Infrastrucure-as-Code (IaC) beschleunigt den Aufbau einer Cloud-Umgebung, die Sicherheit bleibt aber häufig außen vor und das obwohl die Umsetzung von Sicherheitsstandards ermöglicht. Viele IaC-Templates weisen allerdings eine unzureichende Sicherheitskonfiguration auf. DevOps-Teams müssen dauerhaft eine sichere IaC-Konfigurationen gewährleisten können.
Ebenso wie der Anwendungscode sollten IaC-Templates bei jeder Erstellung oder Aktualisierung auf Sicherheitsprobleme gescannt werden.
Eine IDG-Studie zur Cloud-Sicherheit in der DACH-Region von 2019 hat ergeben, dass fast die Hälfte (47 Prozent) der Unternehmen bereits von Cyberangriffen auf Cloud-Dienste betroffen war. Nicht gerade beruhigend ist zudem, dass zwölf Prozent der befragten Unternehmen gar nicht wissen, ob ein Cyberangriff auf ihre Cloud-Dienste schon einmal stattgefunden hat. Das Thema Sicherheit in der Cloud nimmt dennoch einen hohen Stellenwert ein. Entscheidende Auswahlkriterien bei der Wahl eines Cloud-Dienstes sind sicherer Datenzugriff und Datenverschlüsselung – und nicht etwa der Preis.
Cloud-Sicherheit ist aber ein anspruchsvolles Thema und es gilt verschiedene Aspekte zu berücksichtigen. Laut der Veritas-Studie „Truth in Cloud“ gehen die Befragten in 76 Prozent der Unternehmen davon aus, dass ihre Cloud-Betreiber sich um alle Datenschutz- und Compliance-Vorschriften kümmern. Gemäß dem Shared-Responsibility-Modell ist jedoch der Kunde für die Sicherheit, den Datenschutz und die Compliance seiner Workloads und Daten in der Cloud verantwortlich. So obliegt auch die Konfiguration von Infrastructure-as-Code-Templates vollständig dem Kunden, also dem Unternehmen als Nutzer der Cloud-Dienste.
Erhebliches Sicherheitsrisiko durch Fehlkonfiguration
Infrastructure-as-Code kommt vermehrt zum Einsatz, um Build-Prozesse in der Cloud zu automatisieren. Mit IaC Unternehmen müssen ihre Cloud-Infrastruktur nicht mehr manuell erstellen und konfigurieren. Da viele Unternehmen in der DACH-Region IaC erst seit kurzem einsetzen, fehlt noch die Erfahrung. Die daraus potenziell resultierenden Sicherheitsrisiken hat Unit 42, die Forschungsabteilung von Palo Alto Networks, im Rahmen einer Studie untersucht. Diese kommt zum Ergebnis, dass IaC zwar die Umsetzung von Sicherheitsstandards ermöglicht, was jedoch häufig nicht genutzt wird.
Ebenso wie der Anwendungscode sollten IaC-Templates bei jeder Erstellung oder Aktualisierung auf Sicherheitsprobleme gescannt werden. DevOps-Teams verzichten aber oft auf diesen wichtigen Sicherheitscheck. Liegt nur eine kritische Fehlkonfiguration vor, ist die gesamte Cloud-Umgebung gefährdet, weil sich Angreifer problemlos Zugang verschaffen können. Viele Unternehmen nutzen zudem mehrere Cloud-Dienste, entsprechend dem Multi-Cloud-Modell. Die Herausforderung liegt darin, sichere IaC-Konfigurationen über mehrere Public-Cloud-Konten und Entwicklungs-Pipelines zu gewährleisten.
Die wichtigsten Ergebnisse der Studie von Palo Alto Networks verdeutlichen das Problem der IaC-Templates und weitere kritische Aspekte der Cloud-Sicherheit:
Mehr als 199.000 unsichere Templates sind derzeit im Umlauf. Eine hohe Anzahl von Templates mit hochkritischen und mittelkritischen Schwachstellen ist bereits in Gebrauch. Dies belegt auch, dass 65 Prozent der Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind, wie Unit 42 in einer früheren Studie bekannt gegeben hat.
