Cloud Security Audit Checkliste für Schweizer Unternehmen

Q: Wie unterscheidet sich ein Cloud Security Audit von einem Penetrationstest?

Ein Cloud Security Audit prüft die Konfiguration und Compliance Ihrer Cloud-Umgebung anhand von Best Practices und Standards. Ein Penetrationstest simuliert reale Angriffe, um zu prüfen, ob ein Angreifer Ihre Schutzmassnahmen überwinden kann. Idealerweise kombinieren Sie beide Ansätze für einen umfassenden Sicherheitsnachweis.

Q: Wie oft sollte ein Cloud Security Audit durchgeführt werden?

Mindestens ein vollständiges Cloud Security Audit pro Jahr, ergänzt durch quartalmässige automatisierte Scans. Zusätzliche Audits bei wesentlichen Änderungen wie Cloud-Migrationen oder nach Sicherheitsvorfällen. Für regulierte Branchen können höhere Frequenzen erforderlich sein.

Die Cloud ist längst kein Zukunftsthema mehr – sie ist die Gegenwart. Über 78 % der Schweizer Unternehmen nutzen heute mindestens einen Cloud-Dienst, viele setzen auf Multi-Cloud-Strategien mit Azure, AWS und Microsoft 365. Doch mit der Migration in die Cloud steigen auch die Risiken: Fehlkonfigurationen, unzureichende Zugriffskontrollen und mangelnde Übersicht über geteilte Verantwortlichkeiten führen regelmässig zu Datenpannen mit gravierenden Folgen.

Ein systematisches Cloud Security Audit ist der wirksamste Weg, um Schwachstellen in Ihrer Cloud-Infrastruktur aufzudecken, bevor Angreifer sie ausnutzen. In diesem Leitfaden erhalten Sie eine praxiserprobte Checkliste – basierend auf CIS Benchmarks, Empfehlungen von Microsoft und AWS sowie den Anforderungen des Schweizer Datenschutzgesetzes (nDSG) und des Bundesamtes für Cybersicherheit (BACS, ehemals NCSC).

Zentrale Erkenntnis

Laut dem IBM Cost of a Data Breach Report 2025 sind Fehlkonfigurationen in der Cloud für 12 % aller Datenpannen weltweit verantwortlich. Die durchschnittlichen Kosten einer cloud-basierten Datenpanne betragen USD 4,88 Millionen – 13 % mehr als bei On-Premises-Umgebungen. Für Schweizer Unternehmen liegt dieser Wert aufgrund höherer Lohn- und Regulierungskosten noch deutlich darüber.

Warum Cloud Security Audits unverzichtbar sind

Die Annahme, dass Cloud-Anbieter wie Microsoft oder Amazon die Sicherheit vollständig gewährleisten, ist einer der gefährlichsten Irrtümer in der IT-Sicherheit. Das Shared-Responsibility-Modell besagt klar: Der Cloud-Anbieter sichert die Infrastruktur, aber die Konfiguration, Zugriffssteuerung und Datensicherheit liegen in Ihrer Verantwortung.

82 %

aller Cloud-Datenpannen betreffen kundenseitig verwaltete Daten oder Fehlkonfigurationen (Thales Cloud Security Report, 2025)

USD 4,88 Mio.

Durchschnittliche Kosten einer cloud-basierten Datenpanne weltweit (IBM, 2025)

45 %

der Unternehmen erlebten in den letzten 12 Monaten eine cloud-basierte Datenpanne (Thales, 2025)

258 Tage

Durchschnittliche Zeit zur Erkennung und Eindämmung einer Cloud-Datenpanne (IBM, 2025)

Laut dem Verizon Data Breach Investigations Report (DBIR) 2025 sind Webanwendungen und Cloud-Dienste inzwischen der häufigste Angriffsvektor für Datenpannen – noch vor Phishing und kompromittierten Endgeräten. In 68 % der Fälle war ein menschlicher Fehler – typischerweise eine Fehlkonfiguration oder ein zu weit gefasster Zugriff – die Ursache.

