Oliver Bühler

AWS Security & Compliance Programme

Tallence AG2024–present

Team: 6 PersonenSenior Cloud Architect

AWS Security HubAmazon GuardDutyAWS ConfigAWS CloudTrailAWS IAMAmazon InspectorAWS KMSAWS Macie

Vertraulich

Screenshots nicht verfügbar — vertrauliches Projekt

Überblick

Bei der Tallence AG verantworte ich Design und Umsetzung eines unternehmensweiten AWS-Sicherheits- und Compliance-Programms. Das Programm etabliert eine strukturierte, auditierbare Security-Posture in der gesamten Cloud-Infrastruktur der Tallence AG — auf Basis von drei international anerkannten Frameworks: CIS (Center for Internet Security) Controls, ISO 27001 und dem BSI C5 (Cloud Computing Compliance Criteria Catalogue), dem deutschen Bundesstandard für Cloud-Sicherheit.

Das Programm läuft fortlaufend und umfasst 500+ individuelle Sicherheitskontrollen in den Bereichen Identity and Access Management, Datenschutz, Bedrohungserkennung, Logging und Incident Response. Es bildet die Grundlage für die C5-Attestierungsbereitschaft der Tallence AG.

Herausforderung

Die Tallence AG betreibt Cloud-Infrastruktur für Enterprise-Kunden mit strengen regulatorischen und vertraglichen Sicherheitsanforderungen. Mit wachsendem Cloud-Footprint wurde ein formalisiertes, auditierbares Sicherheitsprogramm zur geschäftskritischen Anforderung — nicht nur zur technischen Best Practice.

Die Herausforderung war dreifach: 500+ Kontrollen über drei sich überschneidende Frameworks (CIS, ISO 27001, BSI C5) ohne Doppelarbeit zu mappen; diese Kontrollen so zu implementieren, dass sie sowohl technisch durchsetzbar als auch für Auditoren lesbar sind; und dies ohne Unterbrechung bestehender Workloads oder Entwicklungsgeschwindigkeit.

Eine zusätzliche Komplexität war die BSI-C5-Attestierungsanforderung. C5 ist ein deutschspezifischer Standard mit differenzierten Anforderungen an Datenresidenz, Schlüsselmanagement und Lieferkettentransparenz, die über CIS und ISO 27001 allein hinausgehen.

Rolle

Als Senior Cloud Architect verantworte ich das technische Design und die Umsetzung des Sicherheitsprogramms. Meine Aufgaben umfassen:

  • Design des Control-Framework-Mappings über CIS, ISO 27001 und BSI C5
  • Implementierung detektiver Kontrollen via AWS Security Hub, GuardDuty, Config und CloudTrail
  • Definition präventiver Kontrollen durch IAM-Policies, SCPs und KMS-Schlüsselmanagement
  • Deployment von Amazon Inspector für kontinuierliches Vulnerability-Assessment auf EC2- und Container-Workloads
  • Konfiguration von AWS Macie für Sensitive-Data-Discovery und -Klassifizierung
  • Entwicklung von Terraform-Modulen für die gesamte Security-Infrastruktur zur Sicherstellung von Reproduzierbarkeit und Auditierbarkeit
  • Koordination mit externen Auditoren und dem Compliance-Team der Tallence AG für C5-Attestierungsnachweise

Das 6-köpfige Team umfasst Cloud-Engineers, einen Compliance-Spezialisten und einen Security-Analysten.

Vorgehen

Das Programm folgt einem strukturierten, phasenbasierten Umsetzungsmodell:

Phase 1 — Kontrollinventar und Gap-Analyse: Mapping aller 500+ Kontrollen über die drei Frameworks, Identifikation von Überschneidungen und Erstellung eines einheitlichen Kontrollkatalogs. Jede Kontrolle wurde nach Implementierungstyp klassifiziert: präventiv, detektiv oder korrektiv.

