# Sicherheitsgrundlagen
<a name="a-sec-security"></a>

**Topics**
+ [SEC 1. Wie können Sie Ihren Workload sicher betreiben?](sec-01.md)

# SEC 1. Wie können Sie Ihren Workload sicher betreiben?
<a name="sec-01"></a>

 SEC 2. Nutzen Sie Anforderungen und Prozesse, die Sie in Operational Excellence definiert haben, auf Organisations- und Workload-Ebene, und wenden Sie sie auf alle Bereiche an. Bleiben Sie auf dem Laufenden mit AWS- und Branchenempfehlungen sowie Bedrohungsinformationen, um Ihr Bedrohungsmodell und Ihre Kontrollziele weiterzuentwickeln. Die Automatisierung von Sicherheitsprozessen, Tests und Validierung ermöglicht es Ihnen, Ihre operativen Abläufe zu skalieren. 

**Topics**
+ [SEC01-BP01 Trennen von Workloads mithilfe von Konten](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Schutz des Konto-Root-Benutzers und seiner Eigenschaften](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Aktuelle Informationen dank Sicherheitsempfehlungen](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen](sec_securely_operate_implement_services_features.md)

# SEC01-BP01 Trennen von Workloads mithilfe von Konten
<a name="sec_securely_operate_multi_accounts"></a>

 Sorgen Sie mit einer Mehrkonten-Strategie für wirksamen Integritätsschutz und Isolierungen zwischen Umgebungen (etwa Produktion, Entwicklung und Test) sowie Workloads. Die Trennung auf Kontoebene wird nachdrücklich angeraten, da diese für die wirksame Isolierung für Sicherheits-, Fakturierungs- und Zugriffszwecke sorgt. 

**Gewünschtes Ergebnis:** eine Kontostruktur, die Cloud-Operationen, nicht zusammengehörige Workloads und Umgebungen in separaten Konten voneinander isoliert, sodass die Sicherheit in der gesamten Cloud-Infrastruktur verbessert wird. 

**Typische Anti-Muster:**
+  Platzierung mehrerer nicht zusammengehöriger Workloads mit unterschiedlicher Datensensitivität in einem einzigen Konto
+  schlecht definierte Organizational Unit (OU, Organisationseinheit)-Struktur

**Vorteile der Nutzung dieser bewährten Methode:**
+  geringere Auswirkungen bei versehentlichen Zugriffen auf einen Workload
+  zentrale Verwaltung des Zugriffes auf AWS-Services, Ressourcen und Regionen
+  Wahrung der Sicherheit der Cloud-Infrastruktur durch Richtlinien und die zentralisierte Verwaltung von Sicherheitsservices
+  automatisierte Kontoerstellung und Wartungsprozesse
+  zentralisierte Prüfung Ihrer Infrastruktur auf Compliance- und regulatorische Anforderungen

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 AWS-Konten bieten eine Sicherheitsisolierungsgrenze zwischen Workloads oder Ressourcen, die auf unterschiedlichen Sensitivitätsstufen operieren. AWS bietet Tools, mit denen Sie Ihre umfangreichen Cloud-Workloads über eine Mehrkonten-Strategie verwalten und so die Isolierungsgrenze nutzen können. Für Erläuterungen der Konzepte, Muster und der Implementierung einer Mehrkonten-Strategie auf AWS siehe [Organisation Ihrer AWS-Umgebung mit mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). 

 Wenn Sie mehrere AWS-Konten zentral verwalten, sollten Ihre Konten in einer gemäß den Ebenen der Organisationseinheiten (OUs) definierten Hierarchie organisiert sein. Dadurch können Sicherheitskontrollen anhand der OUs und der Mitgliedskonten organisiert und auf diese angewendet werden, was eine konsistente präventive Kontrolle der Mitgliedskonten in der Organisation ermöglicht. Die Sicherheitskontrollen werden weitergegeben, sodass Sie nach verfügbaren Berechtigungen für Mitgliedskonten auf unteren Ebenen der OU-Hierarchie filtern können. Ein gutes Design macht sich diese Weitergabe zunutze, um die Anzahl und die Komplexität der Sicherheitsrichtlinien, die für die erwünschten Sicherheitskontrollen für jedes Mitgliedskonto erforderlich sind, zu reduzieren. 

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) und [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) sind zwei Services, mit denen Sie diese Mehrkontenstruktur in Ihrer AWS-Umgebung implementieren und verwalten können. AWS Organizations ermöglicht die Organisation von Konten in einer von einer oder mehreren Ebenen von OUs definierten Hierarchie, wobei jede OU eine Anzahl von Mitgliedskonten enthält. [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) ermöglichen einem Organisationsadministrator die Einrichtung detaillierter präventiver Kontrollen für Mitgliedskonten und [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) kann verwendet werden, um proaktive und erkennende Kontrollen für Mitgliedskonten zu aktivieren. Viele AWS-Services [lassen sich in AWS Organizations integrieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) und bieten so delegierte administrative Kontrollen und führen servicespezifische Aufgaben für alle Mitgliedskonten in der Organisation durch. 

 Über AWS Organizations hinaus ermöglicht [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) die Einrichtung bewährter Methoden mit einem Klick für eine Mehrkonten-AWS-Umgebung mit einer [Landing Zone](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). Die Landing Zone ist der Einstiegspunkt für die Mehrkonten-Umgebung, eingerichtet von Control Tower. Control Tower bietet verschiedene [Vorteile](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) gegenüber AWS Organizations. Hier sind drei Vorteile, die die Kontoverwaltung verbessern: 
+  integrierter verpflichtender Integritätsschutz, der automatisch auf für die Organisation zugelassene Konten angewendet wird 
+  optionaler Integritätsschutz, der für einen bestimmten Satz von OUs aktiviert und deaktiviert werden kann 
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) bietet eine automatisierte Bereitstellung von Konten mit vorab genehmigten Baselines und Konfigurationsoptionen innerhalb Ihrer Organisation. 

