Cloud Infrastruktur Audit
This page is also available in English.
Ein Cloud Infrastruktur Audit ist eine rein lesende White-Box-Prüfung deiner Azure-, AWS- oder GCP-Umgebung, die Fehlkonfigurationen, überprivilegierte IAM-Rollen und exponierte Dienste findet, bevor Angreifer es tun.
Cloud-Services bieten enorme Flexibilität – aber diese Flexibilität bringt auch Risiken mit sich. Falsch konfigurierte Storage Buckets, zu weitreichende IAM-Rollen und exponierte Management-Schnittstellen zählen zu den häufigsten Ursachen für Cloud-Sicherheitsvorfälle. Ein Cloud Infrastruktur Audit prüft deine Cloud-Umgebung mit einem Nur-Lese-Account, um genau diese Schwachstellen zu finden – bevor Angreifer es tun.
Unterstützte Plattformen: Azure, AWS und GCP.
Umfang
Dieses Audit wird als White-Box-Engagement mit einem Nur-Lese-Account und Standard-Tools (ScoutSuite, manuelle Überprüfung) durchgeführt. Folgende Bereiche werden abgedeckt:
- Identity and Access Management – Rollenzuweisungen, überprivilegierte Konten, Service Principals, Least-Privilege-Überprüfung
- Storage und Datenexposition – öffentliche Buckets/Blobs, Zugriffsrichtlinien, exponierte sensible Daten
- Virtual Network Konfiguration – Security Groups, Netzwerk-ACLs, Firewall-Regeln, exponierte Management-Ports
- Logging und Monitoring – Audit-Log-Konfiguration, Alerting, Erkennungsabdeckung
- Sicherheitseinstellungen – Defender/Security Hub/Security Command Center, Verschlüsselung at rest und in transit
- Service-spezifisches Hardening – Konfiguration der aktiv genutzten Cloud-Dienste
Warum
- Cloud-Umgebungen sind eine häufige Quelle für Sicherheitsvorfälle – oft weil Standardkonfigurationen nicht gehärtet sind
- IAM-Fehler (z. B. zu weitreichende Rollen, ungenutzte Service-Accounts mit hohen Berechtigungen) sind die häufigste Cloud-Sicherheitslücke
- Eine Nur-Lese-Konfigurationsüberprüfung kann kritische Expositionen in Stunden aufdecken, die sonst monatelang unbemerkt bleiben könnten
Warum VidraSec 🦦
Ich habe Cloud Infrastruktur Audits in Azure-, AWS- und GCP-Umgebungen durchgeführt. Mein Hintergrund im Identitäts- und Zugriffsmanagement – insbesondere im Microsoft-Stack – erstreckt sich natürlich auch auf Cloud-IAM, wo viele der gleichen Fehlkonfigurationen auftreten.
Typische Dauer
3–5 Tage (abhängig vom Scope – je nach Anzahl und Komplexität der genutzten Cloud-Dienste). Die Berichtserstellung dauert typischerweise zusätzlich 30–50 % der Testzeit.
Typischer Preis
ab 7.000 €
Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.
Leistungsumfang
Jedes Engagement umfasst:
- Schriftlichen Ergebnisbericht mit allen Fehlkonfigurationen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
- Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
- Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
- Nachtest nach Behebung der Schwachstellen auf Anfrage möglich
Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.
Compliance
Direkt relevant für NIS2 und ISO 27001. Cloud-Konfiguration wird zunehmend in Informationssicherheits-Management-Reviews geprüft.
Häufige Fragen
Welche Cloud-Plattformen prüft VidraSec?
Azure, AWS und GCP. Das Audit nutzt einen Nur-Lese-Account sowie eine Kombination aus automatisierten Tools wie ScoutSuite und manueller Experten-Analyse.Ist ein Cloud Infrastruktur Audit dasselbe wie ein Cloud-Penetrationstest?
Nicht ganz. Ein Konfigurations-Audit prüft die Umgebung über einen Nur-Lese-Account und findet Fehlkonfigurationen sehr effizient. Ein Cloud-Penetrationstest versucht aktiv, Schwachstellen auszunutzen. Für die meisten Organisationen deckt das Konfigurations-Audit die kritischsten Probleme am schnellsten auf.Wie lange dauert ein Cloud Infrastruktur Audit?
Typischerweise 3 bis 5 Tage je nach Anzahl und Komplexität der genutzten Cloud-Dienste, plus rund 30 bis 50 Prozent dieser Zeit für die Berichtserstellung.Was kostet ein Cloud Infrastruktur Audit?
Ab 7.000 Euro. Der endgültige Preis richtet sich nach Umfang und Reifegrad deiner Umgebung und wird individuell kalkuliert.martin@vidrasec.com | +43 670 3081275 | +43 670 3081275 | Termin auswählen |
Verwandte Dienstleistungen
Zugehörige Blog Posts
- Checkliste zur Wahl eines Pentest-Anbieters für KMU in der DACH-Region
- Wie ein NIS2-tauglicher Pentest für ein Unternehmen mit 50 bis 500 Mitarbeitenden aussieht
- Boutique-Pentest (Einzelperson) vs. große Firma vs. PTaaS: Wie du dich entscheidest
- Der Penetrationstest-Käuferratgeber: Richtig scopen, Budget sinnvoll einsetzen