Cloud-Sicherheit Konkret - Versionsgeschichte

Thomas.will am 20. Februar 2026 um 16:01 Uhr

2026-02-20T16:01:40Z

Änderungen zeigen

Thomas.will: /* Herausforderungen für Admins und Security-Spezialisten */

2025-09-14T08:31:09Z

Herausforderungen für Admins und Security-Spezialisten

Thomas.will: /* Praxisnahe Beispiele */

2025-09-14T08:30:40Z

Praxisnahe Beispiele

Thomas.will: /* Best Practices für den sicheren Cloud-Betrieb */

2025-09-14T08:29:51Z

Best Practices für den sicheren Cloud-Betrieb

Thomas.will: /* Typische Bedrohungsszenarien */

2025-09-14T08:28:30Z

Typische Bedrohungsszenarien

Thomas.will: /* Angriffsvektoren und Risiken */

2025-09-14T08:26:25Z

Angriffsvektoren und Risiken

Thomas.will: /* Angriffsvektoren und Risiken */

2025-09-14T08:24:18Z

Angriffsvektoren und Risiken

Thomas.will: Die Seite wurde neu angelegt: „= Cloud-Sicherheit – Überblick für Admins und Security-Spezialisten = == Was ist Cloud Computing? == * Cloud Computing bedeutet die Bereitstellung von IT-…“

2025-09-14T08:21:13Z

Die Seite wurde neu angelegt: „= Cloud-Sicherheit – Überblick für Admins und Security-Spezialisten = == Was ist Cloud Computing? == * Cloud Computing bedeutet die Bereitstellung von IT-…“

Neue Seite

= Cloud-Sicherheit – Überblick für Admins und Security-Spezialisten =

== Was ist Cloud Computing? ==
* Cloud Computing bedeutet die Bereitstellung von IT-Ressourcen über das Netzwerk, typischerweise das Internet.
* Statt Hardware und Software selbst zu betreiben, nutzt man standardisierte Dienste eines Providers.
* Vorteile: Elastizität, Skalierbarkeit, Kostenmodell „Pay-per-Use“, schnelle Bereitstellung.
* Servicemodelle:
** '''IaaS (Infrastructure as a Service)''': Virtuelle Server, Storage, Netzwerke – Kunde verwaltet Betriebssystem und Applikationen.
** '''PaaS (Platform as a Service)''': Plattformen wie Datenbanken, Webserver – Kunde verwaltet nur Code und Daten.
** '''SaaS (Software as a Service)''': Fertige Anwendungen wie Office 365 oder Salesforce – Kunde hat fast nur Anwenderrolle.
* Deployment-Modelle:
** '''Public Cloud''': Gemeinsame Infrastruktur, offen für alle Kunden (AWS, Azure, GCP).
** '''Private Cloud''': Dedizierte Ressourcen, meist im eigenen Rechenzentrum.
** '''Hybrid Cloud''': Kombination aus Public und Private.
** '''Community Cloud''': Gemeinsame Infrastruktur für Organisationen mit ähnlichen Anforderungen.

== Shared Responsibility Model ==
* Zentrales Konzept: Provider und Kunde teilen sich die Verantwortung für Sicherheit.
* Provider: Sicherheit '''der''' Cloud (physische Sicherheit, Virtualisierungsschicht, Rechenzentrumsbetrieb).
* Kunde: Sicherheit '''in''' der Cloud (Betriebssysteme, Applikationen, Zugriffe, Daten).
* Je weiter oben das Service-Modell (SaaS), desto weniger Einfluss, aber auch weniger Verantwortung beim Kunden.
* Typischer Fehler: Kunden nehmen fälschlicherweise an, dass der Provider „alles“ absichert.

