Ihre Web App wurde gehackt – Wer trägt die Verantwortung? Cloud Security bei AWS, Google Cloud und Microsoft Azure verstehen

Sie haben Ihr Unternehmen in der Cloud aufgebaut und dabei Plattformen wie AWS, Google Cloud oder Microsoft Azure genutzt, weil Ihnen gesagt wurde, dass der Pay-as-you-go-Service Ihnen die Flexibilität bietet, je nach Nutzung und Wachstum Ihres Unternehmens hoch- oder herunterzuskalieren.

Alles lief reibungslos — bis es das nicht mehr tat.

Ein Sicherheitsvorfall tritt ein. Wer ist verantwortlich? Der Cloud-Anbieter? Ihr beauftragtes Entwicklerteam? Oder vielleicht doch Sie selbst als Geschäftsinhaber?

Stellen Sie sich vor, Sie sind ein Tech-Gründer, der ein vielversprechendes SaaS-Unternehmen aufgebaut hat. Ihre Plattform beginnt, Umsätze zu generieren und das Interesse von Investoren zu wecken. Plötzlich wird Ihre Plattform kompromittiert, Kundendaten werden offengelegt und Ihr guter Ruf hängt am seidenen Faden.

Das ist kein hypothetisches Szenario — es passiert häufiger, als Sie denken.

Realitätscheck: Geteilte Verantwortung

Viele Unternehmer glauben, dass ihre Anwendungen durch die Nutzung von Top-Cloud-Anbietern automatisch vollständig gesichert sind.

Leider ist das eine Illusion. Zwar geben Cloud-Anbieter ihr Bestes, um die Infrastruktur zu schützen, aber sie sind nicht für die Sicherheit Ihrer Anwendung verantwortlich.

Sehen wir uns an, was die einzelnen Anbieter dazu sagen:

AWS:

Verantwortung von AWS: Security of the cloud - Dazu gehören die Hardware, Software, Netzwerke und Einrichtungen, die die AWS Cloud Services betreiben.
Ihre Verantwortung: Security in the cloud - Sie sind verantwortlich für den Schutz Ihrer Kundendaten, Ihrer Anwendungen, Ihres Identity- und Access-Managements sowie Ihrer Konfigurationen.

Wenn Ihre Anwendung, die auf einer EC2-Instanz läuft, aufgrund von Fehlkonfigurationen oder Schwachstellen in Ihrem Code kompromittiert wird, liegt die Verantwortung bei Ihnen. 👉 Mehr dazu lesen

Google Cloud:

Shared Responsibility: Ähnlich wie AWS schützt Google die Infrastruktur, während Sie für Ihre Daten und Anwendungen verantwortlich sind.
Shared Fate: Google geht noch einen Schritt weiter und betont die Zusammenarbeit. Sie stellen Tools, Best Practices und Konfigurationshilfen bereit, um eine sichere Umgebung aufzubauen. Aber: Die Umsetzung und konsequente Nutzung dieser Hilfsmittel bleibt Ihre Verantwortung. 👉 Mehr dazu lesen

Microsoft Azure:

Verantwortung von Azure je nach Bereitstellungsmodell:
- SaaS: Microsoft sichert alles bis zur Anwendung.
- PaaS: Microsoft sichert Infrastruktur und Betriebssystem. Sie teilen die Verantwortung für die Absicherung Ihrer Anwendung, der Netzwerkkontrollen sowie der Identitäts- und Verzeichnisdienste.
- IaaS: Microsoft sichert nur die physische Infrastruktur.
- On-Premises: Sie tragen die vollständige Verantwortung.
Ihre Verantwortung: Unabhängig vom Modell bleiben Sie stets verantwortlich für den Schutz Ihrer Daten, Endgeräte, Konten und Zugriffskontrollen. 👉 Mehr dazu lesen

Egal, welchen Cloud-Anbieter oder welches Servicemodell Sie wählen – Sie können die Verantwortung für die Sicherheit Ihrer eigenen Anwendungen, Daten und Konfigurationen nicht abgeben. Cloud Security ist eine gemeinsame Verantwortung – und die Vernachlässigung Ihres Anteils kann zu Sicherheitsvorfällen und erheblichen finanziellen Verlusten führen.

