Leitfaden zur GoBD-Compliance auf AWS

Deutsche Unternehmen, die ihre Finanzbuchhaltung in die Cloud verlagern, müssen die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern (GoBD) erfüllen. Die GoBD definieren, wie elektronische Buchführungssysteme für Betriebsprüfungen beschaffen sein müssen.

Dieser Leitfaden zeigt, wie Sie AWS-Services konfigurieren, um die technischen Voraussetzungen für GoBD-Compliance zu erfüllen. Im Rahmen des AWS Shared Responsibility Model ist AWS für die Sicherheit der Cloud-Infrastruktur verantwortlich, während Sie für die korrekte Konfiguration der Services, Ihre Geschäftsprozesse und die Verfahrensdokumentation verantwortlich sind. Passen Sie die Empfehlungen an Ihre Risikobewertung an. AWS kann keine Rechtsberatung bieten – die endgültige Beurteilung der Compliance obliegt Ihren Wirtschaftsprüfern und der Finanzverwaltung.

GoBD-Kernanforderungen

Die GoBD definieren fünf zentrale Anforderungen:

• Nachvollziehbarkeit: Dritte müssen Geschäftsvorfälle verstehen können
• Vollständigkeit: Alle Transaktionen erfassen
• Zeitgerechte Buchungen: Prompte Dokumentation
• Ordnung: Systematische Struktur
• Unveränderbarkeit: Keine unbemerkte Datenänderung

Zusätzlich benötigen Sie eine Verfahrensdokumentation und müssen der Finanzverwaltung Datenzugriff für Prüfungen ermöglichen.

Unveränderbarkeit mit S3 Object Lock und KMS

Unveränderbarkeit ist die wichtigste technische GoBD-Anforderung. Amazon S3 Object Lock bietet Write-Once-Read-Many (WORM) Funktionalität im COMPLIANCE-Modus. Objekte können vor Ablauf der Retention-Periode nicht gelöscht oder überschrieben werden – selbst nicht vom Root-User.

Verschlüsselung mit AWS KMS Customer Managed Keys

Nutzen Sie AWS Key Management Service (AWS KMS) Kunden verwaltete Schlüssel für die Verschlüsselung GoBD-relevanter Daten. AWS KMS führt alle kryptographischen Operationen in Hardware Security Modules durch, die nach FIPS 140-3 Security Level 3 [EN, Extern] validiert sind. Die Architektur von AWS KMS ist so gestaltet, dass Schlüssel im Klartext nicht exportiert werden können und AWS-Mitarbeiter keinen Zugriff auf Klartextschlüssel haben. Data Encryption Keys (DEKs) werden temporär im Speicher der HSMs erstellt und nach der Verschlüsselungsoperation gelöscht werden. Weitere Details zur kryptographischen Architektur von KMS finden Sie in der technischen Dokumentation.

Durch die Verwendung von DEKs für jede Verschlüsselungsoperation ist ein „key wear-out“ des Kunden verwaltete Schlüssels so gut wie ausgeschlossen, da dieser nur zur Verschlüsselung und Entschlüsselung der DEKs verwendet wird, nicht aber für die eigentlichen Daten selbst. Eine häufigere Schlüsselrotation als die automatische jährliche Rotation ist daher nur bei spezifischen Compliance-Anforderungen notwendig (siehe AWS Security Blog zur Schlüsselrotation [EN]). Kunden verwaltete Schlüssel ermöglichen granulare Zugriffskontrolle durch Schlüsselrichtlinien, die präzise definieren, welche Principals Schlüssel für welche Operationen nutzen dürfen. Alle Schlüsselnutzungen werden in AWS CloudTrail protokolliert. Kunden verwaltete Schlüssel bieten zudem die Möglichkeit, Schlüssel zu deaktivieren oder Löschungen mit einer Wartezeit zu planen.