== Angriffsvektoren und Risiken ==
* '''Fehlkonfigurationen''': Offene S3-Buckets, zu weitreichende IAM-Rollen, unsichere API-Endpunkte.
* '''Multi-Tenancy-Risiken''': Mandantentrennung kann bei Implementierungsfehlern ausgenutzt werden.
* '''API-Sicherheit''': Alle Cloud-Dienste werden über APIs gesteuert. Gestohlene Credentials = volle Kontrolle.
* '''Datenexfiltration''': Durch Insider, durch Malware oder durch falsch konfigurierte Zugriffsrechte.
* '''Kompromittierte Management-Accounts''': Root- oder Global-Admin-Accounts ohne MFA sind besonders kritisch.
* '''Supply-Chain-Angriffe''': Manipulierte Container-Images, Libraries oder Marketplace-Angebote.
* '''DoS/DDoS''': Angriffe auf öffentlich erreichbare Dienste, API-Gateways oder Load-Balancer.
* '''Rechtliche Risiken''': Zugriff durch Drittstaaten (z. B. CLOUD Act), DSGVO-Verstöße.
* '''Abhängigkeit (Vendor Lock-in)''': Schwerer Wechsel, wenn Sicherheitsprobleme oder Kosten explodieren.

== Typische Bedrohungsszenarien ==
* '''Krypto-Mining''': Angreifer nutzen geklaute Access-Keys, um teure Compute-Ressourcen zu missbrauchen.
* '''Ransomware in der Cloud''': Verschlüsselung von VM-Volumes, Datenbanken oder Backups.
* '''Fehlende Netzwerktrennung''': Ein kompromittiertes Testsystem wird zum Einfallstor für Produktionssysteme.
* '''Cloud-Ausfall''': Region oder Availability Zone fällt aus (z. B. AWS us-east-1) – Dienste global betroffen.

== Wichtige Sicherheitsmaßnahmen ==
* '''Identity & Access Management (IAM)''':
** Prinzip der minimalen Rechte (Least Privilege).
** Rollen statt statische Benutzerkonten.
** '''MFA''' für alle privilegierten Accounts.
** Rotieren und minimieren von API-Keys, besser Nutzung temporärer Tokens.
* '''Netzwerksicherheit & Zero Trust''':
** Private Subnetze, Security Groups, Network ACLs.
** Zero Trust Ansatz: Jeder Zugriff wird geprüft, auch intern.
** Einsatz von VPN oder Private Link für Managementzugriff.
* '''Verschlüsselung''':
** Data-at-Rest: Standard bei Cloud-Anbietern, Schlüsselmanagement entscheidend.
** Data-in-Transit: TLS 1.2/1.3 erzwingen.
** Bring Your Own Key (BYOK) oder Customer Managed Keys (CMK).
* '''Monitoring & Logging''':
** CloudTrail, CloudWatch, Azure Monitor, GCP Cloud Logging.
** Logs an zentrales SIEM weiterleiten.
** Alarmierung bei Anomalien.
* '''Compliance & Governance''':
** Orientierung an Standards: ISO 27001, SOC 2, BSI C5.
** Policy as Code: Terraform, OPA, AWS Config.
** Cloud Security Posture Management (CSPM).
* '''Incident Response''':
** Vorbereitung spezieller Cloud-Playbooks.
** Isolieren kompromittierter Instanzen (z. B. Quarantine VPC).
** Forensische Sicherung: Snapshots, Log-Export.

== Best Practices für den sicheren Cloud-Betrieb ==
* Security by Design: Sicherheitsrichtlinien von Anfang an in Deployments integrieren.
* Infrastructure as Code (IaC) nutzen, um reproduzierbare, überprüfbare Setups zu haben.
* Cloud-native Sicherheitsdienste nutzen (AWS GuardDuty, Azure Defender, GCP Security Command Center).
* Regelmäßige Penetrationstests und Red-Team-Übungen auch in der Cloud-Umgebung.
* Backups verschlüsseln, '''getrennt''' ablegen, Wiederherstellung regelmäßig testen.
* Kostenüberwachung aktivieren – plötzliche Peaks können Hinweise auf Missbrauch sein.
* Sensible Daten vor Speicherung anonymisieren oder pseudonymisieren.