Die gefährliche Fehlkonfiguration

Die Cloud-Dienste dieser Anbieter sind äußerst nützlich und erleichtern die Arbeit erheblich. — aber leider auch sehr leicht falsch zu konfigurieren. Eine einzige unkontrollierte Einstellung kann Ihre Plattform für Angreifer weit offen lassen.

Hier einige der häufigsten Fehler, die Cloud-Kunden machen:

Zu breite Berechtigungen:

Zuweisung von Administratorrechten an Anwendungen oder Nutzer, die sie nicht benötigen, wodurch im Falle eines Angriffs der Schaden drastisch erhöht wird.

👉 Beispiel: Übermäßig großzügige IAM-Rollen ermöglichten einem Angreifer den Zugriff auf über 100 Millionen Kreditdaten von Capital One.
Fehlkonfigurierte Firewalls und Sicherheitsgruppen:

Server, die unbeabsichtigt direkt dem öffentlichen Internet ausgesetzt sind, erlauben den Zugriff auf Datenbanken, Admin-Dashboards oder interne Dienste.

👉 Beispiel: So finden Sie mit Shodan öffentlich zugängliche ElasticSearch-Datenbanken, die versehentlich offengelassen wurden.
Öffentlich zugänglicher Speicher:

Fehlkonfigurierte AWS S3 Buckets, Azure Blob Storage oder Google Cloud Storage Buckets machen vertrauliche Daten für jedermann zugänglich.

👉 Beispiel: Accenture machte Kundendaten durch einen falsch konfigurierten S3-Bucket öffentlich zugänglich.
Fehlende Multi-Faktor-Authentifizierung (MFA):

Insbesondere bei Root- oder Administratorkonten kann das Fehlen von MFA es Angreifern sehr leicht machen, vollständigen Zugriff zu erlangen.

Selbst wenn ein Auftragnehmer oder ein ausgelagertes Entwicklungsteam Ihre Cloud-Umgebung aufsetzt, garantiert dies keine Sicherheit.

Ihre Auftragnehmer könnten Ihre Umgebung falsch konfiguriert haben — aber ohne klare vertragliche Regelungen zur Haftung bleiben Sie verantwortlich — sowohl rechtlich als auch in den Augen Ihrer Kunden und Behörden.

Ihr Cloud-Anbieter stellt Ihnen die Infrastruktur bereit — aber die Absicherung Ihrer Anwendungen und Daten liegt in Ihrer Hand.

Ihr Unternehmen in der Cloud schützen

Die Cloud bietet enorme Skalierbarkeit und Flexibilität — doch Sicherheit ist nicht automatisch gewährleistet.

Fehlkonfigurationen, zu breite Berechtigungen, ungesicherter Speicher und fehlende Grundschutzmaßnahmen sind alltäglich — und Angreifer wissen genau, wonach sie suchen.

Die gute Nachricht? Die meisten Sicherheitsvorfälle sind vermeidbar, wenn die richtigen Cybersecurity Best Practices eingehalten und eine proaktive Cybersecurity Assessment von Webanwendungen und Cloud-Umgebungen durchgeführt wird.

Denken Sie darüber nach:

Wir alle zahlen für unsere Krankenversicherung, um uns vor unerwarteten medizinischen Kosten zu schützen und gehen jährlich zu Vorsorgeuntersuchungen. Doch viel zu oft vergessen wir, in den Schutz unserer Unternehmen zu investieren — jener Unternehmen, die unser Einkommen sichern, unsere Mitarbeiter unterstützen und unsere Zukunft tragen. Die Risiken, dies zu vernachlässigen, können weitaus teurer sein, als viele denken.