Phase 2 — Detektive Kontrollen Baseline: Deployment von AWS Security Hub mit aktiviertem CIS AWS Foundations Benchmark und AWS Foundational Security Best Practices Standard. Aktivierung von GuardDuty in allen Accounts, Zentralisierung von CloudTrail in einem dedizierten Log-Archive-Account und Konfiguration von Config Rules für kontinuierliche Compliance-Evaluierung.

Phase 3 — Präventive Kontrollen und Datenschutz: Härtung von IAM-Policies und Implementierung von SCPs zur Durchsetzung von Least-Privilege-Zugriff. Deployment von KMS Customer-Managed Keys für Data-at-Rest-Verschlüsselung über S3, RDS und EBS. Konfiguration von Macie für Sensitive-Data-Klassifizierung in S3-Buckets.

Phase 4 — Vulnerability-Management und C5-Readiness: Deployment von Amazon Inspector für kontinuierliches CVE-Scanning. Erstellung von C5-Attestierungsnachweispaketen für alle erforderlichen Kontrolldomänen. Laufende Remediation- und Evidenz-Refresh-Zyklen sind nun Teil des Standard-Betriebsrhythmus.

Entscheidungen

AWS Security Hub als zentrale Aggregationsschicht: Statt einer eigenen SIEM-Integration wählten wir Security Hub als primäre Control Plane für die Findings-Aggregation. Dies reduzierte die Integrationskomplexit und lieferte Out-of-the-Box-Mappings zu CIS- und NIST-Standards, die direkt mit unseren Framework-Anforderungen übereinstimmten.

Customer-Managed KMS Keys statt AWS-Managed Keys: Für die C5-Attestierung ist der Nachweis von Schlüsselmanagement-Souveränität eine harte Anforderung. Wir implementierten Customer-Managed KMS Keys mit expliziten Key-Policies und CloudTrail-Logging für alle Schlüsselnutzungen — und liefern damit den Audit-Trail, den BSI C5 und ISO 27001 Annex A.10 fordern.

Terraform für die gesamte Security-Infrastruktur: Alle Sicherheitskontrollen sind in Terraform kodifiziert. Dies stellt sicher, dass die Security-Konfiguration versioniert, peer-reviewed und reproduzierbar ist — essenziell für Audit-Nachweise und zur Vermeidung von Konfigurationsdrift zwischen Umgebungen.

Einheitlicher Kontrollkatalog statt Framework-für-Framework-Implementierung: CIS, ISO 27001 und C5 sequenziell zu implementieren hätte redundante Arbeit und inkonsistente Abdeckung erzeugt. Wir erstellten vorab einen einheitlichen Kontrollkatalog, der jede technische Kontrolle allen anwendbaren Framework-Anforderungen zuordnet — eine einzige Implementierung erfüllt damit mehrere Standards gleichzeitig.

Ergebnisse

Das Programm hat messbare Fortschritte bei den Sicherheits- und Compliance-Zielen der Tallence AG erzielt:

  • 500+ Sicherheitskontrollen implementiert und über CIS, ISO 27001 und BSI C5 gemappt
  • C5-Attestierungsbereitschaft in allen erforderlichen Kontrolldomänen erreicht — der deutsche Bundesstandard für Cloud-Sicherheit
  • ISO 27001 Kontrollabdeckung als Grundlage für die formale Zertifizierung etabliert
  • AWS Security Hub aggregiert Findings über alle Accounts mit kontinuierlich getracktem CIS Foundations Benchmark Compliance-Score
  • Amazon GuardDuty liefert 24/7-Bedrohungserkennung in allen AWS-Accounts
  • 6-köpfiges Team setzt das Programm um und erhält dabei die bestehende Entwicklungsgeschwindigkeit aufrecht
  • Zentralisiertes CloudTrail und Config liefern einen vollständigen, manipulationssicheren Audit-Trail für alle Infrastrukturänderungen

Mehr über meinen Hintergrund, meine Zertifizierungen und meine Arbeitsweise erfahren Sie auf der Über-mich-Seite.

Über mich