Von Hakan Akcan · Reepa Solutions
Die Mehrheit der schweren Cloud-Vorfälle in deutschen mittelständischen Unternehmen geht nicht auf eine technische Schwäche von AWS zurück, sondern auf vermeidbare Konfigurations-Fehler des Kunden — ein öffentlich zugänglicher S3-Bucket, fehlende Mehrfaktor-Authentifizierung am Root-Account, vergessene Test-Datenbanken im Internet, ungeprüfte IAM-Rechte mit Vollzugriff. Für Geschäftsführung, CFO und IT-Leitung ist das eine doppelte Belastung: einerseits drohen DSGVO-Bußgelder bei Daten-Vorfällen, andererseits zwingt die NIS2-Richtlinie seit 2024 viele mittelständische Unternehmen zu nachweisbaren technischen Maßnahmen für ihre Cloud-Umgebungen. Diese Checkliste fasst die zwölf wichtigsten Kontrollen zusammen, die für AWS-Umgebungen in Unternehmen mit 50 bis 2.000 Mitarbeitenden den größten Sicherheits-Hebel haben — mit Kostenrahmen, Compliance-Zuordnung und Vendor-Übersicht. Ausführlicher zur Einbettung in die Gesamtstrategie siehe unseren Cybersecurity-Guide für den Mittelstand.
Warum AWS-Security 2026 Vorstandsthema ist
Gartner hat in der vielzitierten Analyse zum Modell der geteilten Verantwortung festgehalten, dass bis 2025 voraussichtlich 99 Prozent aller Cloud-Sicherheits-Vorfälle durch Kunden-Fehler ausgelöst werden — nicht durch Schwachstellen der AWS-Plattform selbst. Diese Aussage hat eine direkte Konsequenz für jedes mittelständische Unternehmen: AWS liefert die Sicherheits-Bausteine, aber die korrekte Konfiguration, die Datenklassifizierung und die laufende Überwachung liegt vollständig in Ihrer Verantwortung. Wer diese Verantwortung delegiert, ohne sie aktiv zu managen, baut systematisches Risiko auf.
Für Aufsichtsräte und Geschäftsführung kommen drei regulatorische Verstärker hinzu. Erstens die DSGVO, die mit Artikel 32 verlangt, dass die technischen und organisatorischen Maßnahmen dem Stand der Technik entsprechen — und bei einem Daten-Vorfall in einer öffentlich zugänglichen Cloud-Ablage ist diese Anforderung kaum verteidigbar. Bußgelder im sechs- bis siebenstelligen Bereich sind in der Praxis dokumentiert, etwa bei der Berliner Datenschutz-Aufsicht. Zweitens NIS2, das seit Oktober 2024 in Kraft ist und einen großen Teil des deutschen Mittelstands erstmals zu strukturierter Sicherheits-Berichterstattung verpflichtet. Geschäftsleitungen haften persönlich, wenn sie ihre Aufsichtspflicht nicht erfüllen. Drittens steigen die Anforderungen großer Kunden und Versicherer — Lieferanten-Audits zu Cloud-Sicherheit sind heute Standard in vielen Branchen, von Industrie über Logistik bis Gesundheit.
Operativ kommt die Bedrohung durch Ransomware hinzu, die zunehmend Cloud-Identitäten und Cloud-Backups ins Visier nimmt. Ein einziger missbrauchter IAM-Schlüssel kann ausreichen, um produktive AWS-Konten leerzuräumen, Backups zu löschen und Lösegeld zu fordern. Versicherungs-Anbieter haben darauf reagiert: Cyber-Policen verlangen heute meistens den Nachweis grundlegender Cloud-Kontrollen — MFA, Logging, Backup-Restore-Tests — als Voraussetzung für die Police selbst. Wer diese Kontrollen nicht nachweisen kann, bekommt entweder keine Versicherung oder zahlt deutlich höhere Prämien.
Die 12 Pflicht-Kontrollen — Übersicht
Die folgende Liste fasst die zwölf Kontrollen zusammen, die in den meisten mittelständischen AWS-Umgebungen den höchsten Sicherheits-Hebel haben. Jeder Eintrag beschreibt, was die Kontrolle bewirkt und warum sie wichtig ist — die konkrete Umsetzung wird in einem Folge-Schritt mit Ihrem Team oder einem Berater geklärt.
- IAM-Mindestrechte und MFA für RootDer AWS-Root-Account ist mit Mehrfaktor-Authentifizierung zu schützen, alle administrativen IAM-Konten ebenfalls. Tages-Geschäft läuft niemals über Root. Berechtigungen folgen dem Prinzip der minimal notwendigen Rechte, idealerweise rollenbasiert über AWS IAM Identity Center.