CloudFormation Template für GoBD-konforme S3-Buckets

Hier ist ein AWS CloudFormation Template für einen GoBD-konformen S3-Bucket:

AWSTemplateFormatVersion: '2010-09-09'
Resources:
  GoBDBucket:
    Type: AWS::S3::Bucket
    DeletionPolicy: Retain
    UpdateReplacePolicy: Retain
    Properties:
      BucketName: !Sub '${AWS::StackName}-gobd-steuerbelege'
      ObjectLockEnabled: true
      ObjectLockConfiguration:
        Rule:
          DefaultRetention:
            Mode: COMPLIANCE
            Years: 10
      VersioningConfiguration:
        Status: Enabled
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: 'aws:kms'
              KMSMasterKeyID: !GetAtt KMSKey.Arn
      LifecycleConfiguration:
        Rules:
          - Id: GoBD-Lifecycle-Optimierung
            Status: Enabled
            Transitions:
              - TransitionInDays: 90
                StorageClass: INTELLIGENT_TIERING
              - TransitionInDays: 365
                StorageClass: GLACIER_IR
              - TransitionInDays: 1095
                StorageClass: DEEP_ARCHIVE

  KMSKey:
    Type: AWS::KMS::Key
    DeletionPolicy: Retain
    UpdateReplacePolicy: Retain
    Properties:
      Description: KMS CMK für GoBD-Verschlüsselung
      EnableKeyRotation: true
      KeyPolicy:
        Version: '2012-10-17'
        Statement:
          - Sid: Enable IAM User Permissions
            Effect: Allow
            Principal:
              AWS: !Sub 'arn:aws:iam::${AWS::AccountId}:root'
            Action: 'kms:*'
            Resource: '*'

Regionauswahl: Für deutsche Unternehmen empfiehlt sich eu-central-1 (Frankfurt) als primäre Region. Für Cross-Region Replication nutzen Sie europäische Regionen wie eu-west-1 (Irland), eu-north-1 (Stockholm) oder eu-south-1 (Mailand).

Datenbank-Sicherheit und Backup-Strategien

Nutzen Sie Amazon Relational Database Service (Amazon RDS) oder Amazon Aurora mit KMS Kunden verwaltete Schlüsseln. Speichern Sie Datenbank-Credentials mit AWS Secrets Manager für automatische Rotation. Für Konfigurationsparameter ohne Rotation-Anforderung nutzen Sie AWS Systems Manager Parameter Store.

AWS Backup mit Air-Gapped Vault

AWS Backup Logically Air-Gapped Vault bietet zusätzlichen Schutz für hochsensible Daten und Ransomware-Szenarien. Air-Gapped Vaults erstellen unveränderbare Backup-Kopien, die standardmäßig gesperrt und durch Verschlüsselung mit AWS-eigenen Schlüsseln logisch isoliert sind. Dies verhindert, dass privilegierte Benutzer Backups vor Ablauf der Retention-Periode löschen – ein kritischer Schutz gegen Insider-Bedrohungen und Ransomware.

Aktivieren Sie Amazon GuardDuty Malware Protection for AWS Backup, um Backups automatisch auf Malware zu scannen. Dies identifiziert saubere Recovery Points und verhindert die Wiederherstellung von Daten, die Malware enthalten.

Lückenlose Audit-Trails

AWS CloudTrail protokolliert alle API-Aufrufe in Ihrer AWS-Umgebung. Speichern Sie CloudTrail-Logs unveränderbar in einem separaten S3-Bucket mit Object Lock. Aktivieren Sie Log File Validation für kryptografische Integritätsprüfung.

Nutzen Sie Amazon CloudWatch Logs mit mindestens 10-jähriger Retention für Anwendungs-Logs. Die GoBD fordern Verfügbarkeit aller Logs für den gesamten Aufbewahrungszeitraum. Für kosteneffiziente Langzeitspeicherung großer Log-Mengen nutzen Sie die CloudWatch Logs Infrequent Access Storage Class.

