Überblick
Der Kurs Security Engineering on AWS richtet sich an Cloud-Ingenieure und IT-Sicherheitsexperten, die AWS-Umgebungen sicher entwerfen, konfigurieren und betreiben möchten. Teilnehmende erwerben praxisnahe Kenntnisse zu zentralen AWS-Sicherheitsdiensten und Sicherheitskonzepten, darunter Identitäts- und Zugriffsmanagement (IAM), Netzwerksicherheit, Verschlüsselung, Sicherheitsüberwachung, Bedrohungsmodellierung und Compliance. Der Kurs zeigt, wie das Shared-Responsibility-Modell von AWS in der Praxis umgesetzt wird und wie eine widerstandsfähige Sicherheitsarchitektur nach dem Defense-in-Depth-Prinzip aufgebaut werden kann. Teilnehmende lernen, AWS-Workloads so zu konfigurieren, dass Sicherheitsvorfälle frühzeitig erkannt werden und eine strukturierte Reaktion möglich ist.
Kursinhalte & Lernziele
IAM und Zugriffsmanagement bilden das erste und grundlegendste Sicherheitsthema. Ohne ein korrektes Berechtigungskonzept sind alle anderen Sicherheitsmaßnahmen geschwächt. Dieser Block behandelt sowohl die technische Konfiguration von IAM als auch strategische Konzepte für großangelegte AWS-Landschaften.
- IAM-Policies, Inline-Policies und verwaltete Richtlinien erstellen und systematisch testen
- IAM-Rollen für EC2-Instanzen, Lambda-Funktionen und Cross-Account-Zugriff konfigurieren
- AWS Organizations und Service Control Policies zur zentralen Berechtigungssteuerung einsetzen
- IAM Access Analyzer zur Erkennung unbeabsichtigter und übermäßiger Berechtigungen nutzen
- Multi-Factor-Authentifizierung und federated Identity mit AWS IAM Identity Center einrichten
Netzwerksicherheit und Perimeterschutz ist der zweite thematische Block. AWS-Netzwerke müssen so gestaltet sein, dass laterale Bewegungen eines Angreifers und unkontrollierter Datenabfluss verhindert werden. Teilnehmende entwerfen VPC-Architekturen nach bewährten Sicherheitsprinzipien.
- VPCs mit öffentlichen, privaten und isolierten Subnetzen sowie korrekte Routing-Tabellen konfigurieren
- Security Groups und Network Access Control Lists granular und konsistent einrichten
- AWS WAF und AWS Shield für den Schutz von Webapplikationen und APIs konfigurieren
- VPN-Verbindungen und AWS Direct Connect sicher einrichten und überwachen
- AWS PrivateLink und VPC Endpoints für sicheren Service-Zugriff ohne öffentliches Internet nutzen
Datenschutz und Verschlüsselung behandelt den dritten Sicherheitsbereich. AWS bietet umfangreiche native Verschlüsselungsdienste, die konsequent und durchgängig genutzt werden sollten, um Daten sowohl im Ruhezustand als auch bei der Übertragung zu schützen.
- AWS Key Management Service für symmetrische und asymmetrische Schlüssel einsetzen und verwalten
- S3-Serverseitige Verschlüsselung, Bucket-Policies und Object-Lock für Datenschutz konfigurieren
- AWS Certificate Manager für TLS-Zertifikate erstellen, erneuern und integrieren
- AWS Secrets Manager und SSM Parameter Store für Zugangsdaten und Konfigurationswerte nutzen
- Verschlüsselung auf RDS, EBS und anderen Storage-Diensten aktivieren und überprüfen
Monitoring, Bedrohungserkennung und Incident Response ist der vierte Block und behandelt die operative Sicherheit laufender AWS-Umgebungen. Ohne aktives Monitoring sind selbst gut konfigurierte Systeme blind für aktive Angriffe.