- CloudTrail in allen Regionen aktivCloudTrail protokolliert jede API-Aktion in AWS — wer hat wann was geändert. Ohne diese Aufzeichnungen ist eine forensische Aufarbeitung nach einem Vorfall praktisch unmöglich, und der NIS2-Nachweis von Aktivitäts-Logging entfällt.
- GuardDuty und Security Hub aktiviertGuardDuty erkennt anomales Verhalten in IAM, EC2, S3 und Containern. Security Hub aggregiert die Befunde und ordnet sie Compliance-Frameworks wie CIS und NIST zu. Beide sind in unter einer Stunde aktivierbar und liefern messbare Sichtbarkeit.
- S3-Public-Access-Block auf Account-EbeneDer häufigste Grund für Cloud-Daten-Vorfälle ist ein versehentlich öffentlicher S3-Bucket. Der Public-Access-Block auf Account-Ebene verhindert das systematisch — selbst wenn eine einzelne Konfiguration falsch ist, bleibt der Zugriff blockiert.
- KMS für sensible DatenPersonenbezogene Daten, Geschäftsgeheimnisse und Backup-Daten sind mit AWS Key Management Service zu verschlüsseln. Schlüssel-Rotation und Zugriffs-Protokollierung erfolgen automatisch. Ohne KMS lässt sich „Verschlüsselung gemäß Stand der Technik“ in Audits schwer nachweisen.
- VPC-Flow-Logs in zentraler AblageFlow-Logs zeichnen den Netzwerk-Verkehr in Ihren AWS-Netzwerken auf — wer hat mit wem auf welchem Port gesprochen. Sie sind die Grundlage für Anomalie-Erkennung, forensische Auswertung und Audit-Nachweise.
- Backup-Strategie mit Restore-TestsAWS Backup orchestriert konsistente Sicherungen über mehrere Dienste hinweg. Entscheidend ist nicht die Existenz von Backups, sondern der regelmäßige Restore-Test — mindestens quartalsweise. Backups, die im Ernstfall nicht funktionieren, sind keine Backups.
- AWS Config mit Conformance PacksAWS Config zeichnet jede Konfigurations-Änderung auf und prüft sie kontinuierlich gegen Sicherheits-Regeln. Conformance Packs liefern vorgefertigte Regel-Sätze für CIS, PCI-DSS, BSI-Grundschutz und andere Frameworks. Damit wird Compliance dauerhaft messbar statt punktuell.
- EBS- und EFS-Verschlüsselung erzwungenFestplatten und Dateisysteme verschlüsseln sich nicht von selbst. Die Account-weite Voreinstellung „Verschlüsselung verpflichtend“ verhindert, dass Entwicklungs-Teams versehentlich unverschlüsselte Speicher anlegen. Der Aufwand: Minuten. Der Nutzen im DSGVO-Audit: erheblich.
- Secrets Manager statt eingebetteter ZugangsdatenDatenbank-Passwörter, API-Schlüssel und Tokens gehören nicht in Quellcode, Konfigurationsdateien oder Umgebungs-Variablen. AWS Secrets Manager speichert sie zentral, rotiert sie automatisch und protokolliert jeden Zugriff. Eine der wirksamsten Einzelmaßnahmen gegen Credential-Lecks.
- IMDSv2 verbindlich auf allen EC2-InstanzenDer Instance Metadata Service liefert auf jeder EC2-Instanz temporäre Cloud-Zugangsdaten. In der älteren Version 1 ist er per HTTP-GET passiv abrufbar, in der Version 2 nur token-basiert. Der Wechsel auf IMDSv2 verhindert einen der häufigsten Wege, wie Cloud-Zugangsdaten aus Web-Anwendungen abfließen.
- Container- und Kubernetes-HärtungWer Amazon EKS oder ECS betreibt, braucht zusätzliche Kontrollen: private API-Endpoints, Pod-Security-Standards, Image-Scanning mit Amazon Inspector und eine klare Trennung zwischen Cluster-Admin und Anwendungs-Rollen. Container ohne diese Härtung sind ein häufiger Erst-Einstiegspunkt für Angreifer.
Kostenlose AWS-Sicherheits-Erstbewertung
Sie wollen wissen, wie Ihre AWS-Umgebung gegen diese zwölf Kontrollen heute aufgestellt ist? Wir bieten eine kostenlose Erstbewertung an: 30 bis 45 Minuten Gespräch, fokussierte Bestands-Aufnahme, klare Ampel pro Kontrolle und eine schriftliche Kurz-Auswertung im Anschluss.