## Implementierungsschritte
<a name="implementation-steps"></a>

1.  **Entwurf einer OU-Struktur:** Eine korrekt gestaltete OU-Struktur reduziert den Verwaltungsaufwand für die Erstellung und Wahrung von Service-Kontrollrichtlinien und anderen Sicherheitskontrollen. Ihre OU-Struktur sollte [an Ihre geschäftlichen Anforderungen, die Sensitivität der Daten und die Workload-Struktur angepasst sein.](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/) 

1.  **Erstellen einer Landing Zone für Ihre Mehrkonten-Umgebung:** Eine Landing Zone bietet eine konsistente Sicherheits- und Infrastrukturbasis, von der aus Ihre Organisation Workloads schnell entwickeln, starten und bereitstellen kann. Sie können eine [individuell erstellte Landing Zone oder AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) für die Orchestrierung Ihrer Umgebung verwenden. 

1.  **Einrichtung von Integritätsschutz:** Implementieren Sie konsistenten Integritätsschutz für Ihre Umgebung über Ihre Landing Zone. AWS Control Tower bietet eine Liste [verpflichtender](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) und [optionaler](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) Kontrollen, die bereitgestellt werden können. Verpflichtende Kontrollen werden automatisch bereitgestellt, wenn Control Tower implementiert wird. Überprüfen Sie die Liste nachdrücklich empfohlener sowie optionaler Kontrollen und implementieren Sie diejenigen, die Ihren Anforderungen entsprechen. 

1.  **Einschränken des Zugriffs auf neu hinzugefügte Regionen:** Für neue AWS-Regionen werden IAM-Ressourcen, z. B. Benutzer und Rollen, nur an die von Ihnen angegebenen Regionen weitergegeben. Dieser Vorgang kann über die [Konsole durchgeführt werden, wenn Sie Control Tower verwenden](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html), oder durch die Anpassung von [IAM-Berechtigungsrichtlinien in AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Erwägen der Verwendung von AWS[CloudFormation StackSets:](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)** StackSets helfen dabei, Ressourcen wie IAM-Richtlinien, -Rollen und -Gruppen aus einer genehmigten Vorlage in verschiedenen AWS-Konten und Regionen bereitzustellen. 

## Ressourcen
<a name="resources"></a>

**Zugehörige bewährte Methoden:** 
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)

**Zugehörige Dokumente:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Richtlinien zur AWS-Sicherheitsprüfung) 
+  [IAM Best Practices](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) (Bewährte Methoden für IAM) 
+  [Use CloudFormation StackSets to provision resources across multiple AWS-Konten and regions](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) (Verwendung von CloudFormation StackSets zur Bereitstellung von Ressourcen für mehrere AWS-Konten und Regionen) 
+  [Organizations FAQ](https://aws.amazon.com/organizations/faqs/) (Häufig gestellte Fragen zu Organisationen) 
+  [AWS Organizations terminology and concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (AO-Terminologie und -Konzepte) 
+  [Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (Bewährte Methoden für Service-Kontrollrichtlinien in einer AO-Mehrkonten-Umgebung) 
+  [AWS Account Management Reference Guide](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) (Referenz zur Verwaltung von AWS-Konten) 
+  [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) (Organisieren der AWS-Umgebung mithilfe mehrerer Konten) 

**Zugehörige Videos:** 
+  [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s)(AWS-Übernahme in großem Umfang mit Automatisierung und Governance) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) (Bewährte Sicherheitsmethoden mit durchdachter Architektur) 
+  [Building and Governing Multiple Accounts using AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) (Aufbau und Verwaltung mehrerer Konten mit AWS Control Tower) 
+  [Enable Control Tower for Existing Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM) (Aktivierung von Control Tower für bestehende Organisationen) 

**Zugehörige Workshops:** 
+  [Control Tower Immersion Day](https://controltower.aws-management.tools/immersionday/) 

# SEC01-BP02 Schutz des Konto-Root-Benutzers und seiner Eigenschaften
<a name="sec_securely_operate_aws_account"></a>

 Der Root-Benutzer ist in einem AWS-Konto der Benutzer mit den meisten Berechtigungen und vollständigem administrativem Zugriff auf alle Ressourcen in dem Konto und kann in manchen Fällen nicht von Sicherheitsrichtlinien eingeschränkt werden. Die Deaktivierung des programmatischen Zugriffs auf den Root-Benutzer, die Einrichtung geeigneter Kontrollen für den Root-Benutzer und das Vermeiden der routinemäßigen Verwendung des Root-Benutzers senken die Risiken einer unbeabsichtigten Offenlegung der Anmeldeinformationen des Root-Benutzers und daraus resultierender ernsthafter Probleme für die Cloud-Umgebung. 

**Gewünschtes Ergebnis:** Der Schutz des Root-Benutzers hilft dabei, die Gefahr zu verringern, dass versehentliche oder beabsichtigte Schäden durch den Missbrauch der Anmeldeinformationen des Root-Benutzers entstehen. Die Einrichtung erkennender Kontrollen kann auch für die Benachrichtigung der richtigen Personen sorgen, wenn Aktionen unter Verwendung des Root-Benutzers durchgeführt werden.

**Typische Anti-Muster:**
+  Verwendung des Root-Benutzers für andere Aufgaben als die wenigen, für die Root-Benutzer-Anmeldeinformationen erforderlich sind  
+  Versäumnis, Notfallpläne regelmäßig zu testen, um das Funktionieren kritischer Infrastrukturen, Prozesse und des Personals während eines Notfalls zu überprüfen. 
+  ausschließliche Berücksichtigung des typischen Kontoanmeldungsprozesses und keine Berücksichtigung alternativer Kontowiederherstellungsverfahren 
+  keine Behandlung von DNS, E-Mail-Servern und Telefonanbietern als Teil des kritischen Sicherheitsperimeters, da diese in den Kontowiederherstellungsabläufen verwendet werden 

 **Vorteile der Nutzung dieser bewährten Methode:** Der Schutz des Zugriffs auf den Root-Benutzer stärkt das Vertrauen dazu, dass Aktionen in Ihrem Konto kontrolliert und überwacht werden. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 AWS bietet zahlreiche Tools für den Schutz Ihres Kontos. Da einige dieser Maßnahmen aber nicht standardmäßig aktiviert sind, müssen Sie sie selbst implementieren. Betrachten Sie diese Empfehlungen als grundlegende Schritte für den Schutz Ihres AWS-Konto. Bei der Implementierung dieser Schritte ist es wichtig, dass Sie einen Prozess für die kontinuierliche Prüfung und Überwachung der Sicherheitskontrollen einrichten. 