Wenn Sie Geschäftsinhaber, Gründer oder technischer Manager sind, ist die Absicherung Ihrer Webanwendung und Cloud-Umgebung keine optionale Aufgabe, sondern entscheidend für den Schutz Ihrer Kunden, Ihrer Einnahmen und Ihres Unternehmens.

Ich helfe Ihnen, Ihr Unternehmen zu schützen. Ich biete professionelle Cybersecurity-Assessments speziell für Anwendungen, die in der Cloud gehostet werden. Ein Cybersecurity Assessment ist eine strukturierte Sicherheitsüberprüfung, bei der Ihre Webanwendung und Cloud-Umgebung auf Schwachstellen, Fehlkonfigurationen und potenzielle Risiken untersucht werden.

Sehen Sie mein Angebot hier

Warten Sie nicht auf einen Vorfall. Buchen Sie noch heute Ihre Cybersecurity Assessment und machen Sie den ersten Schritt zu einer sichereren, resilienteren Cloud-Umgebung — bevor es die Angreifer tun.

FAQ

Wie definiert man klare Prozesse zur Vorfallmeldung?

Das Definieren klarer Prozesse zur Vorfallmeldung (Incident Reporting) ist ein zentraler Bestandteil von Informationssicherheit und gesetzlicher Compliance (z. B. nach NIS2, ISO 27001, DSGVO). Hier ist eine einfache und praxisnahe Anleitung, wie Sie einen klaren Meldeprozess aufbauen können:

1. Was ist ein meldepflichtiger Vorfall? – Definition festlegen

Zuerst muss klar sein, welche Ereignisse als sicherheitsrelevante Vorfälle gelten:

z. B.:

Datenlecks
IT-Systemausfälle
Malware-Befall
Verdächtige Zugriffe oder unbefugte Datenübertragungen

Tipp: Dokumentieren Sie konkrete Beispiele und Schwellwerte, wann eine Meldung erforderlich ist.

2. Zuständigkeiten festlegen

Wer darf/muss Vorfälle melden? (z. B. alle Mitarbeitenden)
Wer nimmt die Meldung entgegen? (z. B. IT-Security-Team, Datenschutzbeauftragter)
Wer entscheidet über weitere Schritte? (z. B. Geschäftsführung, Incident Response Team)

Rollen klar benennen → z. B. in einer RACI-Matrix.

3. Meldekanäle und -form definieren

Wie soll gemeldet werden?
Per E-Mail, internes Ticketsystem, Telefon, spezielle Incident-Mailbox?
Gibt es ein Meldeformular?

Tipp: Einheitliches, leicht ausfüllbares Formular einführen (digital oder Papier), z. B. mit Feldern:

Datum/Uhrzeit
Beschreibung des Vorfalls
Betroffene Systeme/Personen
Erste Einschätzung der Auswirkungen

4. Zeitfristen festlegen (z. B. 72 Stunden nach DSGVO)

Innerhalb welcher Frist muss ein Vorfall intern und ggf. an Behörden gemeldet werden?

Beispiel:

Bei Datenschutzverstößen nach DSGVO → Meldung an Aufsichtsbehörde innerhalb von 72 Stunden.
NIS2 verlangt ebenfalls zeitnahe Meldung (z. B. erste Einschätzung innerhalb von 24 Stunden).

5. Reaktions- und Eskalationsplan erstellen

Was passiert nach der Meldung?
Wer analysiert den Vorfall?
Welche Maßnahmen werden ergriffen?
Welche internen/externe Stellen müssen informiert werden?

Notfallplan mit Eskalationsstufen definieren.

6. Schulung und Awareness

Mitarbeitende regelmäßig schulen:

Was ist ein Vorfall?
Wie und wann meldet man ihn?
Was passiert danach?

Sicherheit lebt vom Mitmachen – je klarer und einfacher der Prozess, desto eher wird er genutzt.

7. Dokumentation und Nachbereitung

Jeder Vorfall muss dokumentiert werden (auch Fehlalarme!)
Lessons Learned: Was lief gut, was kann verbessert werden?

