Opsio - Cloud and AI Solutions
5 min read· 1,171 words

Terraform vs. CloudFormation: Leitfaden für Admin-Lösungen

Veröffentlicht: ·Aktualisiert: ·Geprüft vom Opsio-Ingenieurteam
Johan Carlsson
Johan Carlsson

Country Manager, Sweden

AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia

Warum die Werkzeugwahl über Ihre gesamte Cloud-Governance entscheidet

Infrastructure as Code (IaC) ist längst kein optionales Feature mehr – es ist die Grundlage jeder skalierbaren, revisionssicheren und compliance-konformen Cloud-Umgebung. Für Administratoren und Architekten im DACH-Raum stellt sich dabei unweigerlich die Frage: Terraform oder AWS CloudFormation? Beide Werkzeuge lösen dasselbe Kernproblem – die deklarative Beschreibung von Infrastruktur – unterscheiden sich aber fundamental in Reichweite, Ökosystem und regulatorischer Eignung. Wer diese Wahl ohne Analyse trifft, riskiert technische Schulden, Lock-in-Effekte und Lücken in der Nachweispflicht gegenüber BSI Grundschutz, DSGVO und NIS2.

Begriffsklärung: Was ist Terraform, was ist CloudFormation?

Terraform (HashiCorp / IBM)

Terraform ist ein quelloffenes IaC-Werkzeug, das von HashiCorp entwickelt und seit 2023 unter der Business Source License (BSL) veröffentlicht wird. Es verwendet die HashiCorp Configuration Language (HCL) und arbeitet provider-agnostisch: Ein einziger Terraform-Konfigurationsbaum kann gleichzeitig Ressourcen bei AWS, Microsoft Azure, Google Cloud, on-premises VMware-Umgebungen und Hunderten weiteren Plattformen verwalten. Der Zustandsabgleich erfolgt über eine State-Datei, die lokal oder in einem Remote-Backend (z. B. S3, Terraform Cloud, GitLab-Managed State) gespeichert wird. Terraform Enterprise und HCP Terraform bieten darüber hinaus Audit-Logs, rollenbasierte Zugriffssteuerung (RBAC) und Sentinel-Richtlinien für Policy as Code.

AWS CloudFormation

CloudFormation ist der native IaC-Dienst von Amazon Web Services. Vorlagen werden in JSON oder YAML verfasst und beschreiben sogenannte Stacks – logische Gruppierungen von AWS-Ressourcen. Da CloudFormation tief in die AWS-Servicelandschaft integriert ist, werden neue AWS-Dienste hier in der Regel zuerst unterstützt. Der Dienst ist für AWS-Kunden kostenlos; es fallen lediglich die Kosten der provisionierten Ressourcen an. AWS CDK (Cloud Development Kit) erlaubt es, CloudFormation-Vorlagen aus typsicheren Programmiersprachen wie TypeScript, Python oder Java zu generieren, was den Abstraktionsgrad erheblich steigert.

Kostenlose Expertenberatung

Brauchen Sie Unterstützung bei Terraform vs. CloudFormation: Leitfaden für Admin-Lösungen?

Unsere Cloud-Architekten unterstützen Sie bei Terraform vs. CloudFormation: Leitfaden für Admin-Lösungen — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.

Solution ArchitectKI-SpezialistSicherheitsexperteDevOps-Ingenieur
50+ zertifizierte IngenieureAWS Advanced Partner24/7 Support
Völlig kostenlos — keine VerpflichtungAntwort innerhalb 24h

Funktionsvergleich auf einen Blick

Kriterium Terraform AWS CloudFormation
Cloud-Abdeckung Multi-Cloud (AWS, Azure, GCP, On-Premises u. v. m.) Ausschließlich AWS
Sprache HCL (auch JSON möglich) YAML / JSON; CDK für Programmiersprachen
Zustandsverwaltung Explizite State-Datei (lokal oder Remote) Implizit durch AWS verwaltet
Modulwiederverwendung Terraform Registry, eigene Module Nested Stacks, CloudFormation Modules
Policy as Code Sentinel (Enterprise), OPA-Integration AWS Config Rules, Service Control Policies
Drift-Erkennung terraform plan, externe Tools (Driftctl) Natives Drift-Detection-Feature
Lizenzkosten Open Source (BSL); Enterprise kostenpflichtig Kostenlos (nur Ressourcenkosten)
Lernkurve Moderat (HCL, State-Konzepte) Gering bis moderat (YAML bekannt)
Kubernetes-Integration Terraform Kubernetes Provider, Helm Provider EKS Blueprints via CDK

Anwendungsfälle: Wann eignet sich welches Werkzeug?

Terraform bevorzugen, wenn …

  • Ihre Infrastruktur mehrere Cloud-Anbieter oder Hybrid-Umgebungen umfasst (z. B. AