Aktuelle Trends, Insights und praxisnahe Tipps

Fundiertes Fachwissen aus der Praxis für Sie zusammengefasst

Strategische Leitfäden und Insights aus der Praxis

Cloud Security by Design: So schützen Sie Ihre Plattform von Anfang an

Sicherheit in der Cloud ist keine Zusatzfunktion, die sich nachträglich einbauen lässt. Sie muss von Beginn an Teil der Architektur sein. Diesen Grundsatz verfolgt der Cloud Security by Design Ansatz. Sicherheitsmechanismen werden bereits in der Planungsphase berücksichtigt und in jede Schicht der Infrastruktur integriert. So schützen Unternehmen ihre Cloud-Infrastruktur zuverlässig vor bekannten Bedrohungen und schaffen die Grundlage für künftige Anforderungen. Wir erklären in diesem Artikel die Hintergründe des Security by Design Ansatzes, gehen auf Umsetzungsmöglichkeiten ein und geben Tipps für den sicheren Aufbau der Cloud-Infrastruktur.

Was bedeutet der Cloud Security by Design Ansatz?

Cloud Security by Design steht für den Grundsatz, Sicherheit von Beginn an als zentralen Bestandteil der Cloud-Architektur zu verstehen, statt das Thema wie ein Add-on zu behandeln. Statt Sicherheitsmaßnahmen reaktiv nach Vorfällen einzuführen, werden Schutzmechanismen von Anfang an in Design-Entscheidungen eingebettet. Konkret können das verschiedene Mechanismen sein:

Auswahl sicherer Services
Definition von Zugriffsrechten
Verschlüsselung von Daten
Kontinuierliche Überwachung der Infrastruktur

Ziel ist es, Schwachstellen zu minimieren, die Reaktionszeiten bei Angriffen zu verkürzen und sicherzustellen, dass Compliance-Anforderungen automatisch erfüllt werden. Wichtig ist auch, dass Entwicklungsteams, Platform Engineers und Sicherheitsexperten eng zusammenarbeiten, um gemeinsam eine sichere und resiliente Cloud-Umgebung zu schaffen.

Wie kann Cloud Security by Design umgesetzt werden?

Für eine erfolgreiche Umsetzung von Cloud Security by Design braucht es eine Kombination aus technischen Maßnahmen, organisatorischen Prozessen und kulturellem Wandel. Unternehmen können in der Entwicklung ihrer Cloud-Infrastruktur verschiedene Maßnahmen implementieren.

Zero-Trust-Ansatz
Das Prinzip „Never trust, always verify“ gilt als Fundament moderner Cloud-Sicherheit. Anders als traditionelle Netzwerkmodelle, die innerhalb des eigenen Netzwerks Vertrauen voraussetzen, behandelt Zero Trust jede Anfrage, unabhängig von ihrer Herkunft, als potenziell gefährlich. Jeder Zugriff wird einzeln validiert, Nutzer und Geräte werden kontinuierlich überprüft und Zugriffsrechte werden auf das absolute Minimum beschränkt. Dieser Ansatz verhindert laterale Bewegungen von Angreifern innerhalb der Infrastruktur und minimiert so den Schaden im Falle einer Kompromittierung.

Identity & Access Management (IAM)
Die richtige Verwaltung von Identitäten und Zugriffsrechten ist unumgänglich für den Aufbau einer sicheren Cloud-Umgebung. IAM-Systeme stellen sicher, dass nur autorisierte Personen und Services auf bestimmte Ressourcen zugreifen können. Durch rollenbasierte Zugriffskontrollen erhalten Nutzer genau die Berechtigungen, die sie für ihre Aufgaben benötigen. Multi-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, zudem reduzieren zeitlich begrenzte Zugriffstoken das Risiko kompromittierter Zugänge.

Automatisierte Sicherheitsprüfungen
Manuelle Sicherheitsüberprüfungen sind fehleranfällig und können mit der Geschwindigkeit moderner Cloud-Deployments kaum Schritt halten. Automatisierte Sicherheitstests sollten daher fester Bestandteil jeder CI/CD-Pipeline sein. Tools scannen Code auf Schwachstellen, überprüfen Konfigurationen auf Fehleinstellungen und identifizieren unsichere Abhängigkeiten noch vor dem Deployment. Regelmäßige Penetrationstests und Schwachstellenscans ergänzen diese kontinuierlichen Prüfungen und stellen sicher, dass auch produktive Systeme laufend auf Sicherheitslücken untersucht werden.

Compliance-Anforderungen
Regulatorische Vorgaben wie die DSGVO oder ISO 27001 setzen klare Standards für den Umgang mit Daten und Sicherheitsprozessen. Cloud Security by Design berücksichtigt diese Anforderungen bereits in der Architekturphase, sodass Compliance nicht nachträglich zum Problem wird. Dazu gehören Mechanismen zur Datenverschlüsselung, Protokollierung von Zugriffen, Löschkonzepte und Dokumentation von Sicherheitsmaßnahmen. Durch die Integration dieser Anforderungen von Beginn an vermeiden Unternehmen teure Nachbesserungen und potenzielle Strafen.

CSPM (Cloud Security Posture Management)
CSPM-Tools überwachen die Cloud-Umgebung kontinuierlich auf Fehlkonfigurationen, Compliance-Verstöße und Sicherheitsrisiken. Sie erkennen beispielsweise öffentlich zugängliche Speicher-Buckets, übermäßig permissive Firewalls oder veraltete Verschlüsselungsstandards. Durch automatisierte Warnungen und Empfehlungen helfen CSPM-Lösungen IT-Teams dabei, den Sicherheitsstatus der Cloud-Infrastruktur hoch zu halten und Schwachstellen zu schließen, bevor sie ausgenutzt werden können.

3 Tipps für sicheres Cloud Platform Engineering

Neben den grundlegenden Sicherheitskonzepten gibt es noch einige konkrete Maßnahmen, die IT-Teams im Aufbau ihrer Cloud-Infrastruktur umsetzen können, um ihre Umgebung abzusichern.

Verschlüsselung überall implementieren: Daten sollten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt sein. Moderne Cloud-Plattformen arbeiten mit nativen Verschlüsselungsmechanismen, die sich mit wenig Aufwand aktivieren lassen. Besonders wichtig ist das Management der Verschlüsselungsschlüssel: Sie sollten getrennt von den Daten gespeichert und regelmäßig rotiert werden. Durch sichere Verschlüsselung schützen Unternehmen sich sowohl vor externen Angreifern als auch vor internen Risiken.
Least Privilege Prinzip konsequent anwenden: Jeder Nutzer, jede Anwendung und jeder Service sollte soweit möglich nur die minimalen Berechtigungen erhalten, die für die jeweilige Aufgabe notwendig sind. Übermäßige Rechte gelten als eine der häufigsten Ursachen für erfolgreiche Angriffe. Durch regelmäßige Überprüfungen der vergebenen Berechtigungen stellt die IT sicher, dass keine ungenutzten oder veralteten Zugriffsrechte bestehen bleiben. Automatisierte Tools können dabei helfen, diese Reviews effizient durchzuführen.
Logging und Monitoring als Frühwarnsystem nutzen: Umfassendes Logging aller Aktivitäten in der Cloud-Umgebung schafft Transparenz und ermöglicht die Nachverfolgung von Sicherheitsvorfällen. Kombiniert mit intelligenten Monitoring- und Alerting-Systemen kann die IT verdächtige Aktivitäten in Echtzeit erkennen. Ergänzend können SIEM-Lösungen dabei helfen, aus der großen Anzahl an Logdaten relevante Sicherheitsereignisse herauszufiltern und schnelle Reaktionen zu ermöglichen.

Fazit: Cloud Security by Design als Grundlage für jede Entwicklung

Arbeiten Unternehmen im Aufbau ihrer Cloud-Infrastruktur nach dem Security by Design Ansatz, folgen sie damit einer heute notwendigen Grundhaltung. Indem sie Sicherheit von Anfang an in Planung und Umsetzung integrieren, minimieren sie Risiken, erfüllen Compliance-Anforderungen und sparen langfristig Kosten. Eine Kombination aus automatisierten Sicherheitsprüfungen, IAM und kontinuierlichem Monitoring legt ein sicheres Fundament. Wichtig ist, dass Unternehmen Sicherheit zum zentralen Bestandteil jeder Cloud-Lösung machen, statt sie als nachträglichen Gedanken zu vernachlässigen.

Schrittweiser Einstieg in die Cloud: Warum die Cloud auch ergänzend sinnvoll ist

„Wir müssen in die Cloud, und zwar sofort.“ Dieser Satz fällt mittlerweile in vielen Unternehmen. Darauf folgt jedoch häufig Verunsicherung. Was geschieht mit den bestehenden Systemen? Wie gehen wir mit sensiblen Daten um? Muss wirklich alles in die Cloud? Ein radikaler Umzug ist meist weder nötig noch wirklich ratsam. Beim Weg in die Cloud geht es vielmehr um eine strukturierte Transformation statt um die rein technische Umsetzung. Umso wichtiger ist es also, diesen Weg detailliert zu planen und Schritt für Schritt zu gehen. Welche Möglichkeiten es für einen schrittweisen Einstieg in die Cloud gibt, welche Workloads in die Cloud gehören und welche auch On Premises bleiben können, zeigen wir in diesem Artikel.

