Serverlose Implementierungen schaffen Effizienz, Flexibilität und Freiheit für Entwickler. Deutlich zeigt sich das an der Leistungsfähigkeit von Amazon Web Services (AWS) Lambda. Die Möglichkeit, neue Anwendungen schnell zu starten, ohne eine größere Infrastrukturverwaltung und einen höheren Overhead-Aufwand zu schaffen, eröffnet also Chancen – aber schafft neue Herausforderungen zugleich.
Serverlose Architekturen sind ein Sprung nach vorn in der Software-Entwicklung. Sie sorgen dabei für Herausforderungen und auch Chancen bei der Absicherung von Anwendungen.
Mit Serverlosen Implementierungen wie AWS Lambda können Entwickler viel schneller als zuvor arbeiten und Code für jede Art von Anwendung oder Backend-Dienst skalieren. Eine Bereitstellung oder Serververwaltung ist nicht mehr erforderlich. Bei der Nutzung von serverlosen Anwendungen geben die Administratoren allerdings die Kontrolle über den größten Teil der Sicherheitsmodule an einen Cloud-Provider ab, im Guten wie im Schlechten. Sie besitzen keine Möglichkeit mehr zum OS Hardening, Admin-Rechte, SSH und Segmentation. Die Ausnahme, wo sie die Kontrolle behalten, ist die Konfiguration der Struktur und die genaue Anwendung – von dort aber muss die Sicherheit kommen.
Neue Angriffswege liegen offen
AWS Lambda verändert mit seinen serverlosen Funktionen, die kurzlebig sind und darum wenig Angriffsfläche bieten, die Art und Weise, wie Angreifer an diese Systeme herangehen. Zum einen starten sie kontinuierliche stateless (zustandlosen) Angriffe, bei denen sie eine oder mehrere Anwendungsschwächen gezielt ausnutzen. Damit versuchen sie einen kleinen Teil des Gesamtangriffs durchzuführen, und wiederholen den Vorgang so oft, bis der Angriff abgeschlossen ist.
Zum anderen umgehen sie den vorgelagerten Schutz mit Supply-Chain-Injection-Angriffen. Hierbei nutzen Angreifer die Abhängigkeit der Funktionen von Drittanbieter-Code aus, indem sie eines dieser Module suchen, das sich selbst nur unzureichend schützt und daher auf Sicherheitslösungen von Herstellern angewiesen ist. Der Angreifer injiziert dann seinen Code in dieses Modul und wartet darauf, dass der Angriff auf die Funktionen durchdringt.
Ziel ist es stets und bleibt es: Erfolgreiche Eindringlinge sollten nicht länger als ein paar Minuten in einem System bleiben können, bis sie entdeckt werden. Die Tatsache, dass Cloud-Anbieter absichtlich nur vage angeben, wie und wann sie serverlose Laufzeiten erneut verwenden, führt zu der Tatsache, dass die eigentlich kurzlebigen Funktionen in Wirklichkeit stunden- oder sogar tagelang in Betrieb sein können. Aufgrund dessen müssen Unternehmen davon ausgehen, dass ein Angreifer sicherlich einen Weg finden wird, um in einem System zu bleiben und größeren Schaden anzurichten, wenn er nicht gezielt daran von Sicherheitslösungen gehindert wird.
Nur eine Zeile veränderter Code hat fatale Auswirkungen
Ein Beispiel für eine mögliche Attacke: Wenn ein Angreifer eine Evaluations-Anweisung verändert. Im Grunde genommen kann er nur zusätzliche Zeilen in die jeweilige Tabelle einfügen. Der Schaden sieht auf den ersten Blick also gering aus, sogar dann, wenn der gefälschte Container noch länger so bestehen bleibt. Was aber wäre, wenn ein Angreifer seine Daten an eine Lambda-Funktion sendet?
Anstatt nur einige Zahlungsinformationen zu erhalten, injiziert dieser Workload tatsächlich etwas Code in die Funktion. Von nun an wird der Angreifer jedes Mal, wenn ein Benutzer seine Kreditkarteninformationen an die Anwendung weitergibt, eine Kopie davon erhalten. Wenn der Angreifer schlau ist, wird er versuchen, so viele Container wie möglich zu infizieren. Dies kann er dadurch erreichen, dass er diesen Angriff mehrere hundert Mal parallel sendet und dabei viele Container gleichzeitig fälscht.
Die Herausforderung besteht also darin, dass es eine einmalige Lastspitze von einer oder mehrerer Angriffs-Workloads gibt. Danach folgt nichts, was als bösartig eingestuft werden könnte. Unbemerkt könnten auf diese Weise über Stunden oder Tage sensible Daten abfließen, ohne dass der Administrator des Containers dies bemerkt.