 Wenn Sie ein AWS-Konto anlegen, beginnen Sie mit einer Identität, mit der Sie auf alle mit dem Konto verbundenen AWS-Services und -Ressourcen zugreifen können. Diese Identität wird als der Root-Benutzer des AWS-Konto bezeichnet. Sie können sich mit der E-Mail-Adresse und dem Passwort, die bei der Konto-Erstellung verwendet wurden, als Root-Benutzer anmelden. Da der AWS-Root-Benutzer erweiterte Zugriffsrechte hat, müssen Sie die Verwendung des AWS-Root-Benutzers auf die Aufgaben beschränken, für die er [ausdrücklich erforderlich ist](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Die Anmeldeinformationen des Root-Benutzers müssen sehr gut geschützt werden, und für den Root-Benutzer des AWS-Konto sollte immer die Multi-Faktor-Authentifizierung (MFA) aktiviert sein. 

 Zusätzlich zum normalen Authentifizierungsablauf bei der Anmeldung als Root-Benutzer mit einem Benutzernamen, Passwort und einem Gerät zur Multi-Faktor-Authentifizierung (MFA) gibt es Kontowiederherstellungsabläufe für die Anmeldung Ihres AWS-Konto als Root-Benutzer mit Zugriff auf die mit Ihrem Konto verbundene E-Mail-Adresse und die Telefonnummer. Daher ist es ebenso wichtig, das E-Mail-Konto des Root-Benutzers, an das die Wiederherstellungs-E-Mail gesendet wird, und die mit dem Konto verknüpfte Telefonnummer zu sichern. Denken Sie auch an mögliche zirkuläre Abhängigkeiten, bei denen die zum Root-Benutzer gehörende E-Mail-Adresse auf E-Mail-Servern oder DNS (Domain Name Service)-Ressourcen von demselben AWS-Konto gehostet wird. 

 Bei Verwendung von AWS Organizations gibt es mehrere AWS-Konten, die jeweils einen Root-Benutzer haben. Ein Konto fungiert als Verwaltungskonto und mehrere Ebenen von Mitgliedskonten können dann darunter hinzugefügt werden. Priorisieren Sie den Schutz des Root-Benutzers Ihres Verwaltungskontos und kümmern Sie sich dann um diejenigen der Mitgliedskonten. Die Strategie zum Schutz des Root-Benutzers Ihres Verwaltungskontos kann sich von der für die Root-Benutzer der Mitgliedskonten unterscheiden und Sie können präventive Sicherheitskontrollen für die Root-Benutzer Ihrer Mitgliedskonten einrichten. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 Die folgenden Implementierungsschritte werden für die Einrichtung der Kontrollen für den Root-Benutzer empfohlen. Gegebenenfalls verweisen die Empfehlungen auf [CIS AWS Foundations Benchmark, Version 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Konsultieren Sie zusätzlich zu diesen Schritten die [Richtlinien zu bewährten Methoden für AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) für den Schutz Ihres AWS-Konto und Ihrer Ressourcen. 

 **Präventive Kontrollen** 

1.  Richten Sie korrekte [Kontaktinformationen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) für das Konto ein. 

   1.  Diese Informationen werden für die Abläufe zur Wiederherstellung verlorener Passwörter, verlorener MFA-Gerätekonten und für die kritische sicherheitsrelevante Kommunikation mit Ihrem Team verwendet. 

   1.  Verwenden Sie eine von ihrer Unternehmensdomain gehostete E-Mail-Adresse, vorzugsweise eine Verteilerliste, als E-Mail-Adresse des Root-Benutzers. Die Verwendung einer Verteilerliste anstelle einer einzelnen E-Mail-Adresse sorgt für zusätzliche Redundanz und Kontinuität beim Zugriff auf das Root-Konto über längere Zeiträume hinweg. 

   1.  Die in den Kontaktinformationen angegebene Telefonnummer sollte eine für diesen Zweck speziell eingerichtete und sichere Telefonnummer sein. Diese Telefonnummer sollte nicht eingetragen sein oder an andere weitergegeben werden. 

1.  Erstellen Sie keine Zugriffsschlüssel für den Root-Benutzer. Wenn Zugriffsschlüssel vorhanden sind, entfernen Sie diese (CIS 1.4). 

   1.  Entfernen Sie alle langfristigen programmatischen Anmeldeinformationen (Zugriffs- und geheime Schlüssel) für den Root-Benutzer. 

   1.  Wenn bereits Zugriffsschlüssel für den Root-Benutzer vorhanden sind, sollten Prozesse, die diese Schlüssel verwenden, so umgestaltet werden, dass sie temporäre Zugriffsschlüssel von einer AWS Identity and Access Management (IAM)-Rolle verwenden; [löschen Sie dann die Zugriffsschlüssel des Root-Benutzers.](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key) 

1.  Ermitteln Sie, ob Sie Anmeldeinformationen für den Root-Benutzer speichern müssen. 

   1.  Wenn Sie AWS Organizations zum Erstellen neuer Mitgliedskonten verwenden, wird das ursprüngliche Passwort für den Root-Benutzer in neuen Mitgliedskonten auf einen zufälligen Wert festgelegt, der Ihnen nicht angezeigt wird. Erwägen Sie die Nutzung der Passwortrücksetzung von Ihrem AWS-Organization-Verwaltungskonto, um bei Bedarf [Zugriff auf das Mitgliedskonto zu erhalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root). 

   1.  Für Standalone-AWS-Konten oder das AWS-Organization-Verwaltungskonto sollten Sie Anmeldeinformationen für den Root-Benutzer erstellen und sicher speichern. Aktivieren Sie MFA für den Root-Benutzer. 

1.  Aktivieren Sie präventive Kontrollen für Root-Benutzer von Mitgliedskonten in AWS-Mehrkonten-Umgebungen. 

   1.  Erwägen Sie die präventive Sicherheitsvorkehrung [Erstellung von Zugriffsschlüsseln für den Root-Benutzer nicht zulassen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) für Mitgliedskonten. 

   1.  Erwägen Sie die Aktivierung der präventiven Sicherheitsmaßnahme [Aktionen als Root-Benutzer nicht zulassen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) für Mitgliedskonten. 

