90 % der erfolgreichen Angriffe nutzen Fehlkonfigurationen, nicht Zero-Day-Exploits. Standardpasswörter, offene Ports, ausführliche Fehlermeldungen — reale Angriffsvektoren.
Häufigste Fehler¶
- Standard-Anmeldedaten (admin/admin)
- Detaillierte Fehlermeldungen in der Produktion
- Ungesicherter S3-Bucket
- Nicht aktualisierte Software
- Directory Listing aktiviert
Hardening — Nginx¶
server_tokens off; add_header X-Frame-Options “SAMEORIGIN” always; add_header X-Content-Type-Options “nosniff” always; add_header Strict-Transport-Security “max-age=31536000; includeSubDomains” always; add_header Content-Security-Policy “default-src ‘self’” always; client_max_body_size 10m;
Cloud — AWS S3¶
Terraform — privaten S3 erzwingen¶
resource “aws_s3_bucket_public_access_block” “private” { bucket = aws_s3_bucket.main.id block_public_acls = true block_public_policy = true ignore_public_acls = true restrict_public_buckets = true }
Automatisierung¶
- IaC: Terraform, Pulumi — versionierte Konfiguration
- CIS Benchmarks: automatisierte Audits
- CSPM: Prowler, ScoutSuite
- Ansible: automatisiertes Hardening
Wichtigste Erkenntnis¶
Konfiguration über IaC automatisieren, regelmäßig scannen, Standardwerte entfernen. Fehlkonfiguration ist der einfachste Angriffsvektor — und der einfachste zu beheben.