Cloud Security Audit

Sicherheitsüberprüfung Ihrer Cloud-Umgebung

Die Cloud bietet enorme Flexibilität – aber auch neue Angriffsflächen. Fehlkonfigurationen, übermässige Berechtigungen und mangelnde Transparenz gehören zu den häufigsten Ursachen für Sicherheitsvorfälle in Cloud-Umgebungen. Unser Cloud Security Audit identifiziert Schwachstellen in Ihrer Konfiguration, bevor Angreifer sie ausnutzen.

Warum Cloud Security wichtig ist

Mit der Migration in die Cloud verlagert sich die Verantwortung für die Sicherheit – aber sie verschwindet nicht. Das Shared Responsibility Model bedeutet: Der Cloud-Anbieter sichert die Infrastruktur, aber Sie sind für die korrekte Konfiguration und den Schutz Ihrer Daten verantwortlich. In der Praxis sehen wir immer wieder dieselben Probleme: öffentlich zugängliche Storage-Buckets, überprivilegierte Service Accounts, fehlende Multi-Faktor-Authentifizierung und unzureichendes Logging.

Hinzu kommen regulatorische Anforderungen: Ob DSG, DSGVO, FINMA oder branchenspezifische Standards – die Compliance-Anforderungen an Cloud-Umgebungen wachsen stetig. Ein Cloud Security Audit hilft Ihnen, sowohl technische Risiken als auch Compliance-Lücken systematisch zu identifizieren und zu schliessen.

Was wir prüfen

Identity & Access Management

Netzwerkkonfiguration

Storage & Verschlüsselung

Logging & Monitoring

Unterstützte Plattformen

Unser Cloud Security Audit deckt die gängigsten Cloud-Plattformen ab. Wir passen unsere Prüfung an die spezifischen Sicherheitsfeatures und Best Practices jeder Plattform an:

Microsoft Azure

Amazon Web Services

Microsoft 365

Google Cloud

Unsere Methodik

01

Cloud Environment Assessment

02

Configuration Review

03

Identity & Access Analyse

04

Reporting & Remediation

Typisches Szenario

So könnte ein typisches Engagement aussehen

Branche: Technologieunternehmen

Umgebung: AWS

Dauer: 5 Tage

Framework: CIS Benchmarks, nDSG

Ein Schweizer Technologieunternehmen möchte seine AWS-Umgebung prüfen lassen, nachdem ein Sicherheitsvorfall bei einem Mitbewerber das Thema Cloud-Sicherheit auf die Agenda der Geschäftsleitung gebracht hat. Die Infrastruktur ist über zwei Jahre organisch gewachsen.

Zentrale Findings

Critical — 3 S3-Buckets mit Kundendaten sind öffentlich lesbar konfiguriert — inkl. Bestellhistorie und Adressdaten
High — IAM-Rolle mit AdministratorAccess ist von 14 EC2-Instanzen aus nutzbar — eine davon öffentlich erreichbar
Medium — CloudTrail-Logging ist in 2 von 4 genutzten Regionen deaktiviert — Angriffe bleiben unbemerkt

Öffentlich zugängliche S3-Buckets lassen sich innerhalb von 24 Stunden sperren. IAM-Überarbeitung und Logging-Setup werden typischerweise in einem 4-wöchigen Fahrplan umgesetzt.

Ergebnisse & Lieferobjekte

Nach Abschluss des Cloud Security Audits erhalten Sie:

Cloud Security Posture Report

Misconfiguration Findings

Compliance Mapping

Remediation Roadmap

Cloud Audit anfragen

Häufig gestellte Fragen

Wir prüfen alle gängigen Cloud-Plattformen: Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) sowie Microsoft 365 und Entra ID (ehemals Azure AD). Das Audit umfasst Konfiguration, Identitäts- und Zugriffsmanagement, Netzwerksicherheit, Datenverschlüsselung und Compliance-Einstellungen.

Für ein umfassendes Audit benötigen wir einen Lesezugriff (Read-Only) auf die Cloud-Konfiguration. Wir arbeiten mit minimalen Berechtigungen und stellen Ihnen vorab eine Liste der benötigten Rollen bereit. Alternativ können wir auch mit exportierten Konfigurationsdaten arbeiten oder Sie durch das Audit begleiten.

Ja, wir bewerten Ihre Cloud-Konfiguration auch im Hinblick auf regulatorische Anforderungen wie das revDSG, die DSGVO, ISO 27001 und branchenspezifische Vorgaben (z.B. FINMA für den Finanzsektor). Der Bericht enthält konkrete Empfehlungen zur Schliessung von Compliance-Lücken.

Ein Cloud Security Audit analysiert die Konfiguration und Architektur Ihrer Cloud-Umgebung systematisch auf Schwachstellen und Best-Practice-Abweichungen. Ein Penetrationstest hingegen simuliert aktive Angriffe. Beide Ansätze ergänzen sich ideal: Das Audit findet Fehlkonfigurationen, der Pentest zeigt, wie diese ausgenutzt werden können.