Cloud Security
Container-Sicherheit: Docker und Kubernetes richtig absichern
Vincent Heinen11 Min.
Cloud Security
Cloud Security Audit & Penetrationstest
Ihre Cloud. Unsere Offensive.
AWS. Azure. GCP. Fehlkonfigurationen sind Angriffsvektor Nr. 1 in der Cloud. Wir prüfen IAM-Policies, Container-Sicherheit und Netzwerk-Isolation — bevor Angreifer es tun.
AWS / Azure / GCP ISO 27001 zertifiziert Nachtest inkl. OSCP-zertifiziert
CLOUD SECURITY SCAN — LIVE
AWSAzureGCP
S3 Bucket: customer-data-prod PUBLIC ✗
IAM Role: lambda-execution PRIV-ESC ✗
Security Group: sg-0a3f8b2 0.0.0.0/0 !
CloudTrail: eu-west-2 DISABLED !
KMS Key: prod-encryption OK ✓
MFA: root account OK ✓
ScoutSuite · Prowler · CIS Benchmark
2 CRITICALDiese Unternehmen vertrauen uns
- Pentests durchgeführt
-
- alle Hyperscaler aus einer Hand
- AWS · Azure · GCP
- Festpreis-Angebot garantiert
-
- False Positives im Abschlussbericht
-
Plattformen
Alle großen Cloud-Plattformen. Ein Ansprechpartner.
Hybrid- und Multi-Cloud-Umgebungen prüfen wir ebenfalls — inklusive der Übergänge zwischen On-Premise und Cloud.
Amazon Web Services
AWS
EC2S3RDSLambdaIAMVPCKMSCloudTrailEKS
IAM-Policies, Bucket-Permissions, VPC-Konfiguration, CloudTrail-Logging und EKS-Cluster-Sicherheit gegen CIS AWS Foundations Benchmark.
Microsoft Azure
Azure
VMsBlob StorageApp ServiceKey VaultRBACNSGsAKS
Azure RBAC, Network Security Groups, Key Vault-Zugriffe, Defender for Cloud Konfiguration und AKS-Cluster gegen CIS Azure Benchmark.
Google Cloud Platform
GCP
Compute EngineCloud StorageIAMKMSVPCGKE
GCP IAM-Rollen, Org-Policies, Cloud Audit Logs, VPC-Firewall-Regeln und GKE-Cluster-Härtung gegen CIS GCP Benchmark.
Prüfbereiche
Was wir prüfen
Sechs kritische Bereiche — von der Zugriffssteuerung bis zum Monitoring. Jeder Bereich kann Einfallstor für Angreifer sein.
IAM & Zugriffssteuerung
Rollen, Policies und Service Accounts auf Überberechtigungen. Cross-Account-Zugriffe, Least-Privilege-Prinzip, MFA-Enforcement für privilegierte Identitäten und Permission Boundaries.
Netzwerk-Sicherheit
Security Groups, NACLs, VPC Peering und Private Endpoints auf ungewollte Exposition. Firewall Rules, Ingress/Egress-Filter und Netzwerk-Topologie auf laterale Bewegungsmöglichkeiten.
Datenspeicher
S3/Blob/GCS Bucket-Policies auf öffentliche Exposition, Verschlüsselung at rest und in transit, Zugriffslogs und Lifecycle-Policies. Datenbanken auf Netzwerk-Isolation und Backup-Sicherheit.
Container & Kubernetes
Container-Image-Security, Pod Security Standards, RBAC-Konfiguration, Network Policies und Secrets Management in EKS, AKS und GKE. Admission Controller und Runtime Security.
Serverless
Lambda/Functions-Execution-Roles auf Überberechtigungen, Event-Source-Injection über S3, API Gateway oder SNS, Dependency-Analyse in Deployment Packages und Secrets in Umgebungsvariablen.
Logging & Monitoring
CloudTrail/Azure Monitor/Cloud Audit Logs auf vollständige Abdeckung aller Regionen und Services. Alerting-Gaps bei sicherheitskritischen Ereignissen und SIEM-Integrationsschwächen.
Methodik
Configuration Review + aktives Testing
Zwei komplementäre Ansätze — kombiniert liefern sie das vollständigste Bild Ihrer Cloud-Sicherheitslage.
