Cloud Security Posture Management: Der Rauchmelder für Ihre Cloud

Von
Martin Zollinger
October 2, 2025

Fehlkonfigurationen sind die Brandherde der Cloud. Cloud Security Posture Management (CSPM) erkennt Risiken frühzeitig und stärkt Transparenz und Sicherheit.

Die Cloud ist längst zum Rückgrat moderner IT-Landschaften geworden - ob für Datenverarbeitung, Kollaboration oder komplette Geschäftsanwendungen. Diese Flexibilität und Skalierbarkeit haben jedoch ihren Preis: Mit jeder neuen Ressource und jeder neuen Berechtigung wächst auch die Angriffsfläche. Viele Sicherheitsvorfälle in der Cloud haben dabei eine überraschend einfache Ursache: Fehlkonfigurationen. Ein falsch gesetzter Zugriff, ein unverschlüsselter Speicher oder eine vergessene Testumgebung können reichen, um sensible Daten offenzulegen.

Cloud Security Posture Management (CSPM) adressiert genau dieses Risiko. Es verschafft Unternehmen Transparenz über ihre Cloud-Umgebungen, prüft kontinuierlich auf Sicherheits- und Konformitäts-Verstösse und hilft, Probleme zu beheben, bevor sie zu einem Vorfall eskalieren. CSPM ist für Unternehmen daher ein unverzichtbarer Bestandteil des Sicherheitskonzepts, da die Dynamik und Komplexität moderner Cloud-Umgebungen manuelle Prozesse überfordert. In diesem Blogbeitrag erklären wir, was CSPM ist, welche Kernfunktionen und Prozesse es prägen, wie eine Umsetzung in fünf Phasen gelingt und welche Erfahrungen aus der Praxis Unternehmen unbedingt berücksichtigen sollten.

Definition von CSPM

CSPM ist ein Sicherheitsansatz, der Cloud-Umgebungen kontinuierlich auf Fehlkonfigurationen, Richtlinien-Verstösse und Sicherheitsrisiken überwacht und die aktuelle Risikoexposition laufend bewertet. Grundlage dafür sind gängige Standards, Rahmenwerke, regulatorische Anforderungen und unternehmensspezifische Vorgaben. Ein integraler Bestandteil von CSPM sind die zugrunde liegenden Prozesse für Prävention, Erkennung, Reaktion und kontinuierliche Verbesserung, die sicherstellen, dass Sicherheitsmassnahmen laufend und konsistent umgesetzt werden.

Kernfunktionen und Prozesse von CSPM

Die Kernfunktionen von CSPM decken zentrale technische Fähigkeiten ab, während übergreifende Prozesse als Querschnittsdisziplin sicherstellen, dass Risiken nicht nur erkannt, sondern auch nachhaltig adressiert werden.

Kernfunktionen

Die Kernfunktionen von CSPM bilden die Grundlage für Transparenz und Sicherheit in Cloud-Umgebungen.

  • Inventarisierung: Erfassung aller Cloud-Dienste (IaaS- und PaaS-Ressourcen) inkl. Änderungsverfolgung.
  • Konfigurationsbewertung: Kontinuierliche Überwachung der Dienste sowie fortlaufender Abgleich gegen Best Practices, Benchmarks und Richtlinien. Erkennung von Fehlkonfigurationen, resp. Sicherheitslücken, von eingeführten oder geänderten Diensten.
  • Konformitäts-Management: Automatisierte Prüfungen und kontinuierliche Überwachung zur Einhaltung regulatorischer Vorgaben.
  • Risikobewertung und -Priorisierung: Gewichtung von Feststellungen nach geschäftlicher Kritikalität und Bedrohungslage.
  • Behebung und Prävention: Unterstützung bei der Behebung von Fehlkonfigurationen (manuell, über geführte Playbooks oder automatisiert via API) sowie präventive Absicherung durch Shift-Left-Ansätze, z. B. Prüfung von Infrastructure-as-Code bereits im CI/CD-Prozess.
  • Multi-Cloud- & Hybrid-Support: Einheitliche Sicht auf Cloud-Assets und Sicherheitslage über mehrere Provider und Plattformen hinweg (z. B. AWS, Azure, GCP, Kubernetes)
  • Visualisierung & Rapportierung: Übersichtliche Darstellung von Ressourcen, Abhängigkeiten und Datenflüssen, sowie Auditberichte für Governance und Management.

Prozesse (Querschnittsdisziplin)

Die CSPM-Prozesse adressieren primär die folgenden vier NIST-CSF-Domänen: Identify, Protect, Detect und Respond. Sie stellen sicher, dass die technischen Ergebnisse von CSPM in konkrete Sicherheitsmassnahmen übersetzt werden und kontinuierlich Wirkung erzielen.

