Cloud-Pentest (AWS / Azure / GCP)

Sicherheitsprüfung Ihrer Cloud-Infrastruktur auf AWS, Azure und Google Cloud Platform – von IAM über Container bis Serverless.

Die Cloud ist nicht automatisch sicher. Falsch konfigurierte S3-Buckets, überberechtigte IAM-Rollen, offene Security Groups und fehlende Logging sind die häufigsten Ursachen für Cloud-Datendiebstähle. Mein Cloud-Pentest analysiert Ihre AWS-, Azure- oder GCP-Umgebung auf Konfigurationsfehler, Identitätsmanagement-Schwächen, Netzwerksegmentierung und DevSecOps-Lücken. Ich prüfe nicht nur die Control Plane (IAM, Policies, RBAC), sondern auch die Data Plane (Container, Serverless, Datenbanken, Storage) und die Shared-Responsibility-Grenzen. Ob Single-Cloud, Multi-Cloud oder Hybrid – ich bringe Ihnen Transparenz in Ihre Cloud-Sicherheit.

Das Problem

Fehlkonfigurationen sind die Nr. 1 Ursache für Cloud-Breaches. Offene S3-Buckets, übermässige IAM-Rechte, fehlende MFA auf Root-Accounts, unsichere VPC-Peering und unverschlüsselte Datenbanken führen zu Millionenschäden. Die Shared-Responsibility-Modelle der Cloud-Anbieter werden oft falsch verstanden – was zu gefährlichen Sicherheitslücken führt.

Methodik & Vorgehensweise

1. Cloud Discovery & Asset Inventory

Automatisierte und manuelle Erfassung aller Cloud-Assets: Accounts, Subscriptions, Projects, IAM-Benutzer, Rollen, Policies, Storage, Datenbanken, Container und Serverless-Funktionen.

2. IAM & Access Management Review

Analyse von Identitäten, Rollen, Policies, Permission Boundaries, Service Accounts, Cross-Account-Trusts, Privilege Escalation und fehlender MFA.

3. Network & Data Plane Security

Prüfung von VPC/VNet/Subnet-Konfigurationen, Security Groups, NACLs, Load Balancer, CDN, Peering, VPN und Datenexfiltrationsrisiken.

4. Container & Serverless Testing

Prüfung von Kubernetes (K8s), ECS, GKE, Docker-Images, Serverless-Funktionen (Lambda, Azure Functions, Cloud Functions) auf Injection, Privilege Escalation und Secrets-Leakage.

5. Logging, Monitoring & Compliance

Review von CloudTrail, Azure Monitor, Cloud Audit Logs, SIEM-Integration, Alerting und Konformität mit Cloud-Security-Standards (CIS Benchmarks).

Meine Leistungen im Detail

  • IAM- & Access-Management-Review (AWS IAM, Azure AD/Entra ID, GCP IAM)
  • Container & Kubernetes Security Assessment (EKS, AKS, GKE, ECS, Docker)
  • Serverless Security Testing (Lambda, Azure Functions, Cloud Functions)
  • CIS Benchmark Review & CloudTrail / Monitor / Audit-Log-Analyse

Rechtliche Grundlagen & Compliance

Meine Tests sind auf die regulatorischen Anforderungen im DACH-Raum abgestimmt. Ich helfe Ihnen, Nachweise für Audits, Zertifizierungen und Aufsichtsbehörden zu erbringen.

  • CIS Benchmarks für AWS, Azure und GCP
  • Cloud Security Alliance (CSA) CCM
  • BSI C5:2020 (Cloud Computing Compliance Controls Catalogue)
  • ISO 27017 (Cloud-Sicherheit) & ISO 27018 (Cloud-Datenschutz)
  • FINMA-Rundschreiben (bei Outsourcing in die Cloud)
  • NIS2 / KRITIS (Cloud-Nutzung kritischer Infrastrukturen)

Branchen & Anwendungsfälle

SaaS & Cloud-Native Unternehmen
Fintechs & Banken
E-Commerce & Retail
Healthcare & MedTech
Industrie & IoT
Behörden & Verwaltung

Häufig gestellte Fragen (FAQ)

Dürfen AWS/Azure/GCP überhaupt gepentest werden?

Ja, alle drei Anbieter erlauben autorisierte Pentests nach vorheriger Einhaltung ihrer Richtlinien (AWS: Vulnerability and Penetration Testing Permissions, Azure: Cloud Penetration Testing, GCP: Customer Security Testing). Ich kümmere mich um die formellen Anforderungen.

Testest du auch Container und Kubernetes?

Ja, Container-Sicherheit ist ein wichtiger Bestandteil meiner Cloud-Pentests. Ich prüfe Kubernetes-Konfigurationen, Pod-Security, RBAC, Netzwerkpolicies, Secrets-Management und Docker-Image-Schwachstellen.

Was ist der Unterschied zu einem klassischen Netzwerk-Pentest?

Ein Cloud-Pentest konzentriert sich auf Control-Plane-Konfigurationen (IAM, Policies, Networking, Logging), während ein Netzwerk-Pentest die traditionelle Infrastruktur (Server, Firewalls, Active Directory) prüft. Ich empfehle bei Hybrid-Umgebungen beide Tests zu kombinieren.

Prüfst du auch die Einhaltung des BSI C5?

Ja, ich führe Cloud-Pentests durch, die auf die BSI C5:2020-Anforderungen abgestimmt sind – besonders relevant für deutsche Behörden und Unternehmen, die Cloud-Dienstleister beauftragen.

Was ist das Shared Responsibility Model?

Cloud-Anbieter (AWS, Azure, GCP) sind verantwortlich für die Sicherheit DER Cloud (Hardware, Netzwerk, Virtualisierung). Der Kunde ist verantwortlich für die Sicherheit IN der Cloud (Konfiguration, IAM, Daten, Anwendungen). Ich prüfe genau Ihren Anteil – der häufigste Fehler ist die Annahme, der Anbieter mache alles sicher.

Wie lange dauert ein Cloud-Pentest?

Ein Cloud-Pentest dauert typischerweise 5–10 Arbeitstage, abhängig von der Cloud-Grösse, der Anzahl der Accounts/Subscriptions und ob Container/Kubernetes involviert sind. Der Report folgt innerhalb von 5 Werktagen.

Verwandte Leistungen

API-PenetrationstestWeb-Application-PentestNetzwerk-Pentest (Infrastruktur)Penetrationstest (Pentest)

Sie stehen vor dieser Herausforderung?

Ich bewerte gerne in einem kurzen, kostenfreien 30-Minuten-Assessment, ob meine Expertise zu Ihrem Setup passt.

Kontakt

Zielgruppen-Fit

Unternehmen, die AWS, Azure oder GCP nutzen und ihre Cloud-Sicherheit unabhängig validieren wollen – von Startups bis zu Enterprise-Kunden in der DACH-Region.

Zusammenarbeit

Ausschliesslich NDA-basiert. Vendor-neutral. Dokumentiert nach PTES-Standard. Flexible Terminierung auch kurzfristig.

DACH-Region

Ich bin spezialisiert auf Unternehmen in der Schweiz (Zürich, Zug, Bern, St. Gallen, Basel, Genf), Deutschland (München, Frankfurt, Berlin, Hamburg) und Österreich (Wien, Graz). Alle Reports werden auf Deutsch oder Englisch erstellt – konform zu FINMA, BSI und NIS2.