Configuration Review
Automatisierte + manuelle Prüfung der Konfiguration gegen CIS Benchmarks und CSA Cloud Controls Matrix. Nicht-invasiv, read-only. Kein Risiko für den Produktivbetrieb.
Cloud Pentest
Aktives Ausnutzen von Schwachstellen: Privilege Escalation in der Cloud, Service-zu-Service-Angriffe und simulierte Datenexfiltration — unter kontrollierten Bedingungen.
01
1 Tag
Scoping — Cloud-Accounts identifizieren
Gemeinsame Definition des Prüfumfangs: welche Accounts, Regionen, Services und Applikationen. Einrichtung von read-only Zugängen über IAM-Rollen oder Service Accounts. Festlegung der Rules of Engagement und verbotenen Testziele.
02
2–3 Tage
Automated Scanning — CIS Benchmark Checks
Automatisierte Prüfung mit ScoutSuite (Multi-Cloud) und Prowler (AWS) gegen CIS Benchmarks, SOC 2, PCI DSS und ISO 27001-Controls. Generiert eine vollständige Baseline aller Fehlkonfigurationen mit Severity-Rating.
ScoutSuiteProwlerCIS Benchmarks
03
3–5 Tage
Manuelle Analyse — IAM, Netzwerk, Architektur
Tiefenanalyse der IAM-Policy-Struktur auf Privilege-Escalation-Pfade, Netzwerk-Topologie auf ungewollte Übergänge, Architektur-Schwachstellen und logische Zugriffsprobleme, die kein Scanner erkennt.
Manuelle AnalysePolicy Simulator
04
3–7 Tage
Exploitation — Privilege Escalation, Cross-Service
Aktives Ausnutzen der gefundenen Schwachstellen: Privilege Escalation über überprivilegierte Rollen, Datenbank-Zugriff über kompromittierte Service Accounts, Cross-Service-Angriffe und Datenexfiltrations-Simulation.
PacuCloudFoxCustom Scripts
05
2–3 Tage
Reporting — Risk-priorisierte Findings
Technischer Bericht mit CVSS-Scores, cloud-spezifischen Remediation-Schritten und Architektur-Empfehlungen. Management Summary mit Risikoübersicht. Auf Wunsch: Compliance-Mapping auf BSI C5, TISAX, SOC 2 oder NIS-2.
Beispiel-Findings
Was wir typischerweise finden
Anonymisierte Beispiele aus realen Cloud Security Assessments. Diese Findings sind keine Ausnahmen — sie treten regelmäßig auf.
CVSS 9.6 — CRITICAL
S3 Bucket mit Kundendaten ist öffentlich zugänglich
Der Bucket customer-data-prod-eu enthält 45.000 Kundendatensätze inklusive Adress- und Zahlungsdaten. Keine Zugriffsbeschränkung, keine Verschlüsselung at rest, keine Zugriffsprotokollierung. Jeder Internetnutzer kann alle Dateien ohne Authentifizierung abrufen. Meldepflicht nach Art. 33 DSGVO innerhalb von 72 Stunden.
CIS AWS 2.1.2 DSGVO Art. 32 S3 Bucket ACL Datenleck
CVSS 8.8 — HIGH
IAM-Rolle erlaubt Privilege Escalation zum Admin
Die Lambda-Execution-Role arn:aws:iam::123456789:role/lambda-processor besitzt die Berechtigung iam:AttachRolePolicy ohne Bedingung. Durch diese überprivilegierte Rolle kann sich ein Angreifer, der die Lambda-Funktion kompromittiert, selbst AdministratorAccess-Rechte zuweisen und damit die gesamte AWS-Organisation übernehmen.
Privilege Escalation IAM Misconfiguration CIS AWS 1.16
CVSS 6.1 — MEDIUM
CloudTrail-Logging in 3 von 7 Regionen deaktiviert
CloudTrail ist nur in eu-central-1, eu-west-1 und us-east-1 aktiv. In den Regionen ap-southeast-1, ap-northeast-1, sa-east-1 und ca-central-1 werden Angreifer-Aktivitäten nicht protokolliert. Eine forensische Analyse nach einem Sicherheitsvorfall in diesen Regionen ist unmöglich. Angreifer können unbemerkt Ressourcen erstellen, Daten exfiltrieren und ihre Spuren verwischen.
