie 0.0.0.0/0 auf Port 22 (SSH) oder 3389 (RDP) sind erschreckend häufig. Standard-Sicherheitsgruppen erlauben oft mehr Traffic als nötig. Jede Regel muss gezielt auf die tatsächlich benötigten Quell-IPs und Ports eingeschränkt werden.
7. Veraltete oder ungenutzte Ressourcen
Vergessene VMs mit veralteten Betriebssystemen, nicht mehr genutzte Datenbank-Instanzen, Test-Umgebungen die seit Monaten laufen – jede ungewartete Ressource ist eine Angriffsfläche. Cloud-Umgebungen wachsen organisch. Ohne regelmässiges Inventar und Lifecycle-Management sammelt sich technische Schuld an, die Angreifer vor Ihnen finden.
8. Fehlende Netzwerksegmentierung
Eine flache Netzwerkarchitektur in der Cloud bedeutet: Kompromittiert ein Angreifer eine Komponente, hat er Zugriff auf alles. VPCs, Subnetze, Private Endpoints und Network Policies existieren genau dafür – werden aber oft nicht konsequent eingesetzt. Die NSA/CISA-Empfehlung ist eindeutig: Netzwerksegmentierung gehört zu den wichtigsten Schutzmassnahmen.
9. Keine Backup-Strategie für Cloud-Daten
«Die Cloud ist redundant» ist kein Backup-Konzept. Ransomware verschlüsselt Cloud-Daten genauso wie lokale. Versehentliches Löschen durch einen Benutzer mit zu vielen Rechten (siehe Punkt 2) löscht auch redundante Kopien. Immutable Backups, getrennte Backup-Accounts und regelmässige Restore-Tests sind Pflicht – besonders unter dem Shared-Responsibility-Modell, bei dem die Datensicherung klar beim Kunden liegt.
10. API-Schlüssel im Code oder öffentlichen Repositories
Hardcodierte API-Keys, Access Tokens und Credentials in Source Code, der auf GitHub oder GitLab landet – dieses Problem ist so verbreitet, dass GitHub seit 2023 automatisches Secret-Scanning für alle öffentlichen Repositories aktiviert hat. Trotzdem werden täglich tausende Secrets geleakt. Die Lösung: Secrets Manager (AWS Secrets Manager, Azure Key Vault, HashiCorp Vault), Environment Variables und automatisierte Pre-Commit-Hooks, die Credentials im Code erkennen.
Das Shared-Responsibility-Modell verstehen
Der zentrale Denkfehler: «Wir sind in der Cloud, also ist der Provider für die Sicherheit verantwortlich.» Falsch. AWS, Azure und Google sichern die Infrastruktur der Cloud – Rechenzentren, Hypervisoren, physische Sicherheit. Alles, was Sie in der Cloud konfigurieren, betreiben und speichern, liegt in Ihrer Verantwortung. Jede der zehn oben genannten Fehlkonfigurationen fällt in den Verantwortungsbereich des Kunden.
Systematisch statt reaktiv
Einzelne Fehlkonfigurationen zu beheben genügt nicht. Cloud-Sicherheit erfordert einen systematischen Ansatz: Infrastructure as Code mit Security-Reviews, automatisierte Compliance-Checks (AWS Config, Azure Policy, GCP Organization Policies), regelmässige Audits und ein Team, das die Konfiguration versteht – nicht nur die Funktionalität.
Wie Zerberos Sie unterstützt
Wir prüfen Cloud-Umgebungen auf genau diese Schwachstellen. Im Rahmen unseres Penetration Testing simulieren wir reale Angriffsszenarien gegen Ihre Cloud-Infrastruktur. Mit unserem Vulnerability Scan identifizieren wir Fehlkonfigurationen systematisch. Und in der Beratung helfen wir Ihnen, eine sichere Cloud-Architektur aufzubauen, die auch Audits standhält. Kontaktieren Sie uns für eine unverbindliche Einschätzung Ihrer Cloud-Sicherheit.
Quellen
- NSA: Top 10 Cloud Security Mitigation Strategies (März 2024) – media.defense.gov
- CISA/NSA: Top Ten Cybersecurity Misconfigurations (Oktober 2023) – cisa.gov
- Cloud Security Alliance: Top Threats to Cloud Computing 2024 – cloudsecurityalliance.org
- IBM: Cost of a Data Breach Report 2024 – ibm.com
- OWASP: Cloud Security – owasp.org