Skip to main content

tecRacer Security Review


Das tecRacer Security Review ist eine tiefgreifende Analyse Ihres AWS Accounts, Betriebssystemkonfigurationen und Docker-/Kubernetes-Umgebungen. Wir zeigen Sicherheitslücken auf und liefern gleichzeitig Lösungen, um diese zu beheben. 

Einer der großen Vorteile der Cloud ist es den Time-To-Market drastisch zu reduzieren. Viel in wenig Zeit zu schaffen ist wunderbar. Doch der Gewinn an Geschwindigkeit und Agilität ist auch mit Risiken verbunden vor allem dann, wenn man es mit der Sicherheit in der Cloud nicht so genau nimmt. 

Plagt Sie die Sorge, dass sich in Ihrer AWS Infrastruktur irgendwo Sicherheitsprobleme verstecken? 

Sofern ja, profitieren Sie von der Erfahrung, die unsere Consultants in unzähligen Enterprise Projekten gesammelt haben. Wir von tecRacer sorgen dafür, dass Ihre Cloud Architektur sowohl agil, aber auch sicher bleibt. 

Das tecRacer Security Review ist eine tiefgreifende Analyse Ihres AWS Accounts, Betriebssystemkonfigurationen und Docker-/Kubernetes-Umgebungen. Wir zeigen Sicherheitslücken auf und liefern gleichzeitig Lösungen, um diese zu beheben. 

Gerne unterstützen Sie unsere Consultants bei der Implementierung der Lösungen nach Ende des Reviews. 

Tipps, die Sie sofort umsetzen sollten:


  • AWS-Account: Access und Secret Key für den Root User entfernen 
  • Angriffsfläche reduzieren: Löschen Sie alle nicht verwendeten Ressourcen wie bspw. Security Groups oder alte IAM-Benutzer 
  • Zugriff auf Server: Limitieren Sie den RDP-/SSH-Zugriff in den Security Groups auf Ihre IP-Range oder nutzen Sie direkt den AWS Session Manager 
  • Zugriffskontrolle: Nutzen sie SSO oder erstellen Sie individuelle IAM-Benutzer und ordnen Sie diese Gruppen zu 

    Weitere Themen:


    Warum ist ein tecRacer Security Review wichtig?

    Als Kunde nutzen Sie die Infrastruktur von AWS um Ihre Applikationen zu betreiben und diese für Zugriffe aus dem Internet oder Intranet freizugeben. Für die Sicherheit innerhalb der Cloud bietet AWS standardmäßig aktive Sicherheitssysteme und lässt sich regelmäßig extern auditieren – Sie als Kunde tragen jedoch die Verantwortung dafür, dass Sie alle weiteren erforderlichen Sicherheitskonfigurationen korrekt tätigen. AWS nennt dies das Shared Responsibility Modell. 

    An genau dieser Stelle setzen wir an und unterstützen Ihre bereits geleistete Arbeit mit einem Review Ihrer Architektur. Das geschieht dabei nicht nur auf einer reinen technischen Betrachtungsweise, sondern ist ausgerichtet auf Ihren individuellen Anwendungsfall, branchenspezifische Anforderungen und konkrete Risiken. 

    So können unsere Consultants die tatsächlichen Lücken aufzeigen und Verbesserungen vorschlagen – etwas das vollautomatische Reviews nur bedingt oder gar nicht können. 

    Auf welchen Grundlagen basieren unsere Empfehlungen?

    Das tecRacer Security Review basiert u.a. auf folgenden Empfehlungen und Standards: 

    • Branchentypische Projekterfahrung 
    • AWS Whitepapers und Best Practices 
    • Empfehlungen aus der ISO 27.000-Reihe 
    • Security Benchmarks des Center for Internet Security (CIS) 
    • European Union Agency for Network and Information Security (ENISA) 
    • Controls der Cloud Security Alliance (CSA) 
    • Bundesamt für Sicherheit (BSI) IT-Grundschutzkataloge 
    • National Institute of Standards and Technology (NIST) SP 800-Reihe 
      Wie ist ein Review strukturiert?

      Das tecRacer Security Review besteht aus einem Kickoff Meeting, in dem Sie uns einen Überblick über Ihre Architektur, Systeme und Anwendungsfälle geben. Wir erhalten danach einen reinen Lesezugriff auf Ihre Accounts und die Infrastruktur über einen von Ihnen eingespielten, zeitlich befristeten, CloudFormation-Stack, der von uns bereitgestellt wird.  

      In den darauffolgenden Tagen prüfen wir Ihren Account, die VPCs und die verwendeten AWS Services auf Sicherheitsprobleme, stellen unsere Ergebnisse in einem Dokument zusammen, priorisieren Probleme mit Risikoklassen und Erfüllungsgrad und geben letztendlich Handlungsempfehlungen, um diese zu beheben.  

      Geprüft werden, je nach Wunsch, bis zu drei Ebenen: AWS-Konfiguration (Account, IAM Rechte, EC2, RDS, VPC, S3, …), Betriebssystemkonfiguration der EC2-Instanzen (Windows, Linux) und Ihr Docker/Kubernetes-Setup. 

      Was erhalten Sie?

      Die Ergebnisse unseres Reviews spiegeln sich in einem englischsprachigen Dokument mit ca. 80-160 Seiten wider. Das Dokument ist im Wesentlichen in 3 Abschnitte unterteilt, die jeweils die Adressaten Management, IT-Leitung bzw. IT-Security (CISO), sowie Techniker mit konkreten Informationen und transparenten Handlungsempfehlungen versorgen. 

      Alle Ergebnisse werden nach Risikoklassen und dem Erfüllungsgrad strukturiert dargestellt und können so priorisiert Punkt für Punkt von Ihnen und Ihrem Team abgearbeitet werden. 

      Zur Unterstützung Ihrer Arbeitsabläufe können wir Ihnen die Ergebnisse im JSON-Format zukommen lassen, damit sie z.B. in Jira importiert werden können. Auf Wunsch erhalten Sie natürlich auch die Rohdaten unserer Scans im JSON-Format. 

      Alle Scandaten werden verschlüsselt und revisionssicher gespeichert und standardmäßig nach drei Monaten gelöscht, um Leaks dieser kritischen Informationen zu verhindern. 

      Noch Fragen offen?

      – können wir uns vorstellen! Vereinbaren Sie einen Termin mit unseren Expert*innen und lassen Sie sich kostenlos beraten!