== Praxisnahe Beispiele ==
* '''Offene S3-Buckets''' führten bei zahlreichen Unternehmen (z. B. Facebook, Verizon) zu massiven Datenlecks.
* '''Tesla-Fall''' 2018: Angreifer nutzten fehlerhafte Kubernetes-Konfiguration, um Krypto-Mining im AWS-Cluster zu betreiben.
* '''Code-Spiegelung''' bei GitHub: Angreifer nutzten geleakte Access-Tokens, um Quellcode großer Unternehmen zu kopieren.
* '''US-East-1-Ausfall''' 2020: Zahlreiche Dienste weltweit nicht erreichbar, da keine Redundanz über Regionen hinweg geplant war.

== Herausforderungen für Admins und Security-Spezialisten ==
* Komplexität: Vielzahl an Services, schnelllebige Weiterentwicklung.
* Transparenz: Wenig Einblick in physische Schichten, starke Abhängigkeit von Provider-Trust.
* Multi-Cloud-Szenarien: Unterschiedliche Sicherheitsmodelle pro Anbieter.
* Skills: Security-Teams benötigen spezielles Wissen über Cloud-spezifische Dienste, APIs, Tools.

== Quellen ==
* BSI C5: Cloud Computing Compliance Controls Catalogue
* ENISA Cloud Security Guidelines
* NIST SP 800-144: Guidelines on Security and Privacy in Public Cloud Computing
* Cloud Security Alliance (CSA) Cloud Controls Matrix
* AWS Well-Architected Framework – Security Pillar

@@ Zeile 23: / Zeile 23: @@
 == Angriffsvektoren und Risiken ==
-* '''Multi-Tenancy-Risiken''':
+* '''Fehlkonfigurationen'''
-  Cloud-Provider betreiben für viele Kunden gleichzeitig Hardware und Software.
+** Erklärung: Häufigstes Risiko in der Cloud – falsche Einstellungen führen zu offenen Daten.
-  Normalerweise ist eine strikte Trennung (Mandantentrennung) vorgesehen, z. B. über Hypervisoren oder Container-Isolation.
+** Beispiel: AWS S3 (Simple Storage Service) – wenn ein Bucket „öffentlich“ gesetzt ist, sind alle Dateien weltweit abrufbar.
-  Fehler in diesen Mechanismen (z. B. Side-Channel-Angriffe wie „Spectre/Meltdown“) könnten Angreifern Zugriff auf fremde Daten ermöglichen.
+** Vergleich: Gleiches gilt bei Azure Blob Storage oder Google Cloud Storage.
-* '''API-Sicherheit''':
+* '''Multi-Tenancy-Risiken'''
-  Alle Cloud-Dienste (VM-Erstellung, Datenbankzugriff, Netzwerksteuerung) laufen über Management-APIs.
+** Erklärung: Provider teilen Hardware und Software zwischen vielen Kunden.
-  Wer gültige Zugangsdaten (Access Keys, Tokens) hat, kann über die API Ressourcen starten, Daten kopieren oder löschen.
+** Risiko: Fehler in der Mandantentrennung können Zugriffe übergreifend ermöglichen.
-  Beispiel: Ein gestohlener AWS Access Key in einer GitHub-Repo kann von Angreifern sofort zum Missbrauch genutzt werden (z. B. für Krypto-Mining).
+** Beispiel: Side-Channel-Angriffe wie „Spectre“ oder „Meltdown“, die Isolation umgehen.
-* '''Datenexfiltration''':
+* '''API-Sicherheit'''
-  Vertrauliche Daten können absichtlich oder unabsichtlich nach außen gelangen.
+** Erklärung: Jede Cloud-Ressource wird über APIs gesteuert – vom VM-Start bis zur Datenbankkonfiguration.
-  Szenarien: Mitarbeiter mit weitreichenden Rechten kopiert Daten, Schadsoftware leitet Logs oder Datenbanken weiter, oder falsch gesetzte Zugriffsrechte machen Daten für Externe abrufbar.
+** Risiko: Gestohlene Credentials = vollständige Kontrolle durch Angreifer.
-  Besonders kritisch: personenbezogene Daten (DSGVO), Finanzdaten oder interne Geschäftsgeheimnisse.
+** Beispiel: Versehentlich in GitHub veröffentlichter AWS Access Key → Angreifer nutzen ihn für Krypto-Mining.
-* '''Kompromittierte Management-Accounts''':
+* '''Datenexfiltration'''
-  Root-Account bei AWS oder Global Admin bei Azure = volle Kontrolle über die Umgebung.
+** Erklärung: Unautorisierte Weitergabe sensibler Daten nach außen.
-  Ohne MFA und restriktive Policies ist ein kompromittierter Admin-Account katastrophal: Angreifer können VMs starten, Backups löschen, Logs manipulieren und Spuren verwischen.
+** Szenario: Mitarbeiter mit zu vielen Rechten lädt Daten herunter, Malware exfiltriert Logfiles oder Datenbanken.
-  In der Praxis einer der häufigsten Gründe für Totalverlust einer Cloud-Umgebung.
+** Risiko: Besonders kritisch für personenbezogene Daten (DSGVO) oder Geschäftsgeheimnisse.
-* '''Supply-Chain-Angriffe''':
+* '''Kompromittierte Management-Accounts'''
-  Cloud-Umgebungen nutzen viele externe Abhängigkeiten (Container-Images, Libraries, SaaS-Dienste).
+** Erklärung: Root- oder Global-Admin-Accounts sind der „Generalschlüssel“ der Cloud.
-  Angreifer können manipulierte Docker-Images in ein öffentliches Repository hochladen → wenn diese in Produktion landen, ist das gesamte System kompromittiert.
+** Risiko: Ohne MFA und strikte Policies können Angreifer alles übernehmen.
-  Auch Marketplace-Apps (z. B. VM-Images oder Plug-ins) können Hintertüren enthalten.
+** Folge: VMs starten/stoppen, Backups löschen, Logs manipulieren → vollständige Kontrolle.
-* '''DoS/DDoS''':
+* '''Supply-Chain-Angriffe'''
-  Cloud-Services sind öffentlich erreichbar. Angreifer können diese durch massive Anfragen überlasten.
+** Erklärung: Cloud-Umgebungen setzen auf externe Abhängigkeiten (Libraries, Container, Marketplace-Apps).
-  Beispiele: API-Gateway, Load-Balancer oder Webserver werden mit Traffic geflutet, sodass legitime Anfragen nicht mehr beantwortet werden.
+** Risiko: Manipulierte Images oder Libraries infizieren ganze Workloads.
-  Zwar bieten Provider Schutzmaßnahmen (z. B. AWS Shield, Azure DDoS Protection), aber ohne Konfiguration greifen diese nicht automatisch.
+** Beispiel: Schadcode in öffentlichen Docker-Images, die ungeprüft in Produktion übernommen werden.
-* '''Rechtliche Risiken''':
+* '''DoS/DDoS'''
-  Daten können durch Gesetze im Sitzland des Providers zugänglich werden (z. B. US Cloud Act = US-Behörden können auf Daten von US-Cloud-Anbietern zugreifen, auch wenn diese in Europa gespeichert sind).
+** Erklärung: Überlastung von Cloud-Diensten durch massenhafte Anfragen.
-  Zudem gelten Datenschutzanforderungen wie DSGVO, die nicht immer leicht mit global verteilten Cloud-Diensten vereinbar sind.
+** Risiko: APIs, Load-Balancer oder Webserver werden blockiert, legitime Nutzer ausgesperrt.
-  Folge: Compliance-Verstöße, hohe Bußgelder und Imageverlust.
+** Hinweis: Provider bieten Schutz (z. B. AWS Shield, Azure DDoS Protection), aber nur bei aktiver Konfiguration.
-* '''Abhängigkeit (Vendor Lock-in)''':
+* '''Rechtliche Risiken'''
-  Ein Wechsel zwischen Cloud-Anbietern ist technisch und organisatorisch schwierig, da APIs, Services und Datenmodelle oft proprietär sind.
+** Erklärung: Gesetze im Sitzland des Providers wirken extraterritorial.
-  Hat man einmal viele Systeme bei einem Anbieter integriert, ist man faktisch „gefangen“.
+** Beispiel: US CLOUD Act → US-Behörden dürfen auf Daten von US-Cloud-Anbietern zugreifen, auch in Europa.
-  Problematisch, wenn Kosten steigen, Sicherheitsprobleme bekannt werden oder regulatorische Anforderungen nicht mehr erfüllt sind.
+** Risiko: Konflikte mit Datenschutzgesetzen wie DSGVO, mögliche Bußgelder und Reputationsschäden.
 == Typische Bedrohungsszenarien ==

@@ Zeile 238: / Zeile 238: @@
 == Herausforderungen für Admins und Security-Spezialisten ==
-* Komplexität: Vielzahl an Services, schnelllebige Weiterentwicklung.
-* Transparenz: Wenig Einblick in physische Schichten, starke Abhängigkeit von Provider-Trust.
+* '''Komplexität'''
-* Multi-Cloud-Szenarien: Unterschiedliche Sicherheitsmodelle pro Anbieter.
+** Erklärung: Cloud-Anbieter bieten hunderte Services an (Compute, Storage, KI, Datenbanken, Netzwerk, Security).
-* Skills: Security-Teams benötigen spezielles Wissen über Cloud-spezifische Dienste, APIs, Tools.
+** Herausforderung: Neue Services und Funktionen werden im Monatsrhythmus eingeführt oder geändert.
 == Quellen ==

@@ Zeile 211: / Zeile 211: @@
 ** Vorteil: Fehlerprävention durch Wissenstransfer.
-== Praxisnahe Beispiele ==
+== Praxisbeispiele für Cloud-Sicherheitsvorfälle ==
-* '''Offene S3-Buckets''' führten bei zahlreichen Unternehmen (z. B. Facebook, Verizon) zu massiven Datenlecks.
-* '''Tesla-Fall''' 2018: Angreifer nutzten fehlerhafte Kubernetes-Konfiguration, um Krypto-Mining im AWS-Cluster zu betreiben.
+* '''Offene S3-Buckets'''
-* '''Code-Spiegelung''' bei GitHub: Angreifer nutzten geleakte Access-Tokens, um Quellcode großer Unternehmen zu kopieren.
+** Erklärung: S3 (Simple Storage Service) ist Amazons Objektspeicher. Standardmäßig privat, kann aber auf „öffentlich“ gesetzt werden.
-* '''US-East-1-Ausfall''' 2020: Zahlreiche Dienste weltweit nicht erreichbar, da keine Redundanz über Regionen hinweg geplant war.
+** Vorfälle: Zahlreiche Unternehmen (z. B. Facebook, Verizon, Accenture) haben vertrauliche Daten wie Quellcode, Kundendaten oder Passwörter ungeschützt im Internet hinterlassen.
 == Herausforderungen für Admins und Security-Spezialisten ==

@@ Zeile 145: / Zeile 145: @@
 == Best Practices für den sicheren Cloud-Betrieb ==
-* Security by Design: Sicherheitsrichtlinien von Anfang an in Deployments integrieren.
-* Infrastructure as Code (IaC) nutzen, um reproduzierbare, überprüfbare Setups zu haben.
+* '''Security by Design'''
-* Cloud-native Sicherheitsdienste nutzen (AWS GuardDuty, Azure Defender, GCP Security Command Center).
+** Sicherheitsrichtlinien und Compliance-Anforderungen von Beginn an in die Architektur einplanen.
-* Regelmäßige Penetrationstests und Red-Team-Übungen auch in der Cloud-Umgebung.
+** Beispiel: Zugriffskontrollen, Verschlüsselung, Logging gleich in IaC-Templates integrieren.
-* Backups verschlüsseln, '''getrennt''' ablegen, Wiederherstellung regelmäßig testen.
+** Vorteil: Weniger Aufwand, als Sicherheitslücken nachträglich zu schließen.
-* Kostenüberwachung aktivieren – plötzliche Peaks können Hinweise auf Missbrauch sein.
-* Sensible Daten vor Speicherung anonymisieren oder pseudonymisieren.
+* '''Infrastructure as Code (IaC)'''
 == Praxisnahe Beispiele ==

@@ Zeile 70: / Zeile 70: @@
 == Typische Bedrohungsszenarien ==
-* '''Krypto-Mining''': Angreifer nutzen geklaute Access-Keys, um teure Compute-Ressourcen zu missbrauchen.
-* '''Ransomware in der Cloud''': Verschlüsselung von VM-Volumes, Datenbanken oder Backups.
+* '''Krypto-Mining'''
-* '''Fehlende Netzwerktrennung''': Ein kompromittiertes Testsystem wird zum Einfallstor für Produktionssysteme.
+** Erklärung: Angreifer stehlen API-Keys oder Zugangsdaten und starten damit virtuelle Maschinen in großem Umfang.
-* '''Cloud-Ausfall''': Region oder Availability Zone fällt aus (z. B. AWS us-east-1) – Dienste global betroffen.
+** Ziel: Ausnutzen der Cloud-Ressourcen für das Schürfen von Kryptowährungen (z. B. Monero).
 == Wichtige Sicherheitsmaßnahmen ==

@@ Zeile 23: / Zeile 23: @@
 == Angriffsvektoren und Risiken ==
-* '''Fehlkonfigurationen''': Offene S3-Buckets, zu weitreichende IAM-Rollen, unsichere API-Endpunkte.
+* '''Fehlkonfigurationen''':
-* '''Multi-Tenancy-Risiken''': Mandantentrennung kann bei Implementierungsfehlern ausgenutzt werden.
+  Oft das größte Risiko in Cloud-Umgebungen. Beispiel: AWS S3 (Simple Storage Service) ist ein Objektspeicher.
-* '''API-Sicherheit''': Alle Cloud-Dienste werden über APIs gesteuert. Gestohlene Credentials = volle Kontrolle.
+  Wird ein S3-Bucket „öffentlich“ konfiguriert, kann jeder im Internet darauf zugreifen – inklusive vertraulicher Daten wie Backups, Quellcode oder personenbezogener Informationen.
-* '''Datenexfiltration''': Durch Insider, durch Malware oder durch falsch konfigurierte Zugriffsrechte.
+  Vergleichbar bei Azure Blob Storage oder Google Cloud Storage.
-* '''Kompromittierte Management-Accounts''': Root- oder Global-Admin-Accounts ohne MFA sind besonders kritisch.
-* '''Supply-Chain-Angriffe''': Manipulierte Container-Images, Libraries oder Marketplace-Angebote.
+* '''Multi-Tenancy-Risiken''':
-* '''DoS/DDoS''': Angriffe auf öffentlich erreichbare Dienste, API-Gateways oder Load-Balancer.
+  Cloud-Provider betreiben für viele Kunden gleichzeitig Hardware und Software.
-* '''Rechtliche Risiken''': Zugriff durch Drittstaaten (z. B. CLOUD Act), DSGVO-Verstöße.
+  Normalerweise ist eine strikte Trennung (Mandantentrennung) vorgesehen, z. B. über Hypervisoren oder Container-Isolation.
-* '''Abhängigkeit (Vendor Lock-in)''': Schwerer Wechsel, wenn Sicherheitsprobleme oder Kosten explodieren.
+  Fehler in diesen Mechanismen (z. B. Side-Channel-Angriffe wie „Spectre/Meltdown“) könnten Angreifern Zugriff auf fremde Daten ermöglichen.
 == Typische Bedrohungsszenarien ==