  • Identify: Identifikation und Inventarisierung aller relevanten Cloud-Dienste sowie ihrer Sicherheitsattribute. Ergänzt durch die systematische Auswertung von Feststellungen und Erkenntnissen (Lessons Learned).
  • Protect: Definition und Durchsetzung von Standards und Secure-by-Design-Prinzipien in Form von technischen Richtlinien (Policies), um Fehlkonfigurationen und damit verbundene Risiken bereits im Vorfeld zu minimieren.
  • Detect: Laufende Überwachung und Alarmierung bei Abweichungen, ergänzt durch Rapportierung und Risikobewertungen zur kontinuierlichen Transparenz.
  • Respond: Umsetzung von Massnahmen bei erkannten Abweichungen wie automatisierte oder manuelle Behebung, Eskalation über Ticketing-Systeme und Integration in Change-Management-Prozesse.

Umsetzung von CSPM

Die Einführung von CSPM ist kein reines Technologieprojekt, sondern ein Prozess, der Transparenz, Analyse und konkrete Umsetzung verbindet. Bewährt hat sich ein gestuftes Vorgehen in fünf Phasen:

Phase 1: Initialisierung
Am Anfang steht die vollständige Analyse der Cloud-Umgebung: Alle genutzten Services werden identifiziert und dokumentiert. Darauf folgt eine Auslegeordnung der bereits vorhandenen Sicherheitslösungen. Viele Unternehmen setzen bereits Lösungen wie z. B. Microsoft Defender for Cloud ein, die gewisse CSPM-Funktionen mitbringen. Diese müssen berücksichtigt werden, um Doppelbeschaffungen zu vermeiden und vorhandene Fähigkeiten optimal zu nutzen.

Gleichzeitig gilt es, jene Systeme zu identifizieren, die in die CSPM-Prozesse integriert werden müssen – etwa weil sie für Schnittstellen, Automatisierungen oder die Weiterleitung von Feststellungen relevant sind.

Ergebnis: Transparenz über alle eingesetzten Cloud-Services sowie über vorhandene Sicherheitslösungen und deren Rolle im CSPM-Kontext.

Phase 2: Definition der Security-Baseline
In dieser Phase werden die vorhandenen Sicherheitsvorgaben des Unternehmens aufgenommen und durch führende Standards wie z.B. CIS-Benchmarks ergänzt. Gemeinsam bilden sie die Grundlage (Security-Baseline), die als Referenz für alle künftigen Sicherheits- und Konformitäts-Prüfungen dient.

Ergebnis: Eine klar definierte Cloud-Security-Baseline, die unternehmensspezifische Anforderungen und anerkannte Best Practices kombiniert.

Phase 3: Technische Umsetzung & Integration
Die Baseline wird nun technisch umgesetzt und ggf. auch in bestehende DevSecOps-Prozesse integriert. Falls notwendig, werden zusätzliche Lösungen evaluiert und eingebunden. Ein wichtiger Schritt ist die Automatisierung: Technische Richtlinien (Policies) können beispielsweise über eine CI/CD-Pipeline zentral verwaltet und ausgerollt werden, was die Konsistenz und Skalierbarkeit sicherstellt.

Ergebnis: Umsetzung der Baseline, Integration in bestehende Sicherheitslösungen und erste Automatisierung.

Phase 4: Prozessdefinition und – Integration
Damit die technischen Ergebnisse von CSPM auch operativ wirken, braucht es klare Prozesse. Entlang unterschiedlicher Dimensionen wie z.B. Identify, Protect, Detect und Respond werden Abläufe definiert, sodass Feststellungen aus dem CSPM direkt in konkrete Sicherheitsmassnahmen umgesetzt werden.

Ergebnis: Etablierte Sicherheits-Prozesse, die CSPM-Daten in operative Reaktionen überführen.

Phase 5: Verankerung der kontinuierlichen Verbesserung
CSPM ist kein statisches Vorhaben, sondern ein dauerhafter Prozess. Neue Vorgaben, Best Practices und neue Technologien müssen regelmässig in die Baseline integriert werden. Auch die Automatisierungs- und Rapportierung-Funktionen werden fortlaufend optimiert und dadurch die Effektivität der Cloud-Security gesteigert.

Ergebnis: Ein CSPM-Programm, das sich kontinuierlich anpasst und verbessert.