Kostenlose AWS-Sicherheits-Erstbewertung anfordern
Ein kompakter Einstieg ohne Kosten und ohne Verpflichtung. Sie erhalten eine fundierte Außensicht auf Ihre AWS-Konten und konkrete Empfehlungen, welche der zwölf Kontrollen Priorität haben.
Kostenlose AWS-Security-Erstbewertung anfordernCompliance-Bezug: DSGVO, NIS2, ISO 27001
Die zwölf Kontrollen haben nicht nur einen technischen, sondern auch einen regulatorischen Nutzen. Die folgende Zuordnung zeigt, welche Kontrolle welche Vorgabe in DSGVO Artikel 32, NIS2 Artikel 21 und ISO 27001 Annex A bedient. Diese Tabelle ist bewusst grob — in der Praxis sind die Anforderungen detaillierter, aber sie liefert die wichtigste Übersicht für die Vorstands-Kommunikation und für die Vorbereitung von Audits.
| Kontrolle | DSGVO §32 | NIS2 §21 | ISO 27001 Annex A |
|---|---|---|---|
| IAM-Mindestrechte und Root-MFA | Zugangs- und Berechtigungs-Konzept | Zugriffs-Kontrolle | A.5.15, A.5.16, A.8.2 |
| CloudTrail in allen Regionen | Nachvollziehbarkeit | Aktivitäts-Aufzeichnung | A.8.15, A.8.16 |
| GuardDuty und Security Hub | Erkennung von Vorfällen | Erkennung, Vorfall-Behandlung | A.8.16, A.5.24 |
| S3-Public-Access-Block | Vertraulichkeit, Integrität | Schutz vor unbefugtem Zugriff | A.8.3, A.5.10 |
| KMS-Verschlüsselung sensibler Daten | Verschlüsselung | Kryptografische Verfahren | A.8.24, A.5.33 |
| VPC-Flow-Logs | Erkennbarkeit unbefugter Zugriffe | Netzwerk-Sicherheit, Logging | A.8.15, A.8.20 |
| Backup-Strategie mit Restore-Tests | Wiederherstellbarkeit | Business Continuity | A.8.13, A.5.30 |
| AWS Config mit Conformance Packs | Regelmäßige Überprüfung der TOMs | Risikomanagement | A.5.36, A.5.7 |
| EBS- und EFS-Verschlüsselung | Verschlüsselung | Kryptografische Verfahren | A.8.24 |
| Secrets Manager | Zugangs-Sicherheit | Authentifizierung | A.8.24, A.5.17 |
| IMDSv2 verpflichtend | Stand der Technik | Härtung | A.8.9 |
| Container- und EKS-Härtung | Stand der Technik | Sichere Konfiguration | A.8.9, A.8.27 |
Diese Zuordnung ersetzt keine vollständige Compliance-Analyse — sie ist ein Einstieg, um in der Geschäftsführung sichtbar zu machen, dass jede der zwölf Kontrollen mehrere regulatorische Anforderungen gleichzeitig bedient. Wer alle zwölf konsequent umsetzt, schließt einen erheblichen Teil der häufigsten Audit-Beanstandungen bereits ab. Detailliert zur ISO-27001-Mechanik siehe unseren Cluster zu ISO 27001 Zertifizierung Kosten.
Was kostet die Umsetzung?
Die Kosten für die Umsetzung der zwölf Kontrollen hängen stark von der Ausgangslage und der Account-Anzahl ab. Die folgende Tabelle zeigt typische Spannen für mittelständische Unternehmen mit einer überschaubaren AWS-Landschaft (ein bis fünf Accounts, weniger als 100 produktive Workloads). Sie ist als Orientierung gedacht — präzise Angebote brauchen einen kurzen Scope-Workshop.
