Datensicherheit in der Cloud: Richtlinien und Praktiken bei AWS

Datenrisiken minimieren AWS-Cloud-Umgebung effektiv schützen

24.03.2025 Ein Gastbeitrag von Volker Sommer* 3 min Lesedauer

Anbieter zum Thema

Varonis Systems (Deutschland) GmbH

netfiles GmbH

Cloudgermany.de GmbH

STACKIT GmbH & Co. KG

Bei vielen Sicherheitsverantwortlichen schwingt bei der Cloud-Nutzung immer die Angst um die Datensicherheit mit. Nicht ganz zu Unrecht: Unbekannte unternehmensweite Einstellungen oder einfache Fehlkonfigurationen können die Unternehmensdaten gefährden.

AWS will mit ausgewählten Sicherheitsstrategien effektiv vor Datenrisiken in der AWS-Cloud schützen.(Bild: Best - stock.adobe.com / KI-generiert) — AWS will mit ausgewählten Sicherheitsstrategien effektiv vor Datenrisiken in der AWS-Cloud schützen.
(Bild: Best - stock.adobe.com / KI-generiert)

Wie alle Cloud-Anbieter basiert auch AWS auf dem Modell der geteilten Verantwortung. Das bedeutet, dass AWS für die Sicherheit der Cloud sorgt, einschließlich der physischen Sicherheit der Rechenzentren, der Hard- und Software sowie der Netzwerkinfrastruktur. Für die Sicherheit in der Cloud, wie Identitäts- und Zugriffsverwaltung oder Netzwerk- und Datensicherheit in der Umgebung, sind jedoch die Kunden verantwortlich.

AWS verwaltet Zugriffsberechtigungen mithilfe von IAM (Identity and Access Management) und ermöglicht es Sicherheitsverantwortlichen, Richtlinien zu erstellen, die festlegen, welche Aktionen Benutzer oder Services für bestimmte Ressourcen durchführen können. Diese Richtlinien werden mit Benutzern, Gruppen oder Rollen verknüpft. AWS überprüft sie, um zu entscheiden, ob eine Anfrage zugelassen oder abgelehnt werden soll. Dieses Modell steuert also, wer was in der AWS-Umgebung tun darf. Sicherheitsteams müssen diesen Ansatz verstehen, um vertrauliche Informationen zu schützen und die Risiken der gegenwärtigen Cloud-Bedrohungen zu minimieren. Hierzu umfasst die AWS-Architektur sieben Prinzipien, um die Datensicherheit stärken.

Nicht alle Cloud-Vorfälle führen gleich zu Betriebsstörungen und viele Cloud-Attacken werden gar nicht erkannt und somit auch nicht abgewehrt. (Bild: Gorodenkoff - stock.adobe.com)

Ein starkes Identitätsfundament implementieren

Der erste Grundsatz besteht darin, eine solide Identitätsgrundlage zu schaffen. Dazu gehören die folgenden Maßnahmen:

Umsetzung des Least-Privilege-Modells. Dieser Grundsatz beschränkt den Zugriff der Benutzer auf das, was für ihre Aufgabe erforderlich ist. Wenn Benutzer beispielsweise Lese- und Schreibzugriff auf einen S3-Bucket erhalten, obwohl nur Lesezugriff erforderlich ist, verstößt dies gegen diesen Grundsatz.

Keine Nutzung des Root-Kontos für tägliche Aufgaben. Root-Benutzeranmeldeinformationen bieten unbegrenzten Zugriff auf ein Konto und alle seine Ressourcen. Deshalb ist die Verwendung für tägliche Routineaufgaben enorm riskant. Stattdessen sollten IAM-Benutzer und -Rollen mit eingeschränkten Rechten verwendet werden. Zudem sollten MFA für das Root-Konto aktiviert und die Anmeldedaten des Root-Benutzers sicher gespeichert sein.

Strikte Aufgabentrennung. Sicherheitsverantwortliche sollten eine Aufgabentrennung mit entsprechender Autorisierung für jede Interaktion mit AWS-Ressourcen erzwingen und den privilegierten Zugriff beschränken. Hierdurch reduziert sich der Explosionsradius, also der Schaden, den ein kompromittiertes Konto verursachen kann, enorm.