1.  Wenn Sie Anmeldeinformationen für den Root-Benutzer benötigen: 

   1.  Verwenden Sie ein komplexes Passwort. 

   1.  Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer, besonders für AWS Organizations-Verwaltungskonten (Bezahlerkonten) (CIS 1.5). 

   1.  Erwägen Sie die Nutzung von Hardware-MFA-Geräten für Resilienz und Sicherheit, da Einweggeräte auf MFA-Funktionen begrenzt sind und so die Wahrscheinlichkeit verringern, dass die Geräte mit Ihren MFA-Codes für andere Zwecke verwendet werden. Stellen Sie sicher, dass batteriebetriebene MFA-Geräte regelmäßig ausgetauscht werden. (CIS 1.6) 
      +  Befolgen Sie zur Konfiguration der MFA für den Root-Benutzer die Anleitungen für die Aktivierung einer [virtuellen MFA](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) oder eines [Hardware-MFA-Geräts](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Erwägen Sie die Nutzung mehrerer MFA-Geräte als Backup. [Pro Konto sind bis zu 8 MFA-Geräte zulässig](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/). 
      +  Beachten Sie, dass die Verwendung von mehr als einem Gerät für den Root-Benutzer automatisch den [Ablauf für die Wiederherstellung Ihres Kontos bei Verlust des MFA-Geräts](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/) deaktiviert. 

   1.  Speichern Sie das Passwort in sicherer Weise, und beachten Sie zirkuläre Abhängigkeiten bei der elektronischen Speicherung des Passworts. Speichern Sie das Passwort nicht so, dass der Zugriff darauf erforderlich wäreAWS-Konto, um es abzurufen. 

1.  Optional: Erwägen Sie die Einrichtung einer periodischen Passwortrotation für den Root-Benutzer. 
   +  Bewährte Methoden für die Verwaltung von Anmeldeinformationen hängen von Ihren jeweiligen regulatorischen und Richtlinienanforderungen ab. Durch MFA geschützte Root-Benutzer sind nicht auf das Passwort als einzigen Authentifizierungsfaktor angewiesen. 
   +  Die regelmäßige [Änderung des Root-Benutzer-Passworts](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_passwords_change-root.html) senkt das Risiko, dass ein unbeabsichtigt offengelegtes Passwort missbraucht werden kann. 

### Aufdeckende Kontrollen
<a name="detective-controls"></a>
+  Erstellen Sie Alarme, um die Verwendung der Root-Anmeldeinformationen zu erkennen (CIS 1.7). [Ist Amazon GuardDuty aktiviert](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html), wird die Nutzung der API-Anmeldeinformationen des Root-Benutzers überwacht und Sie werden über das Ergebnis von [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) benachrichtigt. 
+  Evaluieren und implementieren Sie die [AWSim Well-Architected Security Pillar Conformance Pack enthaltenen aufdeckenden Kontrollen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) oder, falls SieAWS Control Tower verwenden, die [nachdrücklich empfohlenen Kontrollen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html), die in Control Tower verfügbar sind. 

### Operationale Anleitung
<a name="operational-guidance"></a>
+  Legen Sie fest, wer in der Organisation Zugriff auf die Root-Benutzer-Anmeldeinformationen haben sollte. 
  +  Verwenden Sie eine Zwei-Personen-Regel, damit keine einzelne Person Zugang zu allen erforderlichen Anmeldeinformationen und zur MFA hat, um sich Root-Benutzer-Zugriff zu verschaffen. 
  +  Stellen Sie sicher, dass die Organisation – und nicht nur eine einzelne Person – die Kontrolle über die mit dem Konto verbundene Telefonnummer und das entsprechende E-Mail-Alias hat (diese werden für die Passwort- und die MFA-Rücksetzung verwendet). 
+  Verwenden Sie nur im Ausnahmefall den Root-Benutzer (CIS 1.7). 
  +  Der AWS-Root-Benutzer darf nicht für alltägliche Aktivitäten verwendet werden, auch nicht für administrative. Melden Sie sich nur dann als Root-Benutzer an, wenn Sie [AWS-Aufgaben durchführen müssen, für die der Root-Benutzer erforderlich ist](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Alle anderen Aktionen sollten von anderen Benutzern mit den entsprechenden Rollen durchgeführt werden. 
+  Prüfen Sie regelmäßig, ob der Zugriff auf den Root-Benutzer funktioniert, um Prozeduren vor dem Eintreten von Notsituationen zu testen, die die Verwendung der Root-Benutzer-Anmeldeinformationen erfordern. 
+  Prüfen Sie regelmäßig, ob die mit dem Konto verbundene E-Mail-Adresse und die unter [Alternative Kontakte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) aufgeführten E-Mail-Adressen funktionieren. Überwachen Sie diese E-Mail-Posteingänge auf etwaige Sicherheitsmitteilungen von abuse@amazon.com. Stellen Sie auch sicher, dass alle mit dem Konto verbundenen Telefonnummern funktionieren. 
+  Bereiten Sie Notfallreaktionsprozeduren vor, um auf den Missbrauch des Root-Kontos reagieren zu können. Konsultieren Sie den [AWS-Reaktionsleitfaden für Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) und die bewährten Methoden im [Abschnitt zu Notfallreaktionen im Whitepaper der Säule „Sicherheit“](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) für weitere Informationen zum Aufbau einer Sicherheitsstrategie für Ihr AWS-Konto. 

## Ressourcen
<a name="resources"></a>

**Zugehörige bewährte Methoden:** 
+ [SEC01-BP01 Trennen von Workloads mithilfe von Konten](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Verwenden von starken Anmeldemechanismen](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Einrichtung eines Notfallzugriffprozesses](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md)

**Zugehörige Dokumente:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Richtlinien zur AWS-Sicherheitsprüfung) 
+  [IAM Best Practices](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) (Bewährte Methoden für IAM) 
+  [Amazon GuardDuty – root credential usage alert](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) (Amazon GuardDuty – Alarm bei Verwendung der Root-Anmeldeinformationen) 
+  [Step-by-step guidance on monitoring for root credential use through CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html#securityhub-cis1.4-controls-1.7) (Schritt-für-Schritt-Anleitung zur Überwachung der Verwendung von Root-Anmeldeinformationen mit CloudTrail) 
+  [MFA tokens approved for use with AWS](https://aws.amazon.com/iam/features/mfa/) (Zur Verwendung mit AWS genehmigte MFA-Tokens) 
+  Implementing [break glass access](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) on AWS (Implementieren des „Break Glass“-Zugriffs in AWS) 
+  [Top 10 security items to improve in your AWS-Konto](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) (Die 10 wichtigsten Sicherheitsverbesserungen für Ihr AWS-Konto) 
+  [What do I do if I notice unauthorized activity in my AWS-Konto?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) (Was muss ich tun, wenn ich unbefugte Aktivitäten in meinem AWS-Konto erkenne?) 