Für Schweizer Unternehmen kommt hinzu: Das revidierte Datenschutzgesetz (nDSG) verlangt angemessene technische und organisatorische Massnahmen zum Schutz personenbezogener Daten. Bei einer Datenpanne drohen empfindliche Bussen und Reputationsschäden. Eine systematische Bedrohungsanalyse Ihrer Cloud-Umgebung ist der erste Schritt zur Risikominimierung.

Die Grundlagen: CIS Benchmarks als Audit-Framework

Für ein strukturiertes Cloud Security Audit empfehlen wir die CIS Benchmarks (Center for Internet Security) als Grundlage. Die CIS Benchmarks sind konsensbasierte Sicherheitskonfigurationsrichtlinien, die von einer globalen Community aus IT-Sicherheitsexperten entwickelt und regelmässig aktualisiert werden. Sie gelten als internationaler De-facto-Standard für die Härtung von Cloud-Umgebungen.

Die relevanten Benchmarks für Schweizer Unternehmen sind:

CIS Microsoft Azure Foundations Benchmark v3.0 – 170+ Prüfpunkte für Azure-Abonnements und -Dienste
CIS Amazon Web Services Foundations Benchmark v4.0 – 60+ Prüfpunkte für AWS-Konten und -Dienste
CIS Microsoft 365 Foundations Benchmark v4.0 – 120+ Prüfpunkte für Exchange Online, SharePoint, Teams und Entra ID

Hinweis

CIS Benchmarks definieren zwei Profile: Level 1 (Basismassnahmen, die in jeder Umgebung umsetzbar sind) und Level 2 (erweiterte Sicherheitsmassnahmen für hochsensible Umgebungen). Für Schweizer Unternehmen mit regulatorischen Anforderungen – insbesondere im Finanz- und Gesundheitswesen – empfehlen wir die vollständige Umsetzung beider Profile.

Cloud Security Audit Checkliste: Azure vs. AWS vs. Microsoft 365

Die folgende Tabelle fasst die wichtigsten Prüfpunkte für ein Cloud Security Audit zusammen, aufgeteilt nach Plattform. Sie basiert auf den CIS Benchmarks, ergänzt durch Empfehlungen von Microsoft, AWS und dem BACS (ehemals NCSC).

Prüfbereich	Azure	AWS	M365
Identität & Zugriff
MFA für alle Administratoren erzwungen	✓	✓	✓
MFA für alle Benutzer aktiviert	✓	✓	✓
Conditional Access Policies konfiguriert	✓	–	✓
Root-/Global-Admin-Konto gesichert und selten genutzt	✓	✓	✓
Privileged Identity Management (PIM) / Just-in-Time-Zugriff	✓	✓	✓
Inaktive und verwaiste Konten entfernt	✓	✓	✓
Service-Principals / IAM-Rollen nach Least Privilege	✓	✓	–
Netzwerk & Infrastruktur
Netzwerksegmentierung (VNet/VPC) implementiert	✓	✓	–
Network Security Groups / Security Groups restriktiv konfiguriert	✓	✓	–
Keine öffentlich erreichbaren Management-Ports (RDP/SSH)	✓	✓	–
Web Application Firewall (WAF) für öffentliche Anwendungen	✓	✓	–
DDoS-Schutz aktiviert	✓	✓	–
Datensicherheit
Verschlüsselung at Rest mit kundenverwalteten Schlüsseln (CMK)	✓	✓	✓
Verschlüsselung in Transit (TLS 1.2+) erzwungen	✓	✓	✓
Storage-Konten / S3-Buckets nicht öffentlich zugänglich	✓	✓	–
Data Loss Prevention (DLP) Policies aktiv	✓	✓	✓
Sensitivity Labels / Information Protection konfiguriert	✓	–	✓
Logging & Monitoring
Audit Logging aktiviert und zentralisiert	✓	✓	✓
CloudTrail / Activity Log / Unified Audit Log aktiviert	✓	✓	✓
Alerting für sicherheitsrelevante Ereignisse konfiguriert	✓	✓	✓
Log-Aufbewahrungsdauer ≥ 90 Tage	✓	✓	✓
Microsoft Defender for Cloud / AWS Security Hub / Secure Score aktiviert	✓	✓	✓
E-Mail & Collaboration
SPF, DKIM und DMARC korrekt konfiguriert	–	–	✓
Anti-Phishing Policies in Defender for Office 365	–	–	✓
Safe Attachments und Safe Links aktiviert	–	–	✓
Externe Freigaben in SharePoint/OneDrive eingeschränkt	–	–	✓
Teams-Gastzugriff kontrolliert und eingeschränkt	–	–	✓

