Der Wechsel in die Cloud schafft eine veränderte Angriffsfläche. Perimeter-basierte Sicherheit ist hier nicht mehr ausreichend: Wenn sich die Infrastruktur über AWS, Azure und GCP erstreckt und Identitäten Mitarbeiter, externe Dienstleister, Service-Konten sowie APIs umfassen, verlagert sich die zentrale Frage. Es geht nicht mehr darum, wer sich im Netzwerk befindet, sondern ob jede Anfrage von jeder Identität tatsächlich autorisiert ist.

Die meisten Unternehmen, die schnell in die Cloud migriert sind, haben dabei im Laufe der Zeit Abweichungen angesammelt: fehlkonfigurierte Berechtigungen, zu weitreichende Sicherheitsgruppen, Zugangsdaten im Code oder Lücken in der Protokollierung. Die Cloud-Plattform bietet zwar die Werkzeuge, um dies zu beheben. Was jedoch oft fehlt, ist die nötige Engineering-Zeit und die Disziplin, diese Lücken systematisch zu schließen.

Gradion hat Cloud-Infrastruktur- und Sicherheitslösungen für Kunden wie ein führender B2B-Marktplatzbetreiber realisiert. Dazu gehörten die Implementierung von AWS WAF und geschichteten Cloud-Richtlinien im Rahmen eines Infrastruktur-Härtungsprogramms. Dies führte zu einer Verfügbarkeit von 99,9 % bei gleichzeitig verbesserter Sicherheitsposition. Für einen Schweizer Bankentechnologieanbieter konzipierten wir zudem eine Multi-Cloud-Architektur auf Azure und GCP. Diese bestand ein Sicherheits- und Compliance-Audit einer Big Four-Prüfungsgesellschaft ohne Beanstandungen und erfüllte dabei strenge FINMA-Anforderungen an die Datenhoheit. Diese Art von Arbeit beschreiben wir auf dieser Seite.

Cloud-Sicherheitsanalyse und -Härtung

Wir bewerten Ihre Cloud-Umgebung anhand von CIS-, NIST-, PCI DSS- oder SOC 2-Benchmarks, je nach Ihren Compliance-Anforderungen. Die Analyse dauert drei bis fünf Tage; die Härtung ein bis zwei Wochen. Lieferobjekte sind ein Sicherheitsstatusbericht, eine Härtungs-Roadmap und die Einrichtung des Monitorings. Die Härtung ist integraler Bestandteil unseres Engagements – wir erstellen keinen Bericht, um die Behebung dann anderen zu überlassen.

Häufige Feststellungen sind: öffentlich zugängliche Ressourcen, die privat sein sollten; zu weitreichende IAM-Richtlinien; unverschlüsselter Speicher; fehlende oder unvollständige Protokollierung; fest im Code verankerte Zugangsdaten in CI/CD-Pipelines. Dies sind keine exotischen Schwachstellen. Sie sind das routinemäßige Ergebnis, wenn man schnell agiert, ohne eine solide Sicherheitsgrundlage zu schaffen.

Identitäts- und Zugriffsmanagement

Die Ausbreitung von Berechtigungen ist die häufigste Lücke, die wir feststellen: Service-Konten mit Administratorzugriff, keine MFA-Durchsetzung für privilegierte Benutzer oder fehlende Rotationsrichtlinien für langlebige Zugangsdaten. Wir prüfen IAM-Konfigurationen über Cloud- und On-Premises-Systeme hinweg, setzen das Prinzip der geringsten Rechte durch, implementieren MFA, wo sie fehlt, und steuern die Berechtigungen von Service-Konten. Für regulierte Umgebungen – Finanzen, Healthtech, digitale Identität – richten wir Konfigurationen an FINMA-, NIS2- und ISO 27001-Anforderungen aus, wie wir es bereits für einen Schweizer Bankentechnologiekunden unter FINMA-Aufsicht getan haben.

Netzwerksegmentierung

Flache Cloud-Netzwerke erleichtern laterale Bewegungen. Wir segmentieren Workloads nach Umgebung und Sensibilität: durch separate VPCs oder VNets pro Schicht, private Endpunkte anstelle öffentlicher Dienstzugänge und Ost-West-Verkehrskontrollen, die einen kompromittierten Workload eindämmen, bevor er sich ausbreitet. Die Überprüfung der Netzwerksegmentierung ist auch Teil unseres umfassenderen Cybersecurity & Infrastructure Safety Checks für Unternehmen, die IT und OT gemeinsam bewerten müssen.

Secrets Management und Pipeline-Härtung

Fest im Anwendungscode und in CI/CD-Pipelines verankerte Zugangsdaten stellen ein persistentes und unterschätztes Risiko dar. Wir prüfen die Ausbreitung von Secrets, implementieren ein zentralisiertes Secrets Management (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault) und härten Pipeline-Berechtigungen. Dies ist häufig die wirkungsvollste Maßnahme in einem Engagement, da sie sowohl weit verbreitet als auch in einem Standard-Audit leicht zu übersehen ist.

Warum Gradion

Gradion ist ISO 27001-zertifiziert. Unsere Cloud-Sicherheitsarbeit wird von Praktikern geleistet, die Cloud-Infrastrukturen im großen Maßstab betreiben – nicht von Beratern, die Lückenanalysen für andere Teams erstellen. Jan Moser, unser Lead Consultant für Cloud, Security und DevSecOps, ist als Azure Administrator, Solution Architecture Expert und Cybersecurity Expert zertifiziert.

Teilen Sie uns Ihre Umgebung mit und worüber Sie Gewissheit benötigen. Wir definieren den Umfang der Analyse und zeigen Ihnen, wo die tatsächlichen Risiken liegen.