Bei 43 Prozent der Cloud-Datenbanken ist die Verschlüsselung nicht aktiviert. Diese verhindert, sofern sie aktiviert ist, dass Angreifer die gespeicherten Informationen lesen können. Datenverschlüsselung ist auch eine gängige Anforderung vieler Compliance-Standards. Hier sollten sich Unternehmen genau informieren, ob sie betroffen sind, oder – noch besser –standardmäßig Verschlüsselung nutzen.
Bei 60 Prozent der Cloud-Speicherdienste ist die Protokollierung nicht aktiviert. Wenn das Storage-Logging deaktiviert ist, können Cyberangreifer in das Speichersystem eindringen, ohne dass das Unternehmen etwas mitbekommt. Die Speicherprotokollierung ist ebenso wichtig, um das Schadenausmaß bei Datenlecks in der Cloud zu ermitteln.
Der Studie zufolge sind die am häufigsten genutzten IaC-Templates Google Kubernetes YAML (39 Prozent), HashiCorp Terraform (37 Prozent) und AWS CloudFormation (24 Prozent). Dabei wiesen 42 Prozent der CloudFormation-Templates, 22 Prozent der Terraform-Templates und 9 Prozent der Kubernetes YAML-Templates unsichere Konfigurationen auf. Damit ist die Wahrscheinlichkeit, dass ein anfälliges Cloud-Template eingesetzt wird, nicht unerheblich. Dies spricht dafür, jedes IaC-Template, das aus einem öffentlichen Repository wie GitHub stammt, unbedingt gründlich auf Schwachstellen zu überprüfen, bevor damit ein System erstellt und in einer Produktionsumgebung eingesetzt wird. Bereits im Vorfeld sollten Entwickler grundlegende Sicherheitsfunktionen wie Protokollierung und Verschlüsselung in jedem Template aktivieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cloud-native Sicherheit, Durchsetzung von Standards und „Shift Left“
Eine umfassende Sicherheitslösung für Cloud-native Anwendungen während des gesamten Entwicklungszyklus und für jede beliebige Cloud unterstützt Unternehmen bei der Umsetzung einer vorbildlichen Cloud-Sicherheit. Eine Cloud Native Security Platform (CNSP) deckt hierbei sämtliche Anforderungen hinsichtlich Sichtbarkeit, Governance und Compliance, Computing-Sicherheit, Netzwerkschutz und Identitätssicherheit mit entsprechenden Funktionen ab. Unternehmen sollten sich vor Augen halten, dass es schwierig ist, etwas zu schützen, was nicht sichtbar oder bekannt ist. Daher muss eine CNSP-Lösung neben Containern, Serverless-Implementierungen und CI/CD-Pipelines auch den nötigen Einblick in alle öffentlichen, privaten und hybriden Clouds bieten.
Die strikte Durchsetzung von Cloud-Sicherheitsstandard, wie die vom Center for Internet Security (CIS) erstellten Benchmarks, ist ebenso ratsam. Eine weitere Maßnahme ist der „Shift Left“-Ansatz. Dies bedeutet, Sicherheitsoptionen so früh wie möglich im Entwicklungsprozess in das Projekt zu integrieren, also auch Sicherheitsstandards in IaC-Templates einzubetten. Mit diesen grundlegenden Best Practices und einer Cloud-nativen Sicherheitsplattform sind Fehlkonfigurationen in der Cloud vermeidbar, zugunsten einer deutlich besseren Cloud-Sicherheit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/dc/2f/dc2f3a6dc7780c7c16b929feab46c4f4/0125079729v2.jpeg "Open-Source-Cloud-Sicherheitstools bieten Firmen und Institutionen, die ihre Cloud-nativen Umgebungen schützen möchten, einen enormen Mehrwert. (Bild: © ShpilbergStudios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/b5/59b588114a2e0986f3aebb77d5505821/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")