Praxis-Tipp

Die obige Tabelle zeigt die wichtigsten Prüfpunkte. Ein vollständiges Cloud Security Assessment umfasst je nach Plattform 150–300 individuelle Kontrollpunkte. Die CIS Benchmarks bieten hierfür ein detailliertes Scoring-System, das automatisiert und manuell überprüft werden kann.

Die 5 häufigsten Cloud-Fehlkonfigurationen

Aus unserer Erfahrung mit über hundert Cloud Security Audits für Schweizer Unternehmen sehen wir immer wieder dieselben kritischen Fehlkonfigurationen. Diese fünf Schwachstellen finden wir in nahezu jeder Umgebung:

1. Überprivilegierte Identitäten

Zu viele Benutzer mit Global-Admin- oder Root-Rechten. Microsoft empfiehlt maximal 2–4 Global Admins pro Tenant – wir sehen regelmässig 15 oder mehr. Jedes überprivilegierte Konto ist ein potenzieller Einstiegspunkt für Angreifer. Die Lösung: Privileged Identity Management (PIM) mit zeitlich begrenzten, just-in-time Zugriffen.

2. Öffentlich zugängliche Storage-Ressourcen

Offene S3-Buckets und Azure Blob Storage ohne Zugriffsschutz sind nach wie vor eine der häufigsten Ursachen für Datenlecks. AWS hat zwar die Standard-Einstellungen verschärft, doch bei älteren Konten oder manuell geänderten Konfigurationen bleiben Risiken bestehen. Prüfen Sie: «Block Public Access» muss auf Konto- und Bucket-Ebene aktiviert sein.

3. Fehlendes oder unvollständiges Logging

Ohne vollständige Audit-Logs ist eine Vorfallsanalyse unmöglich. In vielen Umgebungen ist AWS CloudTrail nur für Management Events aktiviert, nicht für Data Events. In Azure fehlt häufig die Weiterleitung der Activity Logs an ein zentrales SIEM. Und in Microsoft 365 ist das Unified Audit Log oft standardmässig deaktiviert.

4. Unzureichende E-Mail-Authentifizierung

Viele M365-Tenants haben keinen oder einen fehlerhaften DMARC-Record. Ohne DMARC mit «reject»-Policy können Angreifer E-Mails im Namen Ihres Unternehmens versenden – ein idealer Ausgangspunkt für Phishing und Business Email Compromise.

5. Fehlende Netzwerksegmentierung

Flache Netzwerkarchitekturen in der Cloud erlauben es Angreifern, sich nach einem initialen Zugriff lateral durch die gesamte Umgebung zu bewegen. Virtuelle Netzwerke, Subnetze und Network Security Groups müssen nach dem Least-Privilege-Prinzip konfiguriert sein.