Zugriffskontrolle: Defense-in-Depth

Implementieren Sie einen Defense-in-Depth-Ansatz mit mehreren Sicherheitsebenen. Dieser kombiniert verschiedene Kontrollebenen für umfassenden Schutz:

Temporäre Credentials nutzen

Langfristige Zugriffsschlüssel (Long-term Access Keys) sind häufige Angriffsziele. Unbeabsichtigt offengelegte Anmeldeinformationen gehören zu den Hauptursachen für Datenverletzungen. Nutzen Sie stattdessen:

• IAM-Rollen für Anwendungen (temporäre Credentials)
• AWS IAM Identity Center (ehemals AWS SSO) für Benutzer
• IAM Access Analyzer zur Identifikation ungenutzter Berechtigungen

IAM Access Analyzer und Policy Autopilot

IAM Access Analyzer analysiert tatsächliche Zugriffsmuster basierend auf CloudTrail-Logs und identifiziert External Access, Unused Access und Policy-Probleme. IAM Policy Autopilot generiert automatisch Least-Privilege-Policies in Ihrem Infrastructure-as-Code. Nutzen Sie beide Tools komplementär: Policy Autopilot präventiv während der Entwicklung, Access Analyzer reaktiv für kontinuierliche Überwachung.

Perimeterschutz mit Service Control Policies und Resource Control Policies

Implementieren Sie einen Data Perimeter mit mehreren Policy-Ebenen:

Service Control Policies (SCPs) kontrollieren, welche AWS-Services und Aktionen in Accounts ausgeführt werden können. SCPs verhindern auch, dass kritische Security-Services wie CloudTrail oder Config deaktiviert werden, und schützen vor unbeabsichtigtem Löschen von Ressourcen.

Resource Control Policies (RCPs) setzen Berechtigungsgrenzen auf Ressourcenebene und verhindern externen Zugriff auf GoBD-relevante Ressourcen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyExternalAccess",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalOrgID": "o-xxxxxxxxxx"
        },
        "BoolIfExists": {
          "aws:PrincipalIsAWSService": "false"
        }
      }
    }
  ]
}

Permission Boundaries setzen zusätzliche Grenzen auf IAM-Ebene und verhindern Privilege Escalation.

Diese Defense-in-Depth-Strategie kombiniert SCPs (Account-Ebene), RCPs (Ressourcen-Ebene), Permission Boundaries (User-Ebene) und IAM Richtlinien (Granulare Berechtigungen).

Sicherheitsüberwachung und Incident Response

AWS Security Hub ist eine Cloud Native Application Protection Platform (CNAPP), die Sicherheitssignale aus verschiedenen Quellen aggregiert und korreliert:

• AWS Security Hub CSPM: Überwacht Ressourcen auf Fehlkonfigurationen
• Amazon GuardDuty: Erkennt Bedrohungen wie kompromittierte Credentials und Ransomware-Angriffe
• Amazon Inspector: Identifiziert Schwachstellen in EC2, Containern und Lambda
• Amazon Macie: Entdeckt und schützt sensible Daten wie PII

Ein zentraler Bestandteil ist Amazon GuardDuty mit seinen spezialisierten Protection Plans:

GuardDuty Protection Plans

GuardDuty bietet verschiedene Protection Plans, die Sie basierend auf Ihren Bedrohungsszenarien aktivieren sollten:

• S3 Protection: Überwacht S3-Zugriffsmuster auf verdächtige Aktivitäten
• EKS Protection: Erkennt Bedrohungen in Kubernetes-Clustern
• RDS Protection: Identifiziert verdächtige Datenbank-Logins
• Lambda Protection: Überwacht Lambda-Funktionen auf Anomalien
• Malware Protection: Scannt S3-Objekte und Backups auf Malware

Evaluieren Sie, welche Protection Plans für Ihre GoBD-relevanten Workloads sinnvoll sind.

Schwachstellenmanagement und Incident Response

Für Schwachstellenmanagement und Incident Response stehen Ihnen verschiedene Optionen zur Verfügung:

Security Hub mit Amazon EventBridge und AWS Lambda: Automatisieren Sie Reaktionen auf Sicherheitsereignisse durch EventBridge Rules, die Lambda-Funktionen triggern. Diese Lösung bietet Flexibilität und volle Kontrolle über Ihre Incident-Response-Prozesse.

AWS Security Incident Response: Ein verwalteter Service, der automatisierte Überwachung, KI-gestützte Untersuchung und Containment-Funktionen mit 24/7-Zugang zu AWS Security Engineers kombiniert. Dieser Service eignet sich besonders, wenn Sie zusätzliche Expertise und Unterstützung bei komplexen Sicherheitsvorfällen benötigen. Außerdem ist er ohne zusätzliche Kosten im Enterprise Support Plan enthalten.

