Penetration Testing
Cloud Penetrationstest
AWS, Azure & Kubernetes – reale Angriffspfade statt Checklisten
Ein Cloud Penetrationstest prüft Ihre Cloud-Umgebung auf reale Angriffsmöglichkeiten – von IAM-Fehlkonfigurationen über exponierte Storage-Services bis hin zu Kubernetes- und Workload-Risiken.
Im Fokus stehen zusammenhängende Angriffsketten:
Wie kann ein Angreifer von einem kompromittierten Account bis zu sensiblen Daten oder produktiven Workloads gelangen?
Privilege Escalation, Cross-Account, Token/Secrets – nachvollziehbar dokumentiert.
AWS / Azure / Hybrid
Fokus auf IAM, Storage, Netzwerk und Cloud-native Controls.
Risiko-Bewertung + Maßnahmenplan, damit Teams schnell fixen können.
Was ist ein Cloud Pentest?
Ein Cloud Pentest kombiniert aktive Angriffssimulation mit Cloud-spezifischer Konfigurations- und Architekturprüfung. Das Ergebnis ist kein reines „Best-Practice-Review“, sondern ein belastbarer Nachweis, welche Angriffswege in Ihrer Umgebung tatsächlich möglich sind.
Typische Techniken (abhängig vom Scope):
- Credential Abuse & Token Hijacking
- Privilege Escalation über IAM/RBAC
- Cross-Account / Cross-Subscription Zugriff
- Exponierte Storage- und Datenpfade
- Missbrauch von Service-to-Service Trust
- Kubernetes RBAC / Secrets / Admission & Pod Security (sofern im Scope)
Ist das für Sie relevant?
Typische Auslöser
- Cloud-first oder schnelle Migration
- Multi-Account / Multi-Subscription Setup
- Kubernetes / Container Plattform im Einsatz
- Viele Rollen/Policies, wenig Überblick
- ISO 27001 / NIS2 / TISAX Vorbereitung
- Incident / Verdacht auf Compromise
Häufige Risiken
- Überprivilegierte Rollen (kein Least Privilege)
- Schwache Trust-Beziehungen (Cross-Account)
- Public Exposure (Storage, Services, APIs)
- Ungesicherte Secrets / Tokens / Keys
- Unklare Netzwerkgrenzen & Fehlsegmentierung
- Cluster-/Workload-Misconfigs in Kubernetes
Typischer Scope
- Rollen, Policies, Service Principals
- Least-Privilege Bewertung & Privilege Escalation Pfade
- Key/Token Exposure & Rotation-Governance
- Cross-Account / Cross-Subscription Trust
- S3 / Blob / (GCS auf Anfrage)
- Public Access, ACLs, Policies
- Snapshots/Backups, Logging, Zugriffspfade
- Data Exfiltration Szenarien (im Scope)
- Security Groups / NSGs / Firewall Regeln
- VPC/VNet Segmentierung, Peering, Private Endpoints
- Internet-exponierte Services & API Gateways
- Hybrid Connectivity (VPN/ExpressRoute) – optional
- RBAC, ServiceAccounts, ClusterRoles
- Secrets Management & Workload Identity
- Admission Controls / Pod Security / Network Policies
- Supply Chain Angriffsflächen (Registry/IaC) – optional
Cloud Pentest vs. Konfigurationsreview
Viele Teams haben bereits „Checks“ oder Tools – und trotzdem passieren Incidents. Der Unterschied ist die Beweisführung durch Angriffspfade.
| Cloud Pentest | Konfigurationsreview |
|---|---|
| Angriffssimulation & Eskalationspfade | Best-Practice Abgleich |
| Nachweis: Was ist real ausnutzbar? | Risiken theoretisch / toolbasiert |
| Priorisierung nach Exploitbarkeit & Impact | Priorisierung nach Schweregrad-Regeln |
| Dokumentierte Kill Chain (wenn im Scope) | Checklisten-Output |
Shared Responsibility: Was wird wirklich bewertet?
Cloud Security ist geteilte Verantwortung. Ein Cloud Pentest betrachtet daher explizit:
- Ihre Konfigurationen (IAM, Netzwerk, Storage, Workloads)
- Governance & Controls (Policies, Guardrails, Logging)
- Verantwortlichkeiten im Scope (Provider vs. Kunde)
Damit wird klar, ob Risiken aus Architektur, Umsetzung oder fehlender Kontrolle entstehen.
Ablauf
Ziele, Grenzen, Accounts, Testszenarien
Read-only / Test Accounts, Freigaben
Discovery, Exposure, Trust-Map
Eskalation, Pfade, Datenzugriffe
Findings, Prioritäten, Debrief
Typische Dauer: 5–15 Arbeitstage (abhängig von Accounts, Workloads und Kubernetes-Komplexität).
Das erhalten Sie (Deliverables)
Executive Summary
Risikoübersicht, Prioritäten, Management-taugliche Empfehlungen.
Angriffspfade & Nachweise
Exploitpfade, Screenshots, Reproduktion – nachvollziehbar dokumentiert.
Findings mit Risiko-Bewertung
Impact, Exploitbarkeit, betroffene Ressourcen, klare Priorisierung.
Hardening & Governance Plan
Konkrete Konfigurations- und Guardrail-Empfehlungen für Teams.
Verifikation umgesetzter Maßnahmen – besonders sinnvoll bei Compliance-Anforderungen.
Typische Kosten
1 Account / wenig Workloads
7.000–15.000 €
mehrere Services / erste Cluster
15.000–30.000 €
Multi-Account / Multi-Cloud
ab 30.000 €
- Anzahl Accounts / Subscriptions
- Workload-Umfang & kritische Datenpfade
- Kubernetes & Identity Integration (Workload Identity, IRSA, etc.)
- Logging-/Monitoring-Anforderungen
- Retest / Verification
Zugriff & Betriebssicherheit
Wir arbeiten kontrolliert, nachvollziehbar und mit klaren Abbruchregeln.
- Read-only Rechte für Discovery & Assessment
- Optional: Test-Accounts für Exploitpfade
- Scope-Freigaben für Automationen
- Autorisierung & Verantwortlichkeiten
- Testfenster / Change-Freeze (wenn nötig)
- Eskalationskontakte & Notfall-Stop
FAQ
Ist das ein klassischer Pentest oder eher ein Konfigurationsreview?
Beides – wir kombinieren aktive Angriffssimulation (Angriffspfade) mit Cloud-spezifischer Architektur- und Konfigurationsanalyse.
Welche Provider werden unterstützt?
AWS und Azure sind Standard. Kubernetes-Umgebungen (z. B. EKS/AKS/On-Prem) sind möglich. GCP auf Anfrage.
Braucht ihr Zugriff auf produktive Systeme?
Für die meisten Prüfungen reichen Read-only Rechte. Für belastbare Exploitpfade sind manchmal separate Test-Accounts sinnvoll.
Wie geht ihr mit Shared Responsibility um?
Wir bewerten explizit die Verantwortlichkeiten im Scope (Provider vs. Kunde) und leiten daraus Governance- und Konfigurationsmaßnahmen ab.
Können mehrere Accounts / Subscriptions getestet werden?
Ja – das ist häufig der entscheidende Teil (Trust, Cross-Account Access). Der Aufwand skaliert mit Anzahl und Komplexität.
Gibt es einen Retest?
Optional – zur Verifikation umgesetzter Maßnahmen, besonders relevant für Compliance.