Azure-spezifische Prüfpunkte

Microsoft Azure ist die mit Abstand am häufigsten genutzte Cloud-Plattform in der Schweiz – nicht zuletzt, weil Microsoft seit 2019 zwei Rechenzentrumsregionen in Zürich und Genf betreibt. Das CIS Microsoft Azure Foundations Benchmark v3.0 definiert über 170 Kontrollpunkte. Die kritischsten für Schweizer Unternehmen:

Microsoft Entra ID (ehemals Azure AD): Security Defaults oder Conditional Access Policies müssen aktiv sein. Prüfen Sie, ob Legacy-Authentifizierungsprotokolle blockiert sind – sie unterstützen kein MFA und sind ein bevorzugtes Ziel für Angreifer.
Azure Key Vault: Alle kryptografischen Schlüssel, Zertifikate und Secrets müssen in einem Key Vault gespeichert werden – niemals im Code oder in Konfigurationsdateien.
Microsoft Defender for Cloud: Aktivieren Sie alle verfügbaren Defender-Pläne (Defender for Servers, Defender for Storage, Defender for SQL). Der Secure Score gibt Ihnen eine sofortige Übersicht über Ihren Sicherheitsstand.
Azure Policy: Setzen Sie Azure Policies ein, um Compliance-Anforderungen automatisch durchzusetzen – etwa das Verbot von Ressourcen ausserhalb der Schweizer Regionen (Switzerland North / Switzerland West).
Diagnostische Einstellungen: Stellen Sie sicher, dass Activity Logs, Sign-in Logs und Audit Logs an einen Log Analytics Workspace oder ein externes SIEM exportiert werden.

AWS-spezifische Prüfpunkte

Amazon Web Services bietet seit 2022 eine Region in Zürich (eu-central-2) und wird zunehmend auch von Schweizer Unternehmen genutzt. Das CIS Amazon Web Services Foundations Benchmark v4.0 konzentriert sich auf die grundlegenden Sicherheitseinstellungen eines AWS-Kontos:

IAM-Konfiguration: Der Root-Benutzer darf keine Zugangsschlüssel (Access Keys) haben und muss mit Hardware-MFA gesichert sein. AWS empfiehlt die Nutzung von IAM Identity Center (ehemals SSO) für die zentrale Zugriffsverwaltung.
AWS CloudTrail: Muss in allen Regionen aktiviert sein, mit Multi-Region-Trail und Log-File-Validierung. Für regulierte Umgebungen sollte die Aufbewahrung über einen S3-Bucket mit Object Lock gewährleistet sein.
S3-Sicherheit: Block Public Access auf Kontoebene aktivieren. Versioning und MFA Delete für Buckets mit sensiblen Daten einschalten. Server-Side Encryption (SSE-KMS) mit kundenverwalteten Schlüsseln verwenden.
VPC-Konfiguration: Default Security Groups sollten keinen eingehenden Verkehr erlauben. Flow Logs müssen für alle VPCs aktiviert sein. Vermeiden Sie die Nutzung der Default-VPC für Produktionsworkloads.
AWS Config und Security Hub: Aktivieren Sie AWS Config in allen Regionen zur Aufzeichnung von Konfigurationsänderungen. AWS Security Hub aggregiert Findings aus verschiedenen AWS-Sicherheitsdiensten und CIS-Benchmark-Prüfungen.

Microsoft 365-spezifische Prüfpunkte

Microsoft 365 ist weit mehr als ein Produktivitätstool – es ist oft das Herzstück der Unternehmens-IT und damit ein hochattraktives Ziel für Angreifer. Ein kompromittierter M365-Tenant gibt Angreifern Zugriff auf E-Mails, Dokumente, Chats und häufig auch auf verbundene Cloud-Dienste über Single Sign-On. Das CIS Microsoft 365 Foundations Benchmark v4.0 umfasst über 120 Kontrollpunkte:

Entra ID / Identity: Conditional Access Policies müssen MFA für alle Benutzer erzwingen – nicht nur für Administratoren. Blockieren Sie Legacy-Authentifizierung vollständig. Konfigurieren Sie Session-Timeout und Token-Lebensdauer.
Exchange Online: Aktivieren Sie Defender for Office 365 mit Safe Attachments, Safe Links und Anti-Phishing-Policies. Prüfen Sie, ob Mailbox-Audit-Logging für alle Postfächer aktiviert ist. Deaktivieren Sie die automatische Weiterleitung an externe Empfänger.
SharePoint und OneDrive: Beschränken Sie externe Freigaben auf authentifizierte Gäste. Aktivieren Sie Versionierung und verwenden Sie Sensitivity Labels für die Klassifizierung sensibler Dokumente.
Teams: Kontrollieren Sie den Gastzugriff und die Möglichkeit, externe Apps zu installieren. Stellen Sie sicher, dass Besprechungsaufzeichnungen nicht unbegrenzt gespeichert werden.
Power Platform: Beschränken Sie die Erstellung von Power Apps und Power Automate Flows auf autorisierte Benutzer. Unkontrollierte Low-Code-/No-Code-Anwendungen können Daten unbeabsichtigt exponieren.

NCSC/BACS-Empfehlung

Das Bundesamt für Cybersicherheit (BACS) empfiehlt Schweizer Unternehmen explizit die regelmässige Überprüfung ihrer Cloud-Konfigurationen anhand internationaler Standards wie den CIS Benchmarks. Besonders betont das BACS die Wichtigkeit von MFA, Logging und dem Prinzip der minimalen Rechtevergabe (Least Privilege). Die BACS-Empfehlungen finden Sie unter ncsc.admin.ch.

Schweizer Compliance-Anforderungen für die Cloud

Neben den technischen Prüfpunkten müssen Schweizer Unternehmen bei einem Cloud Security Audit auch regulatorische Anforderungen berücksichtigen:

Neues Datenschutzgesetz (nDSG)

Seit dem 1. September 2023 in Kraft. Verlangt angemessene technische und organisatorische Massnahmen (TOMs) zum Schutz personenbezogener Daten. Bei der Nutzung von Cloud-Diensten müssen Sie sicherstellen, dass der Anbieter ein angemessenes Datenschutzniveau bietet – insbesondere bei Datenübermittlungen ins Ausland. Die Nutzung der Schweizer Cloud-Regionen von Azure und AWS erleichtert die Compliance, ersetzt aber keine vollständige Datenschutz-Folgenabschätzung.

FINMA-Anforderungen (Finanzsektor)

Beaufsichtigte Finanzinstitute unterliegen zusätzlichen Anforderungen gemäss FINMA-Rundschreiben 2023/1 und den Auslagerungsvorschriften. Cloud-Auslagerungen müssen der FINMA gemeldet werden, und es gelten erhöhte Anforderungen an Ausstiegsstrategien, Datenstandort und Prüfrechte.

Branchenspezifische Regulierung

Für das Gesundheitswesen gelten die Anforderungen des Bundesgesetzes über das elektronische Patientendossier (EPDG). In der Energiebranche sind die Vorgaben des Informationssicherheitsgesetzes (ISG) und der Nationalen Strategie zum Schutz kritischer Infrastrukturen relevant.

Der Audit-Prozess: Schritt für Schritt

Ein professionelles Cloud Security Audit folgt einem strukturierten Prozess. So gehen wir bei RedTeam Partners vor:

Scoping und Planung (Tag 1): Identifikation aller Cloud-Dienste, Tenants, Abonnements und Konten. Definition des Prüfumfangs und der anwendbaren Standards (CIS Level 1 oder Level 2, regulatorische Anforderungen).
Automatisierter Scan (Tag 1–2): Einsatz spezialisierter Tools zur automatisierten Überprüfung der CIS-Benchmark-Kontrollen. Microsoft Secure Score, AWS Security Hub und Drittanbieter-Tools liefern eine erste Bestandsaufnahme.
Manuelle Überprüfung (Tag 2–4): Unsere CREST-zertifizierten Experten prüfen manuell die Bereiche, die automatisierte Tools nicht abdecken: Architektur-Review, Zugriffsberechtigungen, Netzwerkdesign, Incident-Response-Fähigkeit und Compliance-Anforderungen.
Risikobewertung und Bericht (Tag 4–5): Jede gefundene Schwachstelle wird nach Schweregrad (Critical, High, Medium, Low, Informational) klassifiziert. Sie erhalten einen detaillierten Bericht mit konkreten Handlungsempfehlungen, priorisiert nach Risiko und Aufwand.
Präsentation und Massnahmenplanung (Tag 5): Wir präsentieren die Ergebnisse Ihrem Team und erarbeiten gemeinsam einen Massnahmenplan. Auf Wunsch unterstützen wir auch bei der Umsetzung der Empfehlungen.