Hybride Lösungen als Brücke zum Einstieg in die Cloud

Ist die Entscheidung für die Cloud gefallen, stehen Unternehmen vor der Frage, ob die bestehende IT-Infrastruktur komplett in die Cloud verlagert werden soll oder ob On-Premises Systeme bestehen bleiben können. Hybride Lösungen sind hier oft ein sinnvoller Weg, um erste Schritte zu gehen, ohne komplizierte Neuentwicklungen anstoßen zu müssen. Bei dieser Variante arbeiten lokale Server und Cloud-Dienste parallel und ergänzen sich gegenseitig.

In der IT-Infrastruktur bedeutet das konkret: Kritische Anwendungen und Daten bleiben On Premises unter direkter Kontrolle. Gleichzeitig werden flexible Cloud-Ressourcen dort eingesetzt, wo sie das Unternehmen wirklich voranbringen, etwa bei der Skalierung von Rechenleistung in Spitzenlastzeiten oder bei der unkomplizierten und ortsunabhängigen Zusammenarbeit im Team. Übliche Bedenken rund um Datensicherheit und Kontrollverlust können so gezielt thematisiert werden, weil die Hoheit über sensible Systeme lokal erhalten bleibt.

Welche Workloads eignen sich für den Einstieg in die Cloud?

Nicht jede Anwendung ist gleichermaßen sinnvoll für den Betrieb in der Cloud. Wichtig ist deshalb, zuerst zu bewerten, ob die Auslagerung in die Cloud sinnvoll ist. Es geht weniger darum, ob ein Umzug in die Cloud grundsätzlich möglich ist – technisch lassen sich die meisten Workloads abbilden, sinnvoll ist das aber nicht immer. Grundsätzlich sind gerade für den Einstieg verschiedene Workloads gut für die Cloud geeignet:

Kollaborationstools wie E-Mail, Videocalls und gemeinsame Dokumentenbearbeitung – sie sind oft cloudnativ und funktionieren dort am besten
Anwendungen mit stark schwankendem Ressourcenbedarf, die je nach Auslastung skalieren müssen
Entwicklungs- und Testumgebungen, die schnell auf- und wieder abgebaut werden sollen
Backup- und Archivierungslösungen, bei denen Verfügbarkeit und Skalierbarkeit besonders wichtig sind

Auf der anderen Seite gibt es einige Bereiche, in denen ein lokaler Betrieb nach wie vor die bessere Wahl sein kann. Dazu zählen vor allem Anwendungen mit hohen Compliance-Anforderungen, etwa in der Medizin, im Finanzwesen oder in Behörden. Hier gelten strenge gesetzliche Vorgaben für Datenhaltung und -zugriff. Auch Systeme mit extrem niedrigen Latenzanforderungen wie zum Beispiel Steuerungssoftware in der Produktion sind häufig besser On Premises aufgehoben. Gleiches gilt für sehr große Datenmengen, bei denen die Übertragungskosten und -zeiten in die Cloud wirtschaftlich keinen Sinn ergeben.

Wichtig ist, dass es keine universelle Antwort gibt. Welcher Weg für ein Unternehmen passend ist, hängt von der Branche, der bestehenden Infrastruktur und den regulatorischen Rahmenbedingungen ab. Eine fundierte Bestandsaufnahme ist deshalb der erste sinnvolle Schritt.

Erste Schritte in die Cloud ohne Risiko mit Backup & Disaster Recovery

Haben Unternehmen noch keine Erfahrungen mit der Cloud, lohnt sich ein Einstieg mit möglichst geringem Risiko, aber dennoch hohem Nutzen – ein Quick Win. Gut geeignet dafür ist Backup und Disaster Recovery. Die Logik dahinter ist einfach: Backups sind ohnehin grundsätzlich von den produktiven Systemen getrennt, sodass ein ideales Testfeld für die Cloud entsteht, ohne dass kritische Abläufe davon betroffen sind. Gleichzeitig löst der Umstieg auf Cloud-Backups ein häufiges Problem: Lokale Backups sind anfällig für dieselben physischen Risiken wie die Primärsysteme, etwa Feuer, Wasserschäden oder Hardwareausfälle. Ein Cloud-Backup liegt geografisch getrennt und ist im Ernstfall unabhängig verfügbar. Für Unternehmen entstehen also mehrere Vorteile:

Schnelle Implementierung ohne Eingriff in laufende Systeme
Skalierbare Speicherkapazität: Unternehmen zahlen nur, was sie tatsächlich nutzen
Kürzere Wiederherstellungszeiten im Ernstfall durch automatisierte Disaster-Recovery-Prozesse
Erste praktische Erfahrungen mit Cloud-Anbietern, SLAs und Verwaltungstools ohne großes Risiko

Grundsätzlich gilt der Umstieg auf Cloud-Backups als guter Einstieg in die Cloud, der das Vertrauen in die Technologie im Unternehmen stärkt. So kann die Basis für weitere Migrationsprojekte entstehen, die auf Zustimmung im Unternehmen trifft.

Fazit: Einstieg in die Cloud mit Quick Wins, die Sicherheit geben

Die Cloud bietet Unternehmen große Chancen – der Einstieg sollte aber unbedingt durchdacht sein. Ein schrittweiser Einstieg sorgt für mehr Klarheit und Sicherheit, vermeidet Risiken und ist weitsichtig. Durch hybride Modelle schaffen Unternehmen Flexibilität, ohne aber bewährte Strukturen zu opfern. Wichtig ist eine klare Unterscheidung zwischen Workloads, die in die Cloud gehören und solchen, die weiterhin On Premises betrieben werden können. So vermeiden Unternehmen unnötige Kosten und Komplexität und profitieren gleichzeitig von Cloud-Vorteilen.

Lockerbasierte Secrets Verwaltung im Credential Vault von Automation Anywhere.

Die sichere Verwaltung von Zugangsdaten ist eine zentrale Voraussetzung für stabile und revisionssichere RPA-Lösungen. Wer den Credential Vault nutzen möchte, schafft in Automation Anywhere eine klare Trennung zwischen Bot-Logik und sensiblen Zugangsinformationen. Genau hier setzt der Credential Vault an: Er stellt eine standardisierte, zentral verwaltete und sichere Möglichkeit bereit, Credentials zu speichern, zu verwenden und zu kontrollieren – sowohl innerhalb der Plattform als auch in Kombination mit externen Systemen. Dieser Artikel richtet sich an IT-Administratoren und technische Entscheider, die Automation Anywhere in produktiven Umgebungen betreiben oder einführen.

Grundlagen des Credential Vaults in Automation Anywhere

Der Credential Vault ist ein fester Bestandteil der Automation-Anywhere-Cloud-Plattform und dient der sicheren Speicherung von sensiblen Informationen wie Benutzernamen, Passwörtern, Tokens oder Schlüsseln. Diese Daten werden verschlüsselt abgelegt und sind weder für Bot-Entwickler noch für Laufzeitprozesse im Klartext sichtbar. Bots greifen ausschließlich über definierte Referenzen auf die Credentials zu. Dadurch lassen sich Sicherheitsrichtlinien umsetzen, ohne die Automatisierung einzuschränken.

Der Zugriff auf den Vault erfolgt über den Control Room, der als zentrale Verwaltungsinstanz fungiert. Alle administrativen Aufgaben, von der Erstellung bis zur Berechtigungssteuerung, werden hier durchgeführt.

Locker als Strukturierungsprinzip

Credentials werden in sogenannten Lockern organisiert. Ein Locker ist ein logisch abgeschlossener Container, der mehrere Credentials enthalten kann und über Berechtigungen gesteuert wird. Administratoren legen fest, welche Benutzer oder Bots auf einen Locker zugreifen dürfen. Dadurch lassen sich technische Zugänge, Fachbereichszugänge und Systemzugänge klar voneinander trennen.

Erstellung und Pflege von Lockern

Lockers werden im Control Room angelegt und können jederzeit angepasst werden. Änderungen an Berechtigungen wirken sich sofort auf alle Bots aus, die diesen Locker verwenden. Das erleichtert die Administration erheblich, da keine Anpassung an einzelnen Bots notwendig ist, wenn sich Zugriffsrechte ändern.

Credentials erstellen, ändern und übertragen

Innerhalb eines Lockers können einzelne Credentials angelegt werden. Dabei definiert der Administrator, welche Felder gespeichert werden, zum Beispiel Benutzername und Passwort oder API-Key und Secret. Diese Daten lassen sich jederzeit ändern, ohne den Bot anzupassen. Besonders im produktiven Betrieb ist das ein entscheidender Vorteil, da Passwortwechsel oder Systemmigrationen ohne Stillstand erfolgen können.

Die Ownership von Credentials kann zudem zwischen Benutzern übertragen werden. Das ist wichtig für Vertretungsregelungen, Teamwechsel oder organisatorische Änderungen und verhindert, dass produktive Bots von einzelnen Personen abhängig sind.

Credential Vault nutzen in Bots und Automatisierungen

Sobald ein Bot ausgeführt wird, ruft er die benötigten Zugangsdaten zur Laufzeit aus dem Credential Vault ab. Die Werte werden nur temporär im Arbeitsspeicher gehalten und nicht geloggt oder persistiert. Entwickler müssen daher keine sensiblen Informationen in Variablen oder Skripten hinterlegen. Wer den Credential Vault nutzen möchte, erhöht damit unmittelbar die Sicherheit und Wartbarkeit seiner Automatisierungen.

Praxisbeispiele aus dem Betrieb

In der Praxis wird der Vault häufig für Web-Logins, Datenbankzugriffe oder den Zugriff auf File-Server genutzt. Ein typisches Szenario ist ein Bot, der sich täglich in einem Fachsystem anmeldet, Berichte exportiert und die Daten weiterverarbeitet. Das Passwort liegt dabei ausschließlich im Vault. Wird es geändert, läuft der Bot ohne Anpassung weiter. Ein weiteres Beispiel ist die Nutzung von Service-Accounts für Datenbankabfragen, die zentral verwaltet und regelmäßig rotiert werden.

Benutzerbezogene Credentials und Benachrichtigungen

Automation Anywhere ermöglicht auch benutzerbezogene Credentials. Diese sind an einen bestimmten User gebunden und können für persönliche Zugriffe verwendet werden, etwa bei attended Bots. Zusätzlich lassen sich E-Mail-Benachrichtigungen konfigurieren, wenn Credentials ablaufen oder geändert werden. Das unterstützt IT-Teams dabei, Sicherheitsanforderungen einzuhalten und Ausfälle zu vermeiden.

Credential Vault nutzen mit externen Key Vaults

Neben dem internen Vault unterstützt Automation Anywhere auch externe Credential-Speicher. Dazu gehören unter anderem Azure Key Vault, AWS Secrets Manager oder HashiCorp Vault. Die Integration erfolgt über eine definierte Schnittstelle, sodass Bots auch hier zur Laufzeit auf externe Secrets zugreifen können.

Diese Variante wird häufig in regulierten Umgebungen eingesetzt, in denen zentrale Sicherheitsplattformen bereits etabliert sind. Der Vorteil liegt in der durchgängigen Nutzung bestehender Sicherheitsrichtlinien, Logging-Mechanismen und Compliance-Vorgaben. Gleichzeitig bleiben die Bots in Automation Anywhere unverändert, da sie weiterhin mit Referenzen arbeiten.

Credential Vault nutzen für sichere Skalierung

Gerade bei wachsender Bot-Landschaft wird deutlich, wie wichtig eine zentrale Credential-Verwaltung ist. Ohne Vault entstehen schnell Sicherheitsrisiken durch Hardcoding, unklare Zuständigkeiten oder fehlende Transparenz. Wer den Credential Vault nutzen will, schafft eine saubere Grundlage für Skalierung, Betrieb und Auditierbarkeit von RPA-Plattformen.

Fazit

Der Credential Vault von Automation Anywhere ist inzwischen ein essenzieller Bestandteil für den sicheren Betrieb von Automatisierungen. Er ermöglicht eine klare Trennung von Logik und sensiblen Daten, reduziert Betriebsrisiken und vereinfacht administrative Prozesse. Durch die Unterstützung externer Key Vaults lässt sich die Plattform zudem nahtlos in bestehende Sicherheitsarchitekturen integrieren. Für IT-Administratoren und Entscheider ist der konsequente Einsatz des Vaults ein zentraler Baustein für stabile, sichere und wartbare RPA-Umgebungen. Wer den Credential Vault nutzen möchte, legt damit die Basis für nachhaltige Automatisierung.

Finden Sie hier eine Übersicht unserer Leistungen , Produkte, Whitepaper und Best Practices zum Thema.

Best Practices aus der Praxis

Einblicke in echte Projekte

konkrete Handlungsempfehlungen

Ansprechpartner

Buchen Sie einen Termin mit unseren Experten oder schreiben Sie uns eine Nachricht um mehr zu erfahren.

Marcel Altmann

Ihr Partner für IT-Beratung und Services.

IT Beratung

SAP-Beratung & Entwicklung

IT-Services