Die Wahl der richtigen Lösung hängt von Ihren spezifischen Anforderungen, vorhandenen Ressourcen und Ihrer Risikobewertung ab.

Kontinuierliche Compliance-Überwachung

AWS Config überwacht kontinuierlich Ihre Infrastruktur-Konfiguration und erkennt Abweichungen von GoBD-Anforderungen. Nutzen Sie Config Rules, um automatisch zu prüfen, ob Ihre Ressourcen den GoBD-Anforderungen entsprechen. Erstellen Sie Custom Config Rules für spezifische GoBD-Anforderungen wie Object Lock Compliance.

Prüfungsfähigkeit mit Glue und Athena

Die Finanzverwaltung fordert, dass Ihre Daten maschinell auswertbar und exportierbar sind. AWS Glue erstellt einen Data Catalog Ihrer steuerrelevanten Daten, während Amazon Athena SQL-Abfragen direkt auf Ihren S3-Daten ermöglicht. Erstellen Sie vordefinierte Named Queries für typische Prüfungsszenarien wie Vollständigkeitsprüfungen oder Umsatzstatistiken.

Verfahrensdokumentation

Die GoBD fordern eine umfassende Verfahrensdokumentation, die folgende Bereiche abdecken sollte:

1. Systemübersicht: Architekturdiagramm (siehe AWS Security Reference Architecture)
2. Datenklassifizierung: Definition steuerrelevanter Daten und Tagging-Strategie
3. Speicherkonfiguration: S3 Object Lock, KMS Kunden verwaltete Schlüssel, Lifecycle Richtlinien
4. Zugriffskontrolle: IAM-Rollen, SCPs, RCPs, Permission Boundaries
5. Audit-Trail: CloudTrail, Config, CloudWatch Logs
6. Backup und Recovery: Backup-Zeitpläne, Air-Gapped Vaults, Disaster Recovery Strategie
7. Export-Prozeduren: Athena-Abfragen für Prüfungen
8. Security Monitoring: Security Hub, GuardDuty, Incident Response

Speichern Sie diese Dokumentation selbst in einem versionierten S3-Bucket mit Object Lock.

Zusammenfassung

GoBD-konforme Systeme auf AWS erfordern einen ganzheitlichen Security-Ansatz:

Unveränderbarkeit: S3 Object Lock im COMPLIANCE-Modus und AWS Backup Air-Gapped Vault bilden das Fundament.

Verschlüsselung: KMS Customer Managed Keys mit FIPS 140-3 Level 3 validierten HSMs bieten hohe Sicherheit.

Defense-in-Depth: SCPs, RCPs, Permission Boundaries und IAM Richtlinien für mehrschichtige Zugriffskontrolle.

Threat Detection: Security Hub, GuardDuty mit relevanten Protection Plans und ggf. Security Incident Response für proaktive Bedrohungsabwehr.

Temporäre Credentials: IAM-Rollen und IAM Identity Center für temporäre Zugriffsrechte statt langfristiger Access Keys.

Audit-Trails: CloudTrail, Config und CloudWatch Logs unveränderbar speichern.

Diese Empfehlungen basieren auf dem AWS Shared Responsibility Model und stellen keine Rechtsberatung dar. Arbeiten Sie mit Ihren Wirtschaftsprüfern zusammen, um Ihre spezifische Implementierung zu validieren.

Über die Autorin

Desiree Brunner ist Security Specialist Solutions Architect im AWS EMEA Security & Compliance Team. Sie unterstützt Kunden – insbesondere aus regulierten Branchen – dabei, risikobasierte Cloud-Architekturen zu entwickeln und Security-Abwägungen zu treffen. Mit ihrem Hintergrund in DevOps und Platform Engineering bringt sie praktische Erfahrung in die Gestaltung von Security-Lösungen ein. Neben ihrer Arbeit mit Kunden teilt sie ihr Wissen regelmäßig auf AWS-Events und unterstützt Teams dabei, ihre Cloud-Security-Strategie umzusetzen.

Die Beispiel-Konfigurationen in diesem Leitfaden dienen als Orientierung. Testen Sie alle Konfigurationen gründlich in Nicht-Produktionsumgebungen, bevor Sie sie produktiv einsetzen.