Ein vollständiges Cloud Security Audit für eine typische Schweizer Unternehmensumgebung (1 Azure-Abonnement, 1 M365-Tenant, 50–500 Benutzer) dauert in der Regel 5–7 Arbeitstage. Für grössere oder komplexere Umgebungen mit Multi-Cloud-Architektur oder regulatorischen Anforderungen kann der Aufwand entsprechend höher liegen.

Automatisierte vs. manuelle Prüfung

Viele Unternehmen setzen ausschliesslich auf automatisierte Cloud-Security-Tools wie Microsoft Defender for Cloud, AWS Security Hub oder Drittanbieter-CSPM-Lösungen (Cloud Security Posture Management). Diese Tools sind wertvoll für die kontinuierliche Überwachung – aber sie ersetzen kein manuelles Audit.

Warum manuelle Prüfung unverzichtbar ist

Kontext: Automatisierte Tools bewerten Konfigurationen binär (konform/nicht konform). Sie verstehen nicht, ob eine scheinbare Abweichung im spezifischen Kontext Ihres Unternehmens akzeptabel ist – oder ob eine technisch konforme Konfiguration trotzdem ein Risiko darstellt.
Architektur: Kein automatisiertes Tool kann die Gesamtarchitektur Ihrer Cloud-Umgebung bewerten: Ist die Netzwerksegmentierung sinnvoll? Sind die Datenflüsse nachvollziehbar? Gibt es Schatten-IT in Form ungenehmigter Cloud-Dienste?
Angreiferdenken: Ein manueller Penetrationstest Ihrer Cloud-Umgebung zeigt, wie ein realer Angreifer Schwachstellen verketten würde – etwa eine zu weit gefasste IAM-Rolle mit einem exponierten Service kombinieren, um Zugriff auf sensible Daten zu erlangen.
Compliance: Regulatorische Anforderungen (nDSG, FINMA, branchenspezifische Vorgaben) erfordern oft eine Bewertung, die über technische Konfigurationsprüfungen hinausgeht – etwa die Angemessenheit organisatorischer Massnahmen.

Nach dem Audit: Kontinuierliche Sicherheit

Ein Cloud Security Audit ist kein einmaliges Projekt, sondern der Startpunkt für einen kontinuierlichen Sicherheitsprozess. Cloud-Umgebungen ändern sich schnell – neue Dienste werden aktiviert, Berechtigungen geändert, Konfigurationen angepasst. Ohne laufende Überwachung können innerhalb weniger Wochen neue Schwachstellen entstehen.

Wir empfehlen:

Quartalsmässige Konfigurationsprüfung: Automatisierter CIS-Benchmark-Scan mit manueller Validierung der kritischen Findings.
Jährliches Cloud Security Audit: Vollständiges Assessment inkl. manuellem Review und Penetrationstest.
Continuous Monitoring: Implementierung eines CSPM-Tools für Echtzeit-Alarmierung bei Konfigurationsabweichungen.
Change-Management: Jede Änderung an der Cloud-Konfiguration muss einem definierten Freigabeprozess folgen.
Team-Schulung: Regelmässige Schulung der Cloud-Administratoren zu neuen Bedrohungen und Best Practices.

Wie sicher ist Ihre Cloud-Umgebung wirklich? Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch – oder erfahren Sie mehr über unser Cloud Security Assessment mit CIS-Benchmark-Prüfung, manuellem Review und detailliertem Massnahmenplan.