Logging Gap CIS AWS 3.1 Forensics Blind Spot
Shared Responsibility
Ihr Teil der Verantwortung
Cloud-Sicherheit ist keine Alleinaufgabe des Providers. Das Shared Responsibility Model definiert klar, wer was absichern muss.
Cloud Provider sichert
- Physische Infrastruktur und Rechenzentren
- Hypervisor und Virtualisierungsschicht
- Netzwerk-Backbone und globale Infrastruktur
- Hardware und Firmware der Host-Systeme
- Verfügbarkeit und Zuverlässigkeit der Basis-Services
SIE sichern
- IAM-Konfiguration, Rollen und Zugriffsrechte
- Netzwerk-Regeln, Security Groups und Firewall-Policies
- Datenverschlüsselung und Schlüsselmanagement
- Applikations-Sicherheit und Code-Qualität
- Betriebssystem-Härtung und Patch-Management
- Logging, Monitoring und Incident Response
80% aller Cloud-Breaches entstehen durch Fehlkonfigurationen auf Kundenseite — nicht durch Schwachstellen beim Provider.
Gartner, 2024. Genau hier setzen wir an.
Festpreise
Transparente Festpreise
Keine Stundensätze. Keine Nachforderungen. Verbindliches Angebot innerhalb von 24 Stunden.
Cloud Configuration Review
ab 6.000 EUR
5–8 Werktage · non-invasiv, read-only
- CIS Benchmark Checks (AWS/Azure/GCP)
- Automatisiertes Scanning mit ScoutSuite/Prowler
- Manuelle IAM-Policy-Analyse
- Netzwerk- und Datenspeicher-Review
- Risk-priorisierter Abschlussbericht
- Compliance-Mapping (BSI C5, ISO 27001)
- Kein Einfluss auf Produktivbetrieb
Empfohlen
Cloud Pentest (1 Provider)
ab 10.000 EUR
8–12 Werktage · aktives Testing
- Alles aus dem Configuration Review
- Aktives Privilege Escalation Testing
- Cross-Service-Angriffe simuliert
- Container & Kubernetes Security
- Serverless Function Testing
- Proof-of-Concept-Exploits inklusive
- Nachtest nach Remediation inklusive
Multi-Cloud + Container
ab 18.000 EUR
15–25 Werktage · AWS + Azure + GCP + Kubernetes
- Vollständiges Assessment aller drei Hyperscaler
- Hybrid-Cloud-Übergänge geprüft
- Multi-Cloud-Identitätsföderation
- Cross-Provider Datenfluss-Analyse
- Konsolidierter Gesamt-Risikobericht
- Dedizierter Senior-Consultant
- Abschlusspräsentation für Management
Compliance
Ihr Cloud Security Assessment als Compliance-Nachweis
Unser Bericht ist so strukturiert, dass er direkt als Nachweis für Auditoren und Behörden verwendet werden kann.
BSI C5
Cloud Computing Compliance
Der Cloud Computing Compliance Criteria Catalogue des BSI ist der maßgebliche Standard für Cloud-Nutzung in Deutschland. Unser Assessment liefert vollständiges C5-Mapping für alle geprüften Dienste.
TISAX
Automotive Cloud-Nutzung
TISAX-Assessments verlangen den Nachweis, dass Cloud-Umgebungen angemessen abgesichert sind. Unser Bericht deckt die relevanten TISAX-Anforderungskategorien direkt ab.
SOC 2
Type II Audit-Vorbereitung
Für SOC 2 Type II Audits müssen Cloud-Controls über 6–12 Monate nachgewiesen werden. Wir identifizieren Lücken frühzeitig und unterstützen bei der Remediation vor dem Audit.
NIS-2
Kritische Lieferkette
NIS-2 verpflichtet Unternehmen, ihre Cloud-Infrastruktur als kritische Lieferkette regelmäßig zu überprüfen. Unser Assessment dokumentiert die Erfüllung der technischen Sicherheitsmaßnahmen.