**Zugehörige Videos:** 
+  [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s) (AWS-Übernahme in großem Umfang mit Automatisierung und Governance) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) (Bewährte Sicherheitsmethoden mit durchdachter Architektur) 
+  [Limiting use of AWS root credentials](https://youtu.be/SMjvtxXOXdU?t=979) from AWS re:inforce 2022 – Security best practices with AWS IAM (Einschränkung der Verwendung der AWS-Root-Anmeldeinformationen von der AWS re:inforce 2022 – Bewährte Sicherheitsmethoden mit AWS IAM)

**Zugehörige Beispiele und Workshops:** 
+  [Lab: AWS-Konto und Root-Benutzer](https://www.wellarchitectedlabs.com/security/100_labs/100_aws_account_and_root_user/) 

# SEC01-BP03 Identifizieren und Validieren von Kontrollzielen
<a name="sec_securely_operate_control_objectives"></a>

 Entsprechend Ihren Compliance-Anforderungen und Risiken, die aus Ihrem Bedrohungsmodell identifiziert werden, können Sie die Kontrollziele und Kontrollen ableiten und validieren, die Sie für Ihren Workload benötigen. Die laufende Validierung von Kontrollzielen und Kontrollen hilft Ihnen, die Effektivität der Risikominderung zu messen. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Identifizieren Sie die Compliance-Anforderungen: Ermitteln Sie die organisatorischen, rechtlichen und Compliance-bezogenen Anforderungen, die Ihr Workload erfüllen muss. 
+  Identifizieren Sie AWS-Compliance-Ressourcen: Ermitteln Sie die Ressourcen, die AWS zur Verfügung stellt, um Sie bei der Compliance zu unterstützen. 
  +  [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
  + [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [ Richtlinien zur AWS-Sicherheitsprüfung](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+ [ Sicherheitsberichte](https://aws.amazon.com/security/security-bulletins/) 

 **Relevante Videos:** 
+  [AWS Security Hub CSPM: Manage Security Alerts and Automate Compliance (Verwalten von Sicherheitsbenachrichtigungen und Automatisieren der Compliance)](https://youtu.be/HsWtPG_rTak) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen
<a name="sec_securely_operate_updated_threats"></a>

 Um geeignete Kontrollen zu definieren und zu implementieren, müssen Sie Angriffsvektoren erkennen, indem Sie stets über die neuesten Sicherheitsbedrohungen auf dem Laufenden bleiben. Nutzen Sie AWS Managed Services, um einfacher über unerwartetes oder ungewöhnliches Verhalten in Ihren AWS-Konten benachrichtigt zu werden. Verwenden Sie für Untersuchungen im Rahmen Ihrer Abläufe zu Sicherheitsinformationen AWS-Partner-Tools oder Feeds mit Risikoinformationen von Drittanbietern. Die [Liste der Common Vulnerabilities and Exposures (CVE) ](https://cve.mitre.org/) enthält öffentlich bekannte Cybersicherheitsrisiken, sodass Sie immer auf dem aktuellen Stand sind. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Abonnieren Sie Informationsquellen zu Bedrohungen: Überprüfen Sie regelmäßig Informationen aus mehreren Quellen zu Bedrohungen, die für die in Ihrem Workload verwendeten Technologien relevant sind. 
  +  [Liste der Common Vulnerabilities and Exposures (CVE) ](https://cve.mitre.org/)
+  Verwenden Sie den [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) -Service: So erhalten Sie nahezu in Echtzeit Einblicke in Informationsquellen, wenn Ihr Workload über das Internet zugänglich ist. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [ Richtlinien zur AWS-Sicherheitsprüfung](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [AWS Shield](https://aws.amazon.com/shield/) 
+ [ Sicherheitsberichte](https://aws.amazon.com/security/security-bulletins/) 

 **Relevante Videos:** 
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP05 Aktuelle Informationen dank Sicherheitsempfehlungen
<a name="sec_securely_operate_updated_recommendations"></a>

 Bleiben Sie mit AWS- und Branchensicherheitsempfehlungen auf dem Laufenden, um die Sicherheitsstrategie für Ihren Workload zu entwickeln. [AWS-Sicherheitsmitteilungen](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) enthalten wichtige Informationen zur Sicherheit und zum Datenschutz. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Verfolgen Sie AWS-Updates: Abonnieren Sie diese oder überprüfen Sie sie regelmäßig in Bezug auf neue Empfehlungen, Tipps und Tricks. 
  +  [AWS Well-Architected Labs](https://wellarchitectedlabs.com/?ref=wellarchitected) 
  +  [AWS-Sicherheitsblog](https://aws.amazon.com/blogs/security/?ref=wellarchitected) 
  +  [AWS-Servicedokumentation](https://aws.amazon.com/documentation/?ref=wellarchitected) 
+  Abonnieren Sie Branchennachrichten: Überprüfen Sie regelmäßig Newsfeeds aus verschiedenen Quellen, die für die in Ihrem Workload verwendeten Technologien relevant sind. 
  +  [Beispiel: Liste der Common Vulnerabilities and Exposures (CVE)](https://cve.mitre.org/cve/?ref=wellarchitected) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Sicherheitsberichte](https://aws.amazon.com/security/security-bulletins/) 

 **Relevante Videos:** 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP06 Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines
<a name="sec_securely_operate_test_validate_pipeline"></a>

 Erstellen Sie sichere Ausgangswerte und Vorlagen für Sicherheitsmechanismen, die im Rahmen Ihres Builds, Ihrer Pipelines und Prozesse getestet und validiert werden. Verwenden Sie Tools und Automatisierung, um alle Sicherheitskontrollen kontinuierlich zu testen und zu validieren. Scannen Sie beispielsweise Elemente wie Machine Images und Infrastruktur als Codevorlagen in jeder Phase auf Sicherheitslücken, Unregelmäßigkeiten und Abweichungen von einer etablierten Ausgangsbasis. Mit AWS CloudFormation Guard können Sie sicherstellen, dass CloudFormation-Vorlagen sicher sind, Sie dadurch Zeit sparen und das Risiko von Konfigurationsfehlern verringert wird. 