🏔️ Weiterführende Ressourcen

RedTeam Partners ist stolzer Träger des Alpine-Excellence-Siegels für herausragende Schweizer Cybersicherheit.

Häufig gestellte Fragen (FAQ)

Was ist ein Cloud Security Audit und warum brauche ich eines?

Ein Cloud Security Audit ist eine systematische Überprüfung Ihrer Cloud-Umgebung auf Sicherheitsschwächen, Fehlkonfigurationen und Compliance-Lücken. Es basiert typischerweise auf anerkannten Standards wie den CIS Benchmarks und umfasst sowohl automatisierte Scans als auch manuelle Prüfungen. Sie brauchen ein Audit, weil Cloud-Umgebungen komplex sind und sich ständig ändern – Fehlkonfigurationen sind laut dem IBM Cost of a Data Breach Report für 12 % aller Datenpannen verantwortlich. Besonders für Schweizer Unternehmen mit nDSG-Pflichten und branchenspezifischen Regulierungen ist der Nachweis angemessener Sicherheitsmassnahmen essenziell.

Wie unterscheidet sich ein Cloud Security Audit von einem Penetrationstest?

Ein Cloud Security Audit konzentriert sich auf die Konfiguration und Compliance Ihrer Cloud-Umgebung: Sind Ihre Einstellungen gemäss Best Practices konfiguriert? Erfüllen Sie regulatorische Anforderungen? Ein Penetrationstest geht einen Schritt weiter und simuliert reale Angriffe, um zu prüfen, ob ein Angreifer Ihre Schutzmassnahmen überwinden kann. Idealerweise kombinieren Sie beide Ansätze: Das Audit deckt Konfigurationsschwächen auf, der Penetrationstest zeigt, wie ein Angreifer diese in der Praxis ausnutzen würde.

Welche Cloud-Plattformen sollten auditiert werden?

Alle Cloud-Plattformen, die Ihr Unternehmen nutzt, sollten auditiert werden – einschliesslich SaaS-Dienste wie Microsoft 365, die oft übersehen werden. In der Schweiz sind Azure und M365 am weitesten verbreitet, gefolgt von AWS und Google Cloud. Besonders wichtig ist auch die Überprüfung der Schnittstellen zwischen verschiedenen Cloud-Diensten und Ihrer On-Premises-Infrastruktur, da diese Übergänge häufig Schwachstellen aufweisen.

Wie oft sollte ein Cloud Security Audit durchgeführt werden?

Wir empfehlen mindestens ein vollständiges Cloud Security Audit pro Jahr, ergänzt durch quartalmässige automatisierte Scans. Zusätzlich sollte ein Audit bei wesentlichen Änderungen durchgeführt werden – etwa bei der Migration neuer Workloads in die Cloud, der Einführung neuer Cloud-Dienste oder nach einem Sicherheitsvorfall. Für regulierte Branchen (Finanzsektor, Gesundheitswesen) können höhere Frequenzen erforderlich sein. Eine Bedrohungsanalyse hilft Ihnen, die richtige Frequenz für Ihr Risikoprofil zu bestimmen.

Können wir das Cloud Security Audit intern durchführen?

Grundsätzlich ja – wenn Ihr Team über die nötige Expertise verfügt. Automatisierte CIS-Benchmark-Scans können intern durchgeführt werden. Für eine unabhängige, umfassende Bewertung empfehlen wir jedoch die Einbindung externer Experten. Interne Teams sind oft betriebsblind – sie kennen die Umgebung zwar gut, übersehen aber Schwachstellen, die für Aussenstehende offensichtlich sind. CREST-zertifizierte Auditoren bringen zudem Erfahrung aus hunderten von Assessments mit und kennen die neuesten Angriffstechniken und Fehlkonfigurationen. Für regulierte Unternehmen ist ein unabhängiges Assessment oft ohnehin eine regulatorische Anforderung.