- AWS CloudTrail für vollständiges API-Audit aktivieren, zentral speichern und auswerten
- AWS Config für Compliance-Monitoring, Drifterkennung und automatische Remediation einrichten
- Amazon GuardDuty für intelligente, maschinell gestützte Bedrohungserkennung aktivieren und testen
- AWS Security Hub als zentrales Dashboard für Sicherheitsbefunde aller Dienste nutzen
- Amazon Detective für forensische Untersuchungen nach Sicherheitsvorfällen einsetzen
Im praktischen Teil des Kurses setzen Teilnehmende die theoretischen Inhalte in einer AWS-Übungsumgebung um. Sie erstellen IAM-Policies nach dem Least-Privilege-Prinzip für eine dreistufige Webapplikation, konfigurieren Cross-Account-Rollen für einen Audit-Account und bauen VPCs mit öffentlichen, privaten und isolierten Subnetzen auf. S3-Buckets werden mit Verschlüsselung, öffentlichem Zugriffsblock und Logging abgesichert. KMS-Customer-Managed-Keys werden für EBS-Verschlüsselung mit aktivierter Schlüsselrotation eingerichtet. GuardDuty-Befunde werden analysiert, Security Hub-Ergebnisse aus mehreren Quellen konsolidiert und AWS Config-Regeln für nicht konforme Ressourcen automatisch remediert. Ein vollständiges Incident-Response-Playbook wird für einen simulierten Credential-Leak durchgeführt. WAF-Regelgruppen gegen SQL-Injection und Cross-Site-Scripting werden für einen Application Load Balancer eingerichtet. Abschließend dokumentieren Teilnehmende eine vollständige Sicherheitsarchitektur nach dem AWS Well-Architected Framework.
Lernziele:
- Das AWS Shared-Responsibility-Modell verstehen und in realen Projekten konsequent anwenden
- IAM-Richtlinien, Rollen und Berechtigungsebenen nach dem Least-Privilege-Prinzip konfigurieren
- Netzwerksicherheit in AWS mit Security Groups, NACLs und VPC-Design umsetzen
- Daten in Ruhe und bei der Übertragung mit AWS KMS, ACM und Secrets Manager schützen
- AWS CloudTrail, CloudWatch und AWS Config für vollständiges Audit und Monitoring einsetzen
- Bedrohungserkennungsdienste wie GuardDuty, Inspector und Security Hub aktivieren und auswerten
- Sicherheitsrichtlinien und Service Control Policies in AWS Organizations zentral durchsetzen
- Compliance-Anforderungen mit AWS Artifact und Config Rules technisch nachweisen und überwachen
- Incident-Response-Prozesse für AWS-Umgebungen planen, dokumentieren und durchführen
- Penetrationstests und Sicherheitsaudits für AWS-Workloads vorbereiten und strukturieren
- Best Practices für sichere CI/CD-Pipelines und DevSecOps auf AWS anwenden
- Sicherheitsarchitekturen für reale Bedrohungsmodelle vollständig dokumentieren
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an IT-Fachleute mit AWS-Grundkenntnissen, die sich auf Cloud-Sicherheit spezialisieren oder ihre AWS-Kenntnisse durch Security-Expertise vertiefen möchten.
- Cloud-Ingenieure und DevOps-Engineers, die Sicherheitsverantwortung übernehmen
- IT-Sicherheitsberater, die AWS-Umgebungen auditieren und strukturiert absichern
- DevSecOps-Engineers, die Sicherheit in CI/CD-Pipelines integrieren
- Senior Cloud Engineers mit zunehmendem Fokus auf Sicherheitsarchitekturen
- AWS Solution Architects, die Sicherheitskonzepte eigenverantwortlich entwerfen
Grundkenntnisse in AWS (AWS Certified Cloud Practitioner oder Associate-Level-Kenntnisse) werden vorausgesetzt. Darüber hinaus sind Grundkenntnisse in Netzwerktechnik und IT-Sicherheitskonzepten erforderlich. Vor Kursbeginn findet ein individuelles Beratungsgespräch statt, das Vorkenntnisse einschätzt und den Lernplan anpasst. Englischkenntnisse sind notwendig, da AWS-Dokumentation und Prüfungen auf Englisch vorliegen.
Ablauf & Abschluss
Der Kurs wird überwiegend als Combined Learning durchgeführt: Seminarblöcke wechseln sich mit begleiteten Praxisphasen in AWS-Übungsumgebungen ab. Der hohe Praxisanteil ist zentral, da Sicherheitskompetenz auf AWS nicht aus theoretischem Lesen, sondern aus dem Konfigurieren, Testen und Analysieren realer Dienste entsteht. Trainer mit AWS-Sicherheitserfahrung und Projektreferenzen begleiten die Teilnehmenden durch die Laboraufgaben und erläutern Best Practices. Online-Seminarformate sind verfügbar; auf Anfrage können Teilzeit-Termine vereinbart werden.
Die Weiterbildung dauert in der Vollzeitvariante üblicherweise mehr als eine Woche bis zu einem Monat; je nach Intensitätsmodell und Vorkenntnissen kann die Dauer bis zu drei Monate betragen. Der Kurs deckt die wesentlichen Inhalte des AWS-Security-Specialty-Lernpfads ab und eignet sich als Vorbereitung auf weiterführende AWS-Sicherheitszertifizierungen. Alle Laborübungen orientieren sich an aktuellen AWS-Diensten und -Konfigurationsempfehlungen.
Teilnehmende erhalten nach Abschluss ein trägerinternes Lehrgangszertifikat des Anbieters. Die Weiterbildung bereitet auf weiterführende AWS-Sicherheitszertifizierungen vor und vermittelt die Kenntnisse, die für den produktiven Sicherheitsbetrieb von AWS-Umgebungen unmittelbar erforderlich sind. Das international anerkannte Herstellerzertifikat ist über eine gesonderte AWS-Prüfung bei einem zugelassenen Prüfungszentrum ablegbar.
Nutzen & Perspektiven
Cloud-Sicherheit ist eine der am stärksten nachgefragten Spezialisierungen im IT-Arbeitsmarkt. Da immer mehr Unternehmen geschäftskritische Workloads nach AWS migrieren, steigt der Bedarf an Fachkräften, die AWS-Umgebungen sicher gestalten, kontinuierlich überwachen und im Ernstfall strukturiert reagieren können. Wer den Kurs abschließt, ist in der Lage, Sicherheitsarchitekturen eigenständig zu entwerfen, Schwachstellen frühzeitig zu erkennen und Sicherheitsrichtlinien technisch konsequent durchzusetzen. Der Kurs legt besonderen Wert auf den Übergang von Theorie zu Praxis: Anstatt Sicherheitsrichtlinien nur zu kennen, können Teilnehmende diese nach dem Training in realen AWS-Projekten direkt umsetzen. Das Gelernte lässt sich sofort im Berufsalltag einsetzen, ob in Cloud-Migrationsprojekten, bei internen Sicherheitsaudits oder in der laufenden Betriebssicherung komplexer AWS-Landschaften. Bei AZAV-zertifizierten Anbietern ist die Weiterbildung in der Regel über einen Bildungsgutschein der Agentur für Arbeit oder des Jobcenters förderbar. Darüber hinaus kommen je nach individueller Situation das Qualifizierungschancengesetz, Leistungen zur Teilhabe am Arbeitsleben oder Förderungen der Deutschen Rentenversicherung in Betracht.
Häufig gestellte Fragen (FAQ)
Auf welche AWS-Zertifizierung bereitet der Kurs vor?
Der Kurs vermittelt die Kenntnisse für den produktiven Sicherheitsbetrieb von AWS-Umgebungen und eignet sich als Vorbereitung auf die AWS Certified Security Specialty-Prüfung. Das Zertifikat wird über eine gesonderte Prüfung bei einem zugelassenen AWS-Prüfungszentrum abgelegt.
Was sind die Hauptthemen des Kurses?
Der Kurs behandelt IAM und Berechtigungsmanagement, Netzwerksicherheit in VPCs, Datenverschlüsselung mit KMS und ACM, Monitoring und Bedrohungserkennung mit GuardDuty und Security Hub sowie Incident-Response-Prozesse auf AWS. Alle Themen werden in praxisnahen Laborübungen vertieft.
Welche Vorkenntnisse brauche ich?
Grundkenntnisse in AWS (mindestens Cloud Practitioner, besser Associate-Level) sowie Grundkenntnisse in Netzwerktechnik und IT-Sicherheit werden vorausgesetzt. Englischkenntnisse sind notwendig, da AWS-Dokumentation und Prüfungen auf Englisch vorliegen.
Ist der Kurs auch für DevOps-Engineers geeignet?
Ja, der Kurs ist ausdrücklich für DevSecOps-Engineers und Cloud-Ingenieure konzipiert, die Sicherheitsverantwortung übernehmen oder Sicherheit in CI/CD-Pipelines integrieren möchten. Best Practices für sichere Deployments auf AWS sind Teil des Kursinhalts.
Kann der Kurs gefördert werden?
Bei AZAV-zertifizierten Anbietern ist der Kurs in der Regel über einen Bildungsgutschein der Agentur für Arbeit oder des Jobcenters förderbar. Je nach Situation kommen auch das Qualifizierungschancengesetz oder Förderungen der Deutschen Rentenversicherung in Betracht.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Konstruktion, CAD und industrielle Fertigung sind durchgehend gefragt — die Transformation Richtung E-Mobilität, Energietechnik und Industrie 4.0 schafft zusätzliche Spezialisten-Rollen. CAD-/Simulation-Software-Kenntnisse sind Türöffner.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Ingenieur/Ingenieurin für Systems Engineering1.019 Stellen
- Systems Engineering (weiterführend)1.019 Stellen
- Verwaltungsinformatik (grundständig)112 Stellen
- Cloud Security Engineer103 Stellen
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin97 Stellen
- IT-Sicherheitsberater (AWS)1 Stellen