Welche Cloud-Plattformen werden geprüft?

Wir prüfen alle gängigen Cloud-Plattformen: Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) sowie Microsoft 365 und Entra ID (ehemals Azure AD). Das Audit umfasst Konfiguration, Identitäts- und Zugriffsmanagement, Netzwerksicherheit, Datenverschlüsselung und Compliance-Einstellungen.

Brauchen Sie Admin-Zugang zu unserer Cloud-Umgebung?

Für ein umfassendes Audit benötigen wir einen Lesezugriff (Read-Only) auf die Cloud-Konfiguration. Wir arbeiten mit minimalen Berechtigungen und stellen Ihnen vorab eine Liste der benötigten Rollen bereit. Alternativ können wir auch mit exportierten Konfigurationsdaten arbeiten oder Sie durch das Audit begleiten.

Prüfen Sie auch die Compliance mit regulatorischen Anforderungen?

Ja, wir bewerten Ihre Cloud-Konfiguration auch im Hinblick auf regulatorische Anforderungen wie das revDSG, die DSGVO, ISO 27001 und branchenspezifische Vorgaben (z.B. FINMA für den Finanzsektor). Der Bericht enthält konkrete Empfehlungen zur Schliessung von Compliance-Lücken.

Wie unterscheidet sich ein Cloud Security Audit von einem Pentest?

Ein Cloud Security Audit analysiert die Konfiguration und Architektur Ihrer Cloud-Umgebung systematisch auf Schwachstellen und Best-Practice-Abweichungen. Ein Penetrationstest hingegen simuliert aktive Angriffe. Beide Ansätze ergänzen sich ideal: Das Audit findet Fehlkonfigurationen, der Pentest zeigt, wie diese ausgenutzt werden können.

Cloud Security Audit

Sicherheitsüberprüfung Ihrer Cloud-Umgebung

Die Cloud bietet enorme Flexibilität – aber auch neue Angriffsflächen. Fehlkonfigurationen, übermässige Berechtigungen und mangelnde Transparenz gehören zu den häufigsten Ursachen für Sicherheitsvorfälle in Cloud-Umgebungen. Unser Cloud Security Audit identifiziert Schwachstellen in Ihrer Konfiguration, bevor Angreifer sie ausnutzen.

Warum Cloud Security wichtig ist

Mit der Migration in die Cloud verlagert sich die Verantwortung für die Sicherheit – aber sie verschwindet nicht. Das Shared Responsibility Model bedeutet: Der Cloud-Anbieter sichert die Infrastruktur, aber Sie sind für die korrekte Konfiguration und den Schutz Ihrer Daten verantwortlich. In der Praxis sehen wir immer wieder dieselben Probleme: öffentlich zugängliche Storage-Buckets, überprivilegierte Service Accounts, fehlende Multi-Faktor-Authentifizierung und unzureichendes Logging.

Hinzu kommen regulatorische Anforderungen: Ob DSG, DSGVO, FINMA oder branchenspezifische Standards – die Compliance-Anforderungen an Cloud-Umgebungen wachsen stetig. Ein Cloud Security Audit hilft Ihnen, sowohl technische Risiken als auch Compliance-Lücken systematisch zu identifizieren und zu schliessen.

Was wir prüfen

Identity & Access Management

Netzwerkkonfiguration

Storage & Verschlüsselung

Logging & Monitoring

Unterstützte Plattformen

Unser Cloud Security Audit deckt die gängigsten Cloud-Plattformen ab. Wir passen unsere Prüfung an die spezifischen Sicherheitsfeatures und Best Practices jeder Plattform an:

Microsoft Azure

Amazon Web Services

Microsoft 365

Google Cloud

Für wen ist das?

IT-Teams mit Cloud-Infrastruktur: AWS, Azure oder GCP produktiv im Einsatz und Konfiguration validieren
Unternehmen vor oder nach Cloud-Migration: Shared-Responsibility-Lücken schliessen
Compliance-Teams: Cloud-Konfiguration gegen CIS Benchmarks und regulatorische Anforderungen prüfen

Unsere Methodik

01

Cloud Environment Assessment

02

Configuration Review

03

Identity & Access Analyse

04

Reporting & Remediation

Aus der Praxis

Anonymisiertes Praxisbeispiel

Ein Schweizer Technologieunternehmen. AWS. 3 S3-Buckets mit Kundendaten öffentlich lesbar.

S3-Buckets innerhalb von 24 Stunden gesperrt. IAM-Überarbeitung und Logging-Setup im Vier-Wochen-Fahrplan umgesetzt. Anschliessend: keine öffentlich exponierten Ressourcen mehr.

3 öffentliche S3-Buckets 14 Instanzen mit Admin-Zugriff Erste Fixes in 24h

Branche: Technologieunternehmen

Umgebung: AWS

Dauer: 5 Tage

Ein Schweizer Technologieunternehmen möchte seine AWS-Umgebung prüfen lassen, nachdem ein Sicherheitsvorfall bei einem Mitbewerber das Thema Cloud-Sicherheit auf die Agenda der Geschäftsleitung gebracht hat. Die Infrastruktur ist über zwei Jahre organisch gewachsen.

Zentrale Findings

Critical 3 S3-Buckets mit Kundendaten sind öffentlich lesbar konfiguriert — inkl. Bestellhistorie und Adressdaten
High IAM-Rolle mit AdministratorAccess ist von 14 EC2-Instanzen aus nutzbar — eine davon öffentlich erreichbar
Medium CloudTrail-Logging ist in 2 von 4 genutzten Regionen deaktiviert — Angriffe bleiben unbemerkt

Ihre Ergebnisse

Nach Abschluss des Cloud Security Audits erhalten Sie:

Cloud Security Posture Report

Misconfiguration Findings

Compliance Mapping

Remediation Roadmap

ab CHF 4'500

Typische Dauer: 3–7 Tage

Jetzt anfragen

Warum manuelle Prüfung?

✓ 20x mehr Schwachstellen: Manuelle Prüfungen finden Fehlkonfigurationen, die automatisierte Scanner als konform einstufen.
✓ Geschäftslogik-Fehler: Fehler in der Anwendungslogik, die kein Tool erkennen kann.
✓ Regulatorische Anforderungen: DORA, NIS2, PCI DSS 4.0 verlangen explizit manuelle Prüfung.
✓ Keine False Positives: Nur bestätigte, ausnutzbare Schwachstellen — kein Rauschen.