| Maßnahmen-Cluster | Aufwand (PT) | Externer Berater (€) | Inhouse-Realität |
|---|---|---|---|
| Aktivierungs-Block (CloudTrail, GuardDuty, Security Hub, S3-Block, IMDSv2) | 3–6 | ab 3.500 | Eine erfahrene Person, ein bis zwei Tage |
| IAM-Konzept und Identity Center | 6–12 | ab 6.500 | Mehrere Workshops mit Stakeholdern |
| KMS- und Datenklassifizierungs-Konzept | 5–10 | ab 5.500 | Eng mit Datenschutz abstimmen |
| Backup- und Restore-Konzept inkl. Tests | 4–8 | ab 4.500 | Quartals-Restore-Test als Daueraufgabe |
| VPC-Flow-Logs und zentrales Logging | 3–6 | ab 3.500 | Storage-Kosten laufend kalkulieren |
| AWS Config + Conformance Packs | 2–5 | ab 2.500 | Pflege quartalsweise |
| Container- und EKS-Härtung (falls vorhanden) | 5–10 | ab 5.500 | Mit Plattform-Team gemeinsam |
Hinzu kommen laufende AWS-Servicekosten: CloudTrail-Storage, GuardDuty-Verarbeitung, Security-Hub-Compliance-Checks, Config-Recorder. Für eine mittelständische Umgebung mit einigen Accounts liegen diese Servicekosten erfahrungsgemäß zwischen 150 und 800 Euro pro Monat — gemessen am Schadenpotenzial bei einem Vorfall ein moderater Posten. Wer Inhouse arbeitet, sollte nicht den Aufwand selbst, sondern die Opportunitätskosten realistisch einplanen: jede Tageszeit, die eine senior Cloud-Architektin in der Sicherheits-Härtung verbringt, fehlt im Produkt-Backlog.
Vendor-Landschaft
Die zwölf Kontrollen lassen sich entweder vollständig mit AWS-eigenen Werkzeugen umsetzen oder mit ergänzenden Plattformen, die zusätzlichen Komfort und plattformübergreifende Sicht bringen. Welcher Weg sinnvoll ist, hängt von Größe, Architektur und Reife des Teams ab.
AWS-native Tool-Kette. Für Mittelständler mit reiner AWS-Landschaft reicht sie in den meisten Fällen aus.
- AWS Security Hub — zentrale Aggregation und Compliance-Berichterstattung
- Amazon GuardDuty — Anomalie-Erkennung über IAM, EC2, S3, EKS
- Amazon Inspector — Schwachstellen-Scans für EC2 und Container-Images
- Amazon Macie — automatische Erkennung sensibler Daten in S3
- Amazon Detective — forensische Aufarbeitung von Vorfällen
3rd-Party-Cloud-Security-Plattformen. Lohnen sich bei Multi-Cloud, vielen Accounts und höherem Reifegrad.
- Wiz — agentenlose Cloud-Security-Plattform mit starker Visualisierung
- Lacework — verhaltensbasierte Anomalie-Erkennung über mehrere Cloud-Anbieter hinweg
- Palo Alto Prisma Cloud — breit angelegte Plattform für CSPM, CWPP und Container-Sicherheit
- Orca Security — agentenlose Sicherheits-Sicht ohne Netzwerk-Eingriff
- Datadog Cloud Security — sinnvoll bei bestehender Datadog-Observability-Plattform
Die Auswahl ist kein „besser oder schlechter“, sondern ein „passt zu Ihrer Architektur oder nicht“. Wir empfehlen Mittelständlern, mit der AWS-nativen Tool-Kette zu starten — sie ist schnell aktivierbar und kostet wenig — und erst dann ergänzende Plattformen zu evaluieren, wenn die operative Sichtbarkeit aus dem AWS-Stack alleine nicht mehr ausreicht. Eine eigene Erfahrung aus jüngeren Mandaten: in mittelständischen Umgebungen mit unter 200 Mitarbeitenden hat sich der AWS-native Stack in 80 Prozent der Fälle als ausreichend erwiesen, sofern die zwölf Kontrollen sauber umgesetzt sind.
Häufige Fragen
Wie schnell kann ein Mittelständler die 12 AWS-Pflicht-Kontrollen umsetzen?
In typischen Mittelstands-Umgebungen mit einem bis fünf AWS-Konten lassen sich die zwölf Kontrollen in zwei bis vier Monaten umsetzen, wenn ein dediziertes Team von zwei bis drei Personen daran arbeitet. Sechs der zwölf Kontrollen sind innerhalb der ersten zwei Wochen erledigt — sie sind im Wesentlichen Aktivierungen von AWS-eigenen Diensten. Die anderen sechs erfordern Architektur-Entscheidungen, Datenklassifizierung und Prozess-Anpassungen und brauchen entsprechend länger. Wer das Projekt parallel zu Tagesgeschäft fahren muss, sollte mit sechs bis neun Monaten rechnen.
Reicht AWS Security Hub allein, um die Cloud abzusichern?