Wichtig ist, die Zahl der fehlerhaften Sicherheitskonfigurationen in einer Produktionsumgebung zu reduzieren. Je mehr Qualitätskontrollen Sie während des Entwicklungsprozesses durchführen und je mehr Fehler Sie vorab eliminieren können, desto besser. Entwickeln Sie Continuous Integration und Continuous Deployment-Pipelines (CI/CD), um kontinuierlich Sicherheitsprobleme zu erkennen. CI/CD-Pipelines bieten die Möglichkeit, die Sicherheit in jeder Phase der Erstellung und Bereitstellung zu erhöhen. CI/CD-Sicherheitstools müssen kontinuierlich aktuell gehalten werden, um sie den sich ständig verändernden Bedrohungen anzupassen.

Verfolgen Sie Änderungen an der Workload-Konfiguation nach. Dies hilft Ihnen bei Compliance-Auditing, Änderungsverwaltung und ggf. bei Untersuchungen. Sie können mit AWS Config Ihre AWS- und Drittanbieterressourcen aufzeichnen und evaluieren. So können Sie die allgemeine Compliance mit Regeln und Conformance Packs, d. h. Regelsammlungen mit Maßnahmen zur Problembehebung, kontinuierlich prüfen und bewerten.

Die Änderungsverfolgung sollte geplante Änderungen einschließen, die Teil des Änderungskontrollprozesses Ihrer Organisation sind (manchmal als „MACD“ bezeichnet – Move/Add/Change/Delete), außerdem ungeplante Änderungen und unerwartete Änderungen, beispielsweise Vorfälle. Änderungen können sowohl bei der Infrastruktur als auch im Zusammenhang mit anderen Kategorien auftreten, z. B. Änderungen an Code-Repositorys, Machine Images oder beim Anwendungsinventar, sowie Prozess- und Richtlinienänderungen oder auch Änderungen an der Dokumentation.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Automatisieren Sie die Konfigurationsverwaltung: Legen Sie fest, dass sichere Konfigurationen automatisch erzwungen und validiert werden. Verwenden Sie dazu einen Service oder ein Tool zur Konfigurationsverwaltung. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
  +  [Einrichten einer CI/CD-Pipeline in AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Verwenden von Service-Kontrollrichtlinien zum Festlegen eines kontenübergreifenden Integritätsschutzes für Berechtigungen in AWS Organizations](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 

 **Relevante Videos:** 
+  [Managing Multi-Account AWS Environments Using AWS Organizations (Verwalten von AWS-Umgebungen mit mehreren Konten mithilfe von AWS Organizations)](https://youtu.be/fxo67UeeN1A) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP07 Identifizieren von Bedrohungen und Priorisieren von Abhilfemaßnahmen unter Verwendung eines Bedrohungsmodells
<a name="sec_securely_operate_threat_model"></a>

 Führen Sie Bedrohungsmodellierungen zur Identifizierung und Pflege eines aktuellen Registers potenzieller Bedrohungen und entsprechender Abhilfemaßnahmen für Ihren Workload durch. Priorisieren Sie Ihre Bedrohungen und passen Sie Ihre Sicherheitskontrollen an, um zu verhindern, zu erkennen und zu reagieren. Überarbeiten und halten Sie diese Methoden im Kontext Ihres Workloads und der sich entwickelnden Sicherheitslandschaft aktuell. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 **Was versteht man unter Bedrohungsmodellierung?** 

 „Die Bedrohungsmodellierung dient zur Identifikation, Kommunikation und zum Verständnis von Bedrohungen und entsprechender Abhilfemaßnahmen im Kontext des Schutzes werthaltiger Dinge.“ – [The Open Web Application Security Project (OWASP) Application Threat Modeling](https://owasp.org/www-community/Threat_Modeling) 

 **Wozu dient die Bedrohungsmodellierung?** 

 Systeme sind komplex und werden mit der Zeit immer komplexer und leistungsfähiger. Gleichzeitig liefern sie immer mehr geschäftlichen Wert und verbessern die Kundenzufriedenheit und ‑bindung. Dies bedeutet, dass Entscheidungen zum IT-Design immer mehr Anwendungsfälle berücksichtigen müssen. Diese Komplexität und die zunehmende Zahl der Anwendungsfälle macht unstrukturierte Konzepte ineffektiv, wenn es um das Erkennen und Bekämpfen von Bedrohungen geht. Stattdessen wird ein systematisches Konzept benötigt, das die potenziellen Bedrohungen für ein System aufführen und Abhilfemaßnahmen benennen und priorisieren kann, um sicherzustellen, dass die begrenzten Ressourcen einer Organisation in maximaler Weise in der Lage sind, die Sicherheitslage des Systems insgesamt zu verbessern. 

 Die Bedrohungsmodellierung dient zum Aufbau eines solchen systematischen Konzepts, damit Probleme frühzeitig im Designprozess erkannt und angegangen werden können, so lange Abhilfemaßnahmen noch mit niedrigen relativen Kosten und geringem Aufwand verbunden sind, was später im Lebenszyklus nicht mehr der Fall ist. Dieses Konzept entspricht dem Branchenprinzip des [*Shift-Left*-Sicherheitsansatzes](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Letztendlich ist die Bedrohungsmodellierung in den Risikomanagementprozess einer Organisation integriert und hilft mit einem auf Bedrohungen ausgerichteten Konzept bei Entscheidungen dazu, welche Kontrollmechanismen zu implementieren sind. 

