{"id":7835,"date":"2026-04-16T04:00:00","date_gmt":"2026-04-16T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=7835"},"modified":"2026-04-16T04:00:00","modified_gmt":"2026-04-16T04:00:00","slug":"was-bei-der-cloud-konfiguration-schieflauft-und-wie-es-besser-geht","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=7835","title":{"rendered":"Was bei der Cloud-Konfiguration schiefl\u00e4uft \u2013 und wie es besser geht"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Fehlerhaft konfigurierte Cloud-Dienste sorgen regelm\u00e4\u00dfig f\u00fcr Datenlecks \u2013 und schlimmeres.\n

DC Studio | shutterstock.com<\/p>\n<\/div>\n

Konfigurationsfehler in der Cloud, die Unternehmensdaten gef\u00e4hrden, sind nicht unbedingt etwas Neues \u2013 eher im Gegenteil<\/a>. Umso schlimmer, dass Unternehmen ihre Cloud-Ressourcen immer noch nicht durchg\u00e4ngig absichern. Zumindest legt das ein aktueller Report<\/a> nahe. Daf\u00fcr hat der Cloud-Sicherheitsanbieter Qualys 101 Cybersecurity- und IT-Profis befragt, zu deren Aufgaben es geh\u00f6rt, Cloud-Umgebungen abzusichern. Demnach:<\/p>\n

haben 28 Prozent<\/strong> der Befragten im vergangenen Jahr einen Breach in Zusammenhang mit der Cloud oder SaaS-Applikationen verzeichnet.<\/p>\n

sehen 24 Prozent<\/strong> falsch konfigurierte Services als das gr\u00f6\u00dfte Risiko f\u00fcr ihre Cloud-Umgebung an.<\/p>\n

Qualys nahm f\u00fcr seine Studie au\u00dferdem rund 44 Millionen virtuelle Maschinen (VMs<\/a>) unter die Lupe, die in Public Clouds gehostet werden. Dabei stellten die Experten fest, dass 45 Prozent<\/strong> der AWS-VMs, 63 Prozent<\/strong> der GCP-VMs und 70 Prozent<\/strong> der Azure-VMs \u00fcber falsch konfigurierte Ressourcen verf\u00fcgten.<\/p>\n

Die h\u00e4ufigsten Cloud-Konfigurationsfehler<\/h2>\n

Laut Ayan Roy<\/a>, Leiter des Bereichs Cybersicherheit bei EY Americas, aktivieren Unternehmen zwar durchaus bestimmte Cloud-Security-Funktionen, allerdings nicht alle. So blieben Logging, Monitoring und Multi-Faktor-Authentifizierung (MFA<\/a>) in vielen F\u00e4llen unbeachtet: \u201cUnternehmen wollen schnell vorankommen, und die Time-to-Value ist absolut entscheidend. Wenn Cybersicherheitsteams jedoch nicht in diese Entscheidungen eingebunden werden, beginnen die Probleme. So k\u00f6nnen die Sicherheitsprofis oft nur nachtr\u00e4glich Ma\u00dfnahmen ergreifen.\u201d<\/p>\n

Einen weiteren blinden Fleck in Sachen Cloud Security sieht Roy w\u00e4hrend Fusionen und \u00dcbernahmen<\/a>. Er mahnt Unternehmen dazu, in solchen F\u00e4llen proaktiv vorzugehen: \u201cF\u00fchren Sie eine Due Diligence durch, ber\u00fccksichtigen Sie diese auch und stellen Sie sicher, dass Sie den richtigen Cybersecurity-Investitionsplan haben.\u201d<\/p>\n

Laut Scott Wheeler<\/a>, Cloud Practice Lead bei Asperitas, treten mit steigender Unternehmensgr\u00f6\u00dfe auch weniger Cloud-Konfigurationsfehler auf. Das liegt laut dem Cloud-Experten vor allem an der Aufsicht durch Regulierungsbeh\u00f6rden. Kleine Firmen h\u00e4tten hingegen enorme Probleme, da sie weder \u00fcber das Personal noch die n\u00f6tigen Tools verf\u00fcgten, um Risiken im Zusammenhang mit der Cloud-Konfiguration zu managen \u2013 etwa exponierte Speicher-Buckets oder Web Services. \u00a0<\/p>\n

\u201cDas gesamte Konzept von Zero Trust<\/a> basiert auf der Tatsache, dass man den Zugriff auf das ben\u00f6tigte Minimum beschr\u00e4nken kann. Aber das ist in der Praxis schwer zu bewerkstelligen\u201d, erkl\u00e4rt Wheeler. Oftmals w\u00fcrden w\u00e4hrend der Entwicklung Berechtigungen erweitert und nach der Inbetriebnahme nicht wieder zur\u00fcckgesetzt, wie er beispielhaft anf\u00fchrt. Der regelm\u00e4\u00dfig gr\u00f6\u00dfte Fehler, den Wheeler beobachtet, sind jedoch Datenbanken oder andere Cloud-Assets, die \u00fcber nicht sichere, private Netzwerke kommunizieren. \u201cViele dieser Services unterst\u00fctzen das nicht \u2018out of the box\u2019. Es erfordert einiges an Arbeit, sie so zu konfigurieren, dass ausschlie\u00dflich privater Netzwerkverkehr in private Cloud- oder lokale Umgebungen flie\u00dft. Das ist ein gro\u00dfes Problem, das oft von kriminellen Hackern ausgenutzt wird.\u201d<\/p>\n

Und auch wenn viele Anbieter versprechen, dass KI auch Cloud Security einfacher, kosteng\u00fcnstiger und effektiver gestalten wird: Sie sollten nicht damit rechnen, dass Cloud-Konfigurationsprobleme schon morgen der Vergangenheit angeh\u00f6ren. Bis KI-Agenten<\/a> soweit sind, dass sie das zuverl\u00e4ssig \u00fcbernehmen k\u00f6nnen, wird noch ein bisschen Zeit ins Land ziehen.<\/p>\n

9 Tipps f\u00fcr sicherere Cloud-Konfigurationen<\/h2>\n

Tun k\u00f6nnen Sie dennoch etwas gegen fehlerhafte Cloud-Konfigurationen. Zum Beispiel: <\/p>\n

1. Multi-Faktor-Authentifizierung implementieren<\/strong><\/p>\n

MFA sollte f\u00fcr jede Form von Cloud-Zugriff zur Anwendung kommen, nicht nur f\u00fcr bestimmte Benutzer.<\/p>\n

2. Private Netzwerke f\u00fcr alle Services nutzen<\/strong><\/p>\n

Konfigurieren Sie Datenbanken und Cloud-Dienste so, dass sie nur \u00fcber private Netzwerke und nicht \u00fcber das \u00f6ffentliche Internet kommunizieren.<\/p>\n

3. Daten verschl\u00fcsseln<\/strong><\/p>\n

Datenverschl\u00fcsselung sollte f\u00fcr alle neuen und bestehenden Ressourcen standardm\u00e4\u00dfig aktiviert sein. Angesichts des nahenden Quanten-Zeitalters empfiehlt es sich f\u00fcr Unternehmen bereits jetzt auf quantensichere Verschl\u00fcsselungsalgorithmen zu setzen, um sich gegen sogenannte \u201cHarvest now, decrypt later\u201d-Angriffe zu sch\u00fctzen.<\/p>\n

4. Least-Privilege-Zugriffskontrollen anwenden<\/strong><\/p>\n

Benutzern und Systemen Zugriff auf m\u00f6glichst wenige Ressourcen zu gew\u00e4hren, ist ein Grundpfeiler moderner Zero-Trust-Sicherheitsprinzipien. Konten mit \u00fcberm\u00e4\u00dfigen Berechtigungen k\u00f6nnen schnell zu Datenverlust f\u00fchren, wenn sie missbraucht werden.<\/p>\n

5. Infrastructure as Code verwenden<\/strong><\/p>\n

Wenn Administratoren oder Benutzer \u00c4nderungen an Cloud-Konfigurationen in den Cloud-Management-Konsolen vornehmen, ist es oft schwierig, diese nachzuvollziehen \u2013 und r\u00fcckg\u00e4ngig zu machen, wenn etwas schiefgeht. Das Prinzip von Infrastructure as Code<\/a> hilft an dieser Stelle: Verwenden Sie entsprechende Konfigurationsmanagement-Tools, um s\u00e4mtliche \u00c4nderungen anhand von Richtlinien zu \u00fcberpr\u00fcfen, nachzuverfolgen und auditieren zu k\u00f6nnen.<\/p>\n

6. Kontinuierlich scannen<\/strong><\/p>\n

Einmal bei der Ersteinrichtung der Cloud-Ressourcen zu \u00fcberpr\u00fcfen, ob die Konfigurationen aktuell sind, reicht nicht aus. Unternehmen m\u00fcssen sicherstellen, dass sich nichts ver\u00e4ndert. Zu diesem Zweck haben einige Cloud-Anbieter native Tools im Angebot. L\u00f6sungen aus dem Bereich Cloud Security Posture Management (CSPM<\/a>) k\u00f6nnen au\u00dferdem dabei unterst\u00fctzen, L\u00fccken zu schlie\u00dfen oder Multi-Cloud-Umgebungen zu \u00fcberwachen.<\/p>\n

7. Speicher-Buckets sperren<\/strong><\/p>\n

Unsichere Amazon-S3-Buckets waren vor einigen Jahren bei Cyberkriminellen sehr popul\u00e4r \u2013 und sind nach wie vor ein g\u00e4ngiges Problem f\u00fcr Unternehmen. Um sicherzustellen, dass der Storage standardm\u00e4\u00dfig privat ist, empfehlen sich Bucket Policies und -Zugriffskontrollen.<\/p>\n

8. Logging und Monitoring einziehen<\/strong><\/p>\n

Viele Unternehmen \u00fcberwachen essenzielle Cloud Services, dabei bleibt Schatten-IT<\/a> jedoch oft au\u00dfen vor. Das ist weniger ein technologisches, als vielmehr ein Management-Problem und l\u00e4sst sich durch bessere Kommunikation mit den Gesch\u00e4ftsbereichen und einen disziplinierteren Ansatz bei der Bereitstellung von Technologien l\u00f6sen.<\/p>\n

9. Security by Design verinnerlichen<\/strong><\/p>\n

Integrieren Sie Sicherheit von Anfang an in Ihre Cloud-Architektur \u2013 es ist immer deutlich schwieriger, nachtr\u00e4glich aufzur\u00fcsten. (fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Fehlerhaft konfigurierte Cloud-Dienste sorgen regelm\u00e4\u00dfig f\u00fcr Datenlecks \u2013 und schlimmeres. DC Studio | shutterstock.com Konfigurationsfehler in der Cloud, die Unternehmensdaten gef\u00e4hrden, sind nicht unbedingt etwas Neues \u2013 eher im Gegenteil. Umso schlimmer, dass Unternehmen ihre Cloud-Ressourcen immer noch nicht durchg\u00e4ngig absichern. Zumindest legt das ein aktueller Report nahe. Daf\u00fcr hat der Cloud-Sicherheitsanbieter Qualys 101 Cybersecurity- […]<\/p>\n","protected":false},"author":0,"featured_media":6417,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-7835","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7835"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7835"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7835\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6417"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}