Zentralisierung der Identitätsverwaltung und Beseitigung von langfristigen statischen Anmeldedaten. Die Verwendung temporärer Berechtigungsnachweise reduziert das Risiko für die Umgebung deutlich.

Regelmäßige Audits der Zugriffsberechtigungen. Auf diese Weise können überflüssige Berechtigungen identifiziert und eliminiert sowie Konfigurationsfehler erkannt werden.

Transparenz ermöglichen

Eine einfache Nachverfolgbarkeit ist grundlegend. Sicherheitsverantwortliche sollten eine umfassende Protokollierung und Überwachung implementieren und Echtzeitwarnungen einrichten, um über Aktionen und Änderungen in der Umgebung auf dem Laufenden zu bleiben. Darüber hinaus sollten Logs und Metriken in Systeme integriert werden, die automatisch Untersuchungen durchführen und entsprechende Maßnahmen einleiten.

Sicherheit auf allen Ebenen schaffen

Ein „Defense-in-Depth“-Ansatz setzt auf mehrschichtige Sicherheitskontrollen und stellt so sicher, dass beim Ausfall einer Schicht die anderen weiterhin Schutz bieten. Auf diese Weise wird die Gesamtsicherheit erhöht und das Risiko von Sicherheitsverletzungen verringert. Der Ansatz umfasst die Implementierung von Schutzmaßnahmen am Netzwerkrand, in der Virtual Private Cloud (VPC), bei Load Balancern, im Betriebssystem, in Anwendungen und im Code.

Die notwendige Security beim Cloud-Edge-Computing bezieht sich nicht nur auf Datensicherheit, sondern verlangt einen ganzheitlichen Ansatz. (Bild: Who is Danny - stock.adobe.com)

Bewährte Sicherheitsverfahren automatisieren

Sicherheitsverantwortliche sollten Infrastructure as Code (IaC) nutzen, programmgesteuerte Sicherheitskontrollen implementieren und Sicherheitsprozesse und -reaktionen automatisieren. Intelligente Data Security Posture Management (DSPM)-Lösungen sind darüber hinaus in der Lage, kontinuierlich sensitive Daten in den Cloud- und On-Premises-Umgebungen zu erkennen, zu klassifizieren und zu schützen. Ein proaktiver Ansatz stellt dabei sicher, dass sensitive Daten nicht versehentlich preisgegeben werden, und erhöht die Sicherheit der IaC-Implementierungen.

Daten bei der Übertragung und im Ruhezustand schützen

Die Verschlüsselung von Daten bei der Übertragung und im Ruhezustand ermöglicht die Implementierung geeigneter Zugriffskontrollen. Dabei spielt die Klassifizierung eine Schlüsselrolle. Nur wenn die Daten korrekt nach ihrer Sensitivität klassifiziert sind, können Sicherheitsverantwortliche entsprechende abgestufte Schutzmaßnahmen durchsetzen.

Menschen von den Daten fernhalten

Durch den Einsatz von Mechanismen und Werkzeugen kann der direkte Zugriff oder eine manuelle Datenverarbeitung reduziert oder beseitigt werden. Dadurch wird das Risiko einer falschen Handhabung, ungewünschten Änderungen sowie menschlicher Fehler beim Umgang mit sensitiven Daten verringert.

Auf Sicherheitsereignisse vorbereitet sein

In der gegenwärtigen Bedrohungslandschaft muss man mit Sicherheitsereignissen rechnen. Um sich auf Vorfälle vorzubereiten, sollten Sicherheitsverantwortliche Richtlinien und Prozesse einführen, die mit den Anforderungen des Unternehmens übereinstimmen. Sie sollten zudem regelmäßig Sicherheitsübungen und -simulationen durchführen. So kann sichergestellt werden, dass die Mitarbeitenden ihre Rolle bei der Minimierung der Wahrscheinlichkeit eines Sicherheitsverstoßes verstehen.

* Der Autor Volker Sommer ist Regional Sales Director DACH & EE von Varonis Systems.

Bildquelle: Varonis Systems

(ID:50342553)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.