Fehlkonfigurationen in Ihrer Cloud finden — bevor Angreifer es tun.
Sie erhalten innerhalb von 24 Stunden ein verbindliches Festpreisangebot. Kein Stundensatz. Keine Überraschungen.
Zertifikate & Qualifikationen unserer Cloud-Tester
OSCP
Offensive Security Certified Professional
AWS Security
AWS Certified Security – Specialty
AZ-500
Microsoft Azure Security Engineer
ISO 27001 LA
Lead Auditor
CKS
Certified Kubernetes Security Specialist
CCSP
Certified Cloud Security Professional
Warum AWARE7 für Ihren Cloud-Pentest
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
Referenzen aus der Praxis
Pentesting & Schwachstellenscans
Sill Optics GmbH
Feststellung der Angriffsfläche bei Sill Optics GmbH
Pentesting & SchwachstellenscansXignSys GmbH
Whitebox-Penetrationstests eines Authentifizierungsdienstes als Mobile- und Web-Anwendung
Pentesting & SchwachstellenscansTWINSOFT GmbH & Co. KG
Externer Penetrationstest einer iOS-Applikation
Häufige Fragen zum Cloud Security Assessment
Alles, was Sie vor dem Erstgespräch über Cloud-Penetrationstests, Scope und Preise wissen sollten.
Was ist ein Cloud Security Assessment?
Ein Cloud Security Assessment ist eine strukturierte Sicherheitsprüfung Ihrer Cloud-Infrastruktur durch zertifizierte Experten. Wir analysieren IAM-Konfigurationen, Netzwerk-Architektur, Datenspeicher, Container-Umgebungen und Logging-Konfigurationen gegen etablierte Benchmarks wie CIS Controls und CSA CCM. Sie erhalten einen detaillierten Bericht mit verifizierten Findings, CVSS-Scores und priorisierten Handlungsempfehlungen — speziell auf Ihre Cloud-Umgebung zugeschnitten.
Was ist der Unterschied zwischen einem Cloud Configuration Review und einem Cloud Penetration Test?
Ein Cloud Configuration Review ist eine nicht-invasive Analyse: Wir erhalten read-only Zugriff auf Ihre Cloud-Accounts und prüfen alle Konfigurationen gegen CIS Benchmarks und Best Practices — ohne aktive Angriffe. Ein Cloud Penetration Test geht weiter: Wir nutzen gefundene Schwachstellen aktiv aus, versuchen Privilege Escalation, Lateral Movement zwischen Services und simulieren reale Datenexfiltration. Für eine umfassende Sicherheitsbewertung empfehlen wir die Kombination beider Ansätze.
Welche Cloud-Plattformen prüfen Sie?
Wir prüfen alle drei großen Hyperscaler: Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP). Zusätzlich testen wir Hybrid-Cloud-Umgebungen mit On-Premise-Anbindung sowie Multi-Cloud-Setups. Unsere Tester sind spezialisiert auf die jeweiligen nativen Dienste — von AWS IAM und EKS über Azure RBAC und AKS bis zu GCP IAM und GKE. Für Spezialplattformen wie Alibaba Cloud oder Oracle Cloud sprechen Sie uns an.
Benötigen Sie Zugriff auf unsere Cloud-Accounts?
Für den Configuration Review benötigen wir einen read-only IAM-User oder Service Account — wir richten diesen gemeinsam mit Ihnen ein und stellen sicher, dass keine Schreibrechte erteilt werden. Für aktives Penetration Testing arbeiten wir mit einem dedizierten Test-Account oder einem zeitlich befristeten Testzugang mit definierten Berechtigungen. Alle Zugänge werden nach Testabschluss sofort widerrufen. Wir verarbeiten keine Produktionsdaten auf unseren Systemen.
Wie lange dauert ein Cloud Security Assessment?
Ein Configuration Review dauert typischerweise 5–10 Werktage, ein Cloud Penetration Test 7–15 Werktage. Bei Multi-Cloud-Assessments über AWS, Azure und GCP planen Sie 15–25 Werktage ein. Die genaue Dauer hängt von der Komplexität Ihrer Umgebung ab — Anzahl der Accounts, Regionen, Service-Typen und ob Container/Kubernetes im Scope sind. Im kostenlosen Erstgespräch erhalten Sie innerhalb von 24 Stunden ein verbindliches Festpreisangebot.