 **Wann sollte eine Bedrohungsmodellierung durchgeführt werden?** 

 Beginnen Sie mit der Bedrohungsmodellierung so früh wie möglich im Lebenszyklus Ihres Workloads Dies gibt Ihnen die benötigte Flexibilität im Umgang mit den identifizierten Bedrohungen. Wie bei Softwarebugs gilt auch hier: Je früher Sie Bedrohungen identifizieren, desto kostengünstiger ist es, sie zu beheben. Ein Bedrohungsmodell ist ein lebendiges Dokument, dass stetig weiterentwickelt werden sollte, während sich Ihre Workloads verändern. Überprüfen Sie regelmäßig Ihre Bedrohungsmodelle, vor allem bei größeren Änderungen, bei Änderungen der Bedrohungslandschaft, oder wenn Sie neue Funktionen oder Services einführen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 **Wie wird die Bedrohungsmodellierung durchgeführt?** 

 Es gibt viele verschiedene Möglichkeiten zur Durchführung von Bedrohungsmodellierungen. Ähnlich wie bei Programmiersprachen gibt es Vor- und Nachteile und Sie sollten den Ansatz wählen, der für Sie am besten funktioniert. Ein Konzept besteht darin, mit [Shostack’s 4 Question Frame for Threat Modeling](https://github.com/adamshostack/4QuestionFrame) zu beginnen, das aus offenen Fragen besteht, die Ihre Bedrohungsmodellierung strukturieren: 

1.  **Woran arbeiten wir?** 

    Diese Frage dient dazu, das von Ihnen aufgebaute System sowie die sicherheitsrelevanten Details zu diesem System zu verstehen. Für die Beantwortung dieser Frage ist es üblich, ein Modell oder Diagramm zur Visualisierung dessen aufzustellen, was aufgebaut wird, etwa in Gestalt eines [Datenflussdiagramms](https://en.wikipedia.org/wiki/Data-flow_diagram). Das Aufschreiben von Annahmen und wichtigen Details zum System hilft ebenfalls beim Verständnis des Umfangs. Dadurch können sich alle, die zum Bedrohungsmodell beitragen, auf dasselbe konzentrieren und zeitraubende Umwege über irrelevante Themen (wie etwa veraltete Versionen des Systems) vermeiden. Wenn Sie beispielsweise eine Web-Anwendung erstellen, ist es wahrscheinlich nicht relevant, sich um die Bedrohungsmodellierung im Zusammenhang mit der Bootsequenz für Browser-Clients in vertrauenswürdigen Betriebssystemen zu kümmern, da Sie darauf ohnehin keinen Einfluss haben. 

1.  **Was kann schief gehen?** 

    Hier identifizieren Sie die Bedrohungen für Ihr System. Bedrohungen sind versehentliche oder beabsichtigte Handlungen oder Ereignisse, die unerwünschte Folgen haben und die Sicherheit Ihres Systems beeinträchtigen können. Ohne ein klares Verständnis dessen, was schief gehen kann, haben Sie keine Möglichkeit, etwas dagegen zu unternehmen. 

    Es gibt keine kanonische Liste dessen, was schief gehen kann. Die Erstellung dieser Liste erfordert Brainstorming und die Zusammenarbeit all Ihrer Teammitglieder und der [relevanten Beteiligten](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) an der Bedrohungsmodellierung. Sie können das Brainstorming mit einem Modell für die Identifikation von Bedrohungen wie [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)) unterstützen, das unterschiedliche zu evaluierende Kategorien vorschlägt: Spoofing, Manipulation, Offenlegung, Denial-of-Service oder Berechtigungsausweitung. Dazu sollten Sie zur Inspiration vorhandene Listen und Forschungsergebnisse heranziehen, etwa die [OWASP Top 10](https://owasp.org/www-project-top-ten/), den [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/) und den eigenen Bedrohungskatalog Ihrer Organisation. 

1.  **Wie gehen wir damit um?** 

    Wie schon bei der vorherigen Frage gibt es auch hier keine kanonische Liste möglicher Abhilfemaßnahmen. Die Inputs für diesen Schritt sind die identifizierten Bedrohungen, Akteure und Verbesserungsbereiche aus dem vorherigen Schritt. 

    Sicherheit und Compliance unterliegen der [geteilten Verantwortung zwischen Ihnen und AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Der Frage „Wie gehen wir damit um?“ sollte unbedingt die Frage „Wer ist für die Maßnahmen verantwortlich?“ angeschlossen werden. Das Verständnis der Verantwortungsverteilung zwischen Ihnen und AWS hilft Ihnen bei der Anpassung der Bedrohungsmodellierung an die Abhilfemaßnahmen, die Ihrer Kontrolle unterliegen und in der Regel aus einer Kombination aus AWS-Servicekonfigurationsoptionen und Ihren eigenen systemspezifischen Abhilfemaßnahmen bestehen. 

    Für den AWS-Teil der geteilten Verantwortung werden Sie erkennen, dass [AWS-Services im Bereich vieler Compliance-Programme liegen](https://aws.amazon.com/compliance/services-in-scope/). Diese Programme helfen Ihnen, sich mit den zuverlässigen Kontrollmöglichkeiten bei AWS zur Sicherheitswahrung und Compliance in der Cloud vertraut zu machen. Die Prüfungsberichte dieser Programme stehen für AWS-Kunden von [AWS Artifact](https://aws.amazon.com/artifact/) zum Download zur Verfügung. 

    Unabhängig davon, welche AWS-Services Sie nutzen, gibt es immer ein Element der Kundenverantwortung, und an diese Verantwortungen angepasste Abhilfemaßnahmen sollten Teil Ihres Bedrohungsmodells sein. Für Sicherheitskontrollabhilfen für die AWS-Services selbst sollten Sie die Implementierung von Sicherheitskontrollen über Domains hinweg erwägen, einschließlich Domains wie Identitäts- und Zugriffsmanagement (Authentifizierung und Autorisierung), Datenschutz (im Ruhezustand und während der Übertragung), Infrastruktursicherheit, Protokollierung und Überwachung. Die Dokumentation für jeden AWS-Service enthält ein [dediziertes Sicherheitskapitel](https://docs.aws.amazon.com/security/) mit Anleitungen zu den Sicherheitskontrollen, die Abhilfemaßnahmen unterstützen können. Wichtig ist, dass Sie den Code, den Sie schreiben, und dessen Abhängigkeiten berücksichtigen und an Kontrollen denken, die Sie für den Umgang mit den damit verbundenen Bedrohungen implementieren können. Dabei kann es sich etwa um [Inputvalidierung](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [Sitzungsdurchführung](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) oder [Umgang mit Grenzen](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow) handeln. Oft ist der Löwenanteil der Bedrohungen mit benutzerdefiniertem Code verbunden, konzentrieren Sie sich also besonders darauf. 

1.  **Haben wir gute Arbeit geleistet?** 

    Ihr Team und die Organisation verfolgen das Ziel, die Qualität der Bedrohungsmodelle und die Geschwindigkeit zu verbessern, mit der Sie die Bedrohungsmodellierung im Laufe der Zeit durchführen. Diese Verbesserungen werden durch eine Kombination von Praxis, Lernen, Lehren und Prüfen ermöglicht. Um dies zu vertiefen und praktisch umzusetzen, sollten Sie und Ihr Team den Trainingskurs zum Thema [Korrekte Bedrohungsmodellierung für Builder](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) oder den dazugehörigen [Workshop](https://catalog.workshops.aws/threatmodel/en-US) absolvieren. Wenn Sie nach Anleitungen zur Integration der Bedrohungsmodellierung in den Anwendungsentwicklungslebenszyklus Ihrer Organisation suchen, beachten Sie auch den Post zum Thema [Bedrohungsmodellierungskonzepte](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) im AWS-Sicherheitsblog. 

 **Threat Composer** 

 Zur Unterstützung und Anleitung bei der Erstellung von Bedrohungsmodellen können Sie das [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer)-Tool verwenden, das darauf ausgerichtet ist, bei der Erstellung von Bedrohungsmodellen die Zeit bis zur Wertschöpfungzu verkürzen. Das Tool hilft Ihnen bei den folgenden Aufgaben: 
+  Schreiben Sie nützliche, an der [Bedrohungsgrammatik](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) ausgerichtete Bedrohungserklärungen, die in einem natürlichen, nicht-linearen Arbeitsablauf funktionieren. 
+  Generieren Sie ein für Menschen lesbares Bedrohungsmodell. 
+  Generieren Sie ein maschinenlesbares Bedrohungsmodell, damit Sie Bedrohungsmodelle wie Code behandeln können. 
+  Mit dem Insights Dashboard können Sie schnell Bereiche identifizieren, in denen die Qualität und die Abdeckung verbessert werden müssen. 

 Für weitere Informationen rufen Sie Threat Composer auf und wechseln Sie zum systemdefinierten **Beispielarbeitsbereich**. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Sicherstellen der Aktualität von Informationen zu Sicherheitsbedrohungen](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Aktuelle Informationen dank Sicherheitsempfehlungen](sec_securely_operate_updated_recommendations.md) 
+  [SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen](sec_securely_operate_implement_services_features.md) 

 **Zugehörige Dokumente:** 
+  [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS Security Blog) (Bedrohungsmodellierungskonzepte (AWS-Sicherheitsblog) 
+ [NIST: Guide to Data-Centric System Threat Modeling ](https://csrc.nist.gov/publications/detail/sp/800-154/draft) (Handbuch zur datenzentrischen Modellierung von Systembedrohungen)

 **Zugehörige Videos:** 
+ [AWS Summit ANZ 2021 - How to approach threat modelling ](https://www.youtube.com/watch?v=GuhIefIGeuA) (AWS Summit ANZ 2021 – Bedrohungsmodellierungskonzepte)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA) (AWS Summit ANZ 2022 – Skalierung der Sicherheit – Optimierungen für schnelle und sichere Bereitstellungen)

 **Zugehörige Schulungen:** 
+ [ Threat modeling the right way for builders – AWS Skill Builder virtual self-paced training ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (Korrekte Bedrohungsmodellierung für Builder – Virtueller Schulungskurs von AWS Skill Builder)
+ [ Threat modeling the right way for builders (Korrekte Bedrohungsmodellierung für Builder) – AWS Workshop ](https://catalog.workshops.aws/threatmodel)

 **Zugehörige Tools:** 
+  [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Regelmäßiges Bewerten und Implementieren neuer Sicherheitsservices und -funktionen
<a name="sec_securely_operate_implement_services_features"></a>

 Bewerten und implementieren Sie Sicherheitsservices und -funktionen von AWS und AWS-Partnern, mit denen Sie die Sicherheitsstrategie für Ihren Workload weiterentwickeln können. Das AWS-Sicherheitsblog bietet Informationen zu neuen AWS-Services und -Funktionen, Implementierungshandbücher und allgemeine Hinweise zur Sicherheit. [Neuerungen bei AWS](https://aws.amazon.com/new) ist eine gute Möglichkeit, einen Überblick über alle neuen Funktionen, Services und Ankündigungen im Zusammenhang mit AWS zu erhalten. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Planen Sie regelmäßige Überprüfungen: Erstellen Sie einen Kalender mit Überprüfungsaktivitäten. Darin sollte Folgendes enthalten sein: Prüfung von Compliance-Anforderungen, Bewertung neuer AWS-Sicherheitsfunktionen und -services und Information über aktuelle Branchennachrichten. 
+  Informieren Sie sich über AWS-Services und -Funktionen: Erkunden Sie die für die von Ihnen genutzten Services verfügbaren Sicherheitsfunktionen und prüfen Sie neue Funktionen, sobald sie veröffentlicht werden. 
  + [AWS-Sicherheitsblog](https://aws.amazon.com/blogs/security/) 
  + [AWS-Sicherheitsmitteilungen ](https://aws.amazon.com/security/security-bulletins/)
  +  [AWS-Servicedokumentation ](https://aws.amazon.com/documentation/)
+  Definieren Sie einen Onboarding-Prozess für AWS-Services: Definieren Sie Prozesse für das Onboarding neuer AWS-Services. Berücksichtigen Sie dabei, wie neue AWS-Services auf ihre Funktionalität hin bewertet werden sollen, und die Compliance-Anforderungen für Ihren Workload. 
+  Testen Sie neue Services und Funktionen: Testen Sie neue Services und Funktionen nach ihrer Veröffentlichung in einer Nicht-Produktionsumgebung, die Ihre Produktionsumgebung möglichst genau repliziert. 
+  Implementieren Sie andere Verteidigungsmechanismen: Implementieren Sie automatisierte Mechanismen zum Schutz Ihres Workloads und prüfen Sie die verfügbaren Optionen. 
  +  [Korrigieren von nicht konformen AWS-Ressourcen mit AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## Ressourcen
<a name="resources"></a>

 **Relevante Videos:** 
+  [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)