Praxis-Erfahrungen & Empfehlungen

Die Einführung von CSPM klingt in der Theorie klar und strukturiert. In der Praxis zeigt sich jedoch: Erfolg hängt von vielerlei Faktoren ab. Aus unseren Erfahrungen ergeben sich acht zentrale Erkenntnisse:

  1. CSPM ist keine technische Lösung, sondern ein Prozess
    Als reine Lösung funktioniert CSPM nicht. Entscheidend sind die begleitenden Prozesse – von der Erstellung und Pflege des Regelwerks über die Bewertung der Feststellungen bis hin zu deren Umsetzung im Betrieb.
  1. Was ich nicht kenne, kann ich nicht schützen
    Auch das beste CSPM bleibt wirkungslos, wenn nicht alle eingesetzten Cloud-Dienste erfasst sind. Vollständige Inventarisierung ist Grundvoraussetzung – sonst bleibt ein gefährlicher blinder Fleck bestehen.
  1. Konzept ja – aber rechtzeitig starten
    Ein klares Konzept für die Einführung von CSPM ist wichtig. In der Praxis zeigt sich jedoch, dass zu viel Detailplanung den Beginn verzögern kann. Statt das Papier endlos zu veredeln, sollte man nach einem soliden Fundament den Schritt in die Umsetzung wagen. Denn die grössten Lerneffekte entstehen nicht auf dem Papier, sondern im praktischen Betrieb.
  1. Mit einer soliden, aber schlanken Security-Baseline starten
    In der Praxis scheitern viele an einer zu komplexen Security-Baseline. Wer alle Vorgaben gleichzeitig abbilden will, erzeugt mehr Feststellungen, als die Organisation bearbeiten kann. Besser ist ein pragmatischer Start mit einem überschaubaren Regelwerk und die schrittweise Erweiterung in definierten Iterationen. So steigt die Maturität nachhaltig.
  1. Pflege des Regelwerks erfordert solide Lösungen
    Ein sauberes Regelwerk ist das Herzstück. Ohne dessen professionelle Verwaltung – idealerweise über eine CI/CD-Pipeline – droht die Implementierung schnell zu stagnieren. Kontinuierliche Pflege und Versionierung sind Pflicht.
  1. Umsetzung ist machbar – aber aufwendig
    CSPM einzuführen ist kein Hexenwerk. Allerdings darf der Aufwand für die Bereinigung der Feststellungen nach der Erstimplementierung nicht unterschätzt werden. Hier ist Ausdauer gefragt, bis sich eine stabile Basis etabliert hat.
  1. Breite Expertise ist entscheidend
    Für eine erfolgreiche Umsetzung von CSPM braucht es Fachwissen auf verschiedenen Ebenen – von der technischen Architektur bis hin zu organisatorischen Prozessen wie z.B. Incident Response und Vulnerability Management. Nur wenn beide Dimensionen zusammenspielen, entfaltet CSPM seinen Mehrwert. Eine falsche Architektur oder fehlende Prozessintegration kann schnell zu gegenteiligen Effekten führen. Ebenso wichtig ist Pragmatismus: Statt theoretisch perfekte Modelle zu entwerfen, braucht es Lösungen, die zur Organisation passen und im Alltag funktionieren.
  1. Hersteller-Versprechen kritisch prüfen
    Die Marketingaussagen vieler Anbieter – etwa zur nahtlosen Integration oder zur Abdeckung aller Sicherheitsanforderungen – sind oft zu optimistisch. In der Praxis zeigen sich Limitierungen häufig erst spät: Schnittstellen funktionieren nicht wie versprochen, die Qualität der Feststellungen ist durchwachsen oder wichtige Konfigurationen lassen sich nicht prüfen. Deshalb ist es ratsam, CSPM-Lösungen vorgängig gründlich zu testen, bevor sie flächendeckend eingeführt werden.  

Fazit

CSPM ist weit mehr als nur ein Dashboard mit bunten Ampeln und Diagrammen. Es schafft Transparenz, übersetzt Feststellungen in konkrete Prozessschritte, automatisiert Massnahmen und verankert Sicherheit nachhaltig in der Organisation. Damit wird es zu einem kontinuierlichen Sicherheits- und Konformitäts-Monitor, der den dynamischen Charakter moderner Cloud-Umgebungen abbildet.

Die Praxis zeigt jedoch: Der Erfolg von CSPM hängt sowohl von einer verlässlichen Technologie als auch vom Zusammenspiel mit klar definierten Prozessen und einer pragmatischen Umsetzung ab. Entscheidend sind ein sauberes Regelwerk, eine realistische Security-Baseline, die schrittweise weiterentwickelt wird, sowie die enge Integration in bestehende organisatorische Abläufe. Ebenso wichtig ist breite Expertise – von der Architektur über die Automatisierung bis hin zur Governance – und ein kritischer Blick auf Hersteller-Versprechen, die in der Realität oft nicht vollständig eingelöst werden.

Unternehmen, die ihre Cloud-Landschaft ernsthaft schützen wollen, kommen an CSPM nicht vorbei. Ohne diesen Schutz drohen kleine Konfigurationsfehler unbemerkt zu grossen Sicherheitsvorfällen zu eskalieren.

Setzen Sie jetzt auf CSPM: Ihr Frühwarnsystem für die Cloud, das Alarm schlägt, bevor Sicherheitslücken «Feuer fangen».