Zentrale Vorfall-Dokumentation aufbewahren – wichtig für Audits und Nachweise bei Behörden.

Bonus: Was macht einen „klaren“ Prozess aus?

Einfach & verständlich für alle Mitarbeitenden
Schnell zugänglich (z. B. Intranet, Aushang)
Verantwortlichkeiten eindeutig geregelt
In der Praxis getestet – nicht nur auf dem Papier

Welche Grundkonfigurationen bieten Cloud-Anbieter an?

Cloud-Anbieter stellen in der Regel eine Reihe von Grundkonfigurationen (Infrastruktur und Dienste) bereit, damit Nutzer Anwendungen und Systeme in der Cloud aufbauen und verwalten können.

Die wichtigsten Kategorien sind:

1. Rechenressourcen (Compute)

Virtuelle Maschinen (VMs):

Virtuelle Maschinen sind softwarebasierte Nachbildungen von physischen Computern, die es ermöglichen, mehrere Betriebssysteme gleichzeitig auf einem physischen Rechner auszuführen.

Container-Dienste (z. B. Kubernetes)
Serverlose Funktionen (Serverless Functions)

2. Speicherdienste (Storage)

Objektspeicher (z. B. S3):
Objektspeicher ist eine Speicherart, die Daten als einzelne, unabhängig verwaltete Objekte mit zugehörigen Metadaten und eindeutigen Identifikatoren speichert.
Blockspeicher (Block Storage):
Blockspeicher ist eine Speicherart, bei der Daten in kleinen, gleich großen Blöcken gespeichert und von Betriebssystemen wie eine Festplatte verwaltet werden.
Dateispeicher (File Storage)
Datenbankdienste (SQL/NoSQL)

3. Netzwerkdienste (Networking)

Virtuelles privates Netzwerk (VPC)
Lastenausgleich (Load Balancers)
Domain-Name-System (DNS)
Firewalls und Sicherheitsgruppen (Firewall / Security Groups)

4. Sicherheits- und Identitätsmanagement (Security & Identity)

Identitäts- und Zugriffsmanagement (IAM)
Verschlüsselungsdienste (Encryption)
Protokollierungs- und Überwachungsdienste (Logging & Monitoring)
Compliance- und Audit-Tools

5. Entwicklungs- und Verwaltungstools (Developer & Management Tools)

Automatisierte Bereitstellung (CI/CD)
Konfigurationsmanagement
Monitoring und Alarmierung
Backup und Wiederherstellung

Welche häufigen Fehler machen Cloud-Kunden, die zu Hackerangriffen führen können?

Schwache Zugangsdaten und schlechte Passwortverwaltung

Verwendung einfacher oder wiederverwendeter Passwörter
Fehlende Multi-Faktor-Authentifizierung (MFA)

Fehlkonfigurierte Cloud-Ressourcen

Offene Speicher-Buckets (z. B. S3 ohne Zugriffsschutz)
Fehlende oder falsch konfigurierte Firewalls und Sicherheitsgruppen
Unzureichende Zugriffsrechte (zu großzügige Berechtigungen)

Unzureichendes Monitoring und Logging

Keine oder unvollständige Überwachung von ungewöhnlichen Aktivitäten
Fehlende Protokollierung von Zugriffen und Änderungen

Veraltete Software und unregelmäßige Updates

Nicht gepatchte Betriebssysteme und Anwendungen
Sicherheitslücken durch veraltete Komponenten

Mangelnde Verschlüsselung

Daten werden unverschlüsselt gespeichert oder übertragen
Keine Nutzung von Verschlüsselung für ruhende oder übertragene Daten

Unzureichende Backup- und Wiederherstellungspläne

Fehlende oder unregelmäßige Backups
Keine Tests von Wiederherstellungsprozessen

Keine klare Verantwortlichkeit und Schulung

Unklare Zuständigkeiten für Sicherheit in der Cloud
Fehlendes Bewusstsein und Training der Mitarbeiter zu Sicherheitsrisiken