Kann das Testing den Produktivbetrieb stören?
Der Configuration Review ist vollständig nicht-invasiv und hat keinerlei Auswirkungen auf Ihren Betrieb. Beim Cloud Penetration Test führen wir aktive Tests nach vereinbarten Rules of Engagement durch — destruktive Aktionen wie das Löschen von Ressourcen oder Denial-of-Service-Angriffe führen wir grundsätzlich nicht durch. Auf Wunsch testen wir ausschließlich in dedizierten Test-Umgebungen oder führen kritische Tests außerhalb der Geschäftszeiten durch.
Testen Sie auch Container-Sicherheit und Kubernetes?
Ja. Container- und Kubernetes-Security ist ein eigenständiger Prüfbereich in jedem Cloud Assessment. Wir analysieren Container-Image-Sicherheit (Schwachstellen in Base-Images, Secrets in Layern), Kubernetes RBAC-Konfiguration, Network Policies, Pod Security Standards, Secrets Management, Container Runtime Security und Admission Controller. Für Managed Kubernetes-Dienste (EKS, AKS, GKE) prüfen wir zusätzlich die cloud-spezifischen Konfigurationen.
Können Sie auch Serverless-Funktionen wie AWS Lambda testen?
Ja. Serverless-Security ist ein häufig übersehener Angriffsvektor. Wir prüfen Lambda/Azure Functions/Cloud Run auf überprivilegierte Execution Roles, Event-Source-Injection (z.B. über S3-Events oder API Gateway), Dependency-Schwachstellen in Deployment Packages, Umgebungsvariablen mit Secrets sowie Timeout- und Speicherkonfigurationen. Serverless-Umgebungen haben oft eine fragmentierte Angriffsfläche — wir analysieren die gesamte Funktionskette.
Welche Compliance-Standards decken Sie ab?
Unser Cloud Assessment liefert Mapping auf BSI C5 (Cloud Computing Compliance Criteria Catalogue), TISAX für Automobilzulieferer, ISO 27001 Annex A Controls, SOC 2 Type II Criteria sowie NIS-2-Anforderungen für kritische Infrastrukturen. Zusätzlich prüfen wir gegen CIS Benchmarks für AWS, Azure und GCP und das CSA Cloud Controls Matrix (CCM). Sie erhalten einen Bericht, der direkt als Nachweis für Auditoren verwendet werden kann.
Wie oft sollte ein Cloud Security Assessment durchgeführt werden?
Empfehlung: Mindestens einmal jährlich ein vollständiges Assessment. Cloud-Umgebungen ändern sich schnell — neue Services, neue Teams, neue Konfigurationen erhöhen laufend die Angriffsfläche. Nach größeren Architekturänderungen, Cloud-Migrationen oder nach Sicherheitsvorfällen sollte unmittelbar ein Assessment folgen. NIS-2-betroffene Unternehmen sind verpflichtet, ihre Cloud-Infrastruktur als kritische Lieferkette regelmäßig zu überprüfen. Viele Kunden nutzen unser Retainer-Modell für halbjährliche Reviews.
Verwandte Leistungen
Ergänzende Sicherheitsdienstleistungen für eine ganzheitliche Absicherung.
Web-Applikationen Pentest
OWASP Top 10, API Security, Business Logic. Auch für Cloud-native Applikationen.
Mehr erfahrenNetzwerk & Infrastruktur
Active Directory, Firewall-Bypass, Lateral Movement. Für Hybrid-Cloud-Umgebungen.
Mehr erfahrenISO 27001 Beratung
ISMS-Aufbau und Zertifizierungsbegleitung. Cloud-Nutzung ist explizit in Annex A geregelt.
Mehr erfahrenWie sicher ist Ihre Cloud-Infrastruktur wirklich?
Unsere zertifizierten Cloud-Pentester prüfen AWS, Azure und GCP auf Fehlkonfigurationen, IAM-Schwachstellen und Container-Sicherheit — mit Festpreisgarantie ab 6.000 EUR.
Kostenlos · 30 Minuten · Unverbindlich