Nein. AWS Security Hub aggregiert Befunde aus GuardDuty, Inspector, Macie und externen Quellen und ordnet sie Compliance-Frameworks wie CIS oder NIST zu. Es ist ein wichtiges Sichtbarkeits-Werkzeug, aber kein Ersatz für Härtung. Ein Security Hub mit 1.200 offenen Befunden ist genau so unsicher wie eine Umgebung ohne Security Hub — der Unterschied ist nur, dass Sie es wissen. Die zwölf Pflicht-Kontrollen schließen die Lücken, die Security Hub Ihnen aufzeigt.
Was passiert bei einem DSGVO-Audit, wenn diese Kontrollen fehlen?
Datenschutz-Aufsichtsbehörden bewerten in der Praxis nach Artikel 32 DSGVO, ob die technischen und organisatorischen Maßnahmen dem Stand der Technik entsprechen. Fehlende AWS-Basis-Kontrollen wie CloudTrail, Verschlüsselung sensibler Daten oder ein S3-Public-Access-Block sind in einem Audit kaum verteidigbar, weil sie als Standard-Empfehlung gelten und ohne nennenswerten Aufwand aktivierbar sind. Bei einem Datenschutz-Vorfall mit personenbezogenen Daten in einem öffentlich zugänglichen S3-Bucket sind Bußgelder im sechs- bis siebenstelligen Bereich bei mittelständischen Unternehmen dokumentiert.
Brauchen wir zusätzlich eine 3rd-Party-Cloud-Security-Plattform wie Wiz oder Prisma Cloud?
Für Unternehmen mit nur einem AWS-Account und unter 100 Mitarbeitern reicht die AWS-native Tool-Kette (Security Hub, GuardDuty, Config, Inspector, Macie) meistens aus. Sobald Sie mehr als drei AWS-Konten, Multi-Cloud-Setups oder Container-Workloads in Produktion betreiben, lohnt eine 3rd-Party-Plattform — sie liefert Cross-Account-Sicht, Multi-Cloud-Abdeckung und bessere Priorisierung. Typischer Break-even liegt bei rund 50 AWS-Konten oder 500 Workloads.
Welche der zwölf Kontrollen sollte zuerst umgesetzt werden?
Die ersten drei sind immer dieselben: MFA für den Root-Account und alle IAM-Konten mit administrativen Rechten, CloudTrail in allen Regionen aktivieren und der S3-Public-Access-Block auf Account-Ebene. Diese drei Maßnahmen schließen die häufigsten Ursachen für AWS-Vorfälle in mittelständischen Unternehmen ab und sind innerhalb von Stunden umsetzbar. Erst danach folgen GuardDuty, Verschlüsselung und der Rest der Liste in der Reihenfolge der jeweiligen Risiko-Bewertung.
Wie oft sollte die AWS-Sicherheits-Checkliste überprüft werden?
Eine quartalsweise Überprüfung ist Mindest-Standard — typischerweise mit AWS Config Conformance Packs, die kontinuierlich gegen die zwölf Kontrollen prüfen. Bei größeren Architektur-Änderungen, neuen Accounts oder Übernahmen zusätzlich. Eine externe Sicherheits-Bewertung empfehlen wir einmal jährlich, weil interne Teams nach einigen Monaten betriebsblind gegenüber den eigenen Architektur-Entscheidungen werden. Continuous External Attack Surface Monitoring — etwa mit Reepa Security — ergänzt die internen Audits um die Außensicht.
Kann man die AWS-Sicherheits-Kontrollen inhouse aufbauen oder braucht es einen externen Berater?
Beides ist möglich, je nach Team-Stärke. Wenn Sie mindestens eine Person mit AWS-Solutions-Architect-Professional oder AWS-Security-Specialty-Zertifizierung haben und diese Person dem Thema 30 bis 50 Prozent ihrer Zeit widmen kann, ist Inhouse-Aufbau machbar. Ohne diese Voraussetzung ist ein externer Berater für die ersten drei bis sechs Monate fast immer schneller und günstiger — er bringt Templates, Conformance-Pack-Konfigurationen und Erfahrung mit, die ein internes Team erst erarbeiten müsste.
Bereit, Ihre AWS-Umgebung auf das nächste Level zu heben?
Sprechen wir 30 Minuten unverbindlich. Wir gehen mit Ihnen die zwölf Kontrollen durch, identifizieren die größten Lücken in Ihrer aktuellen AWS-Landschaft und liefern eine ehrliche Einschätzung — Inhouse oder mit externer Unterstützung — und einen realistischen Fahrplan.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über Cloud-Security, NIS2, DSGVO-Compliance und AWS-Härtung.
Geprüft am: 22. Mai 2026 · Mehr über Hakan