Best Practices für Least Privilege
Sehr schwierig wird es, diese Herausforderungen zu bestehen, da IT-Sicherheit in gewisser Weise das Gegenteil der Software-Entwicklung ist. Sicherheit ist der Prozess der Begrenzung, während Software-Entwicklung schafft, erweitert und ermöglicht. Der Instinkt eines Entwicklers ist es, Hindernisse zu beseitigen. Ihm zu vermitteln, dass er sich einigen Beschränkungen der Sicherheit wegen unterwerfen soll, ist eine enorme Aufgabe für die Kommunikation. Ein Teil der AWS Lambda Security Best Practices beinhaltet daher, dass Entwickler darüber nachdenken sollten, was sie für ihre Prozesse eigentlich nicht brauchen und deshalb weglassen könnten. Außerdem einige zusätzliche Schwierigkeiten:
Sicherheit braucht Zeit, Entwickler aber haben wenig Zeit.
Die Sicherheit kommt den Entwicklern früher oder später in die Quere, also ist es für sie am einfachsten, eine Wildcard zu verwenden.
Mangelnde Sichtbarkeit, um zu wissen, welche Berechtigungen die Entwickler überhaupt benötigen – und welche nicht – erschwert die Kontrolle.
Mangelnde Granularität der Definition von Zugangsberechtigungen kompliziert die Bewachung der sensiblen Bereiche.
Mangel an Bewusstsein oder Achtsamkeit für das Problem erschwert die Kommunikation.
Zu viele Ressourcen werden gebunden.
Vorteile des Serverless Computings für die IT-Sicherheit
Serverlose Strukturen erfordern zwar eine komplette Umstellung des Sicherheitsansatzes, bringen aber eine Vielzahl von Möglichkeiten zur Schaffung besserer, granularer und kontextbezogener Sicherheit mit sich. Ein Vergleich mit Containern bietet sich an: Wenn ein großer Container viele Funktionen ausführt, dann müssen die Verantwortlichen ihn in die Lage versetzen, viele Dinge zu tun. Der Umstieg auf kleinere Mikrodienste ermöglicht es dagegen, feinkörnigeres Identity and Access Management einzusetzen, um genauer zu verwalten, wer einen Zugriff auf bestimmte Bereiche erhält. Noch wichtiger ist dabei, dass ein erfolgreicher Angreifer, der eine Schwachstelle in einer der Funktionen ausnutzt, nur Zugriff auf die begrenzten Möglichkeiten dieser Funktion erhält. Der große Bauchladen von Berechtigungen aus denen er in Ruhe wählen konnte, den jeder große Container vor sich her trug, bleibt ihm verwehrt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sicherheitsrichtlinien können also gezielt auf jede dieser kleinen Einheiten angewendet werden. AWS Lambda, wie die meisten Cloud-Anbieter, ermöglicht es den Unternehmen auf diese Weise, die Angriffsfläche ihrer IT-Systeme deutlich zu verkleinern.
Schutz durch einfache organisatorische Maßnahmen möglich
Noch mehr Sicherheit erreichen Unternehmen beim Betreiben von serverlosen IT-Systemen über Anbieter, wie AWS Lambda, mit den folgenden Ratschlägen:
IT-Verantwortliche sollten den Entwicklern überzeugend vermitteln, von Beginn ihrer Arbeit an nur sicheren Code zu schreiben.
Die Anwendungen sollten von modernen und an serverlose Strukturen angepasste Sicherheitslösungen spezialisierter Anbieter geschützt werden. Diese müssen unbedingt in der Lage sein, auch die sehr gefährlichen Zero-Day-Attacken zu blockieren.
Der Einsatz von Sicherheitswerkzeugen, die Container jeder Größe zwingen, sich regelmäßig zu erneuern, bevor sie und ihre Funktionen zu lange leben, verkleinert die Angriffsfläche enorm.
Fazit: Serverless Computing sicher nutzen und profitieren
Letztlich stellen serverlose Architekturen einen sehr willkommenen technologischen Sprung nach vorn in der Software-Entwicklung dar. Sie stehen dabei gleichermaßen für Herausforderungen als auch Chancen bei der Absicherung von Anwendungen. Es ist daher von entscheidender Bedeutung, sämtliche Risiken für die IT-Sicherheit zu betrachten und stets die Augen offen zu halten. Die IT-Verantwortlichen müssen außerdem sicherstellen, dass durchgängig die richtigen Werkzeuge und Verhaltensweisen von allen Beteiligten eingesetzt und an den Tag gelegt werden, um die Systeme, Benutzer und Daten zu schützen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f4/1d/f41da22d603855ac9e48556f04c6bda1/0128648006v1.jpeg "Gestohlene IAM-Administratorkeys erlauben Krypto-Mining in AWS, ganz ohne Exploit! (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a3/ac/a3ac175ab4460b5a03f52120ff93dbe5/0124529417v1.jpeg "Die Marktdominanz großer Plattformen wie der von Microsoft birgt langfristig auch Risiken für den Wettbewerb und die Innovationskraft der Branche, so dass kleinere, spezialisierte Anbieter vom Markt verdrängt werden könnten. (Bild: © Another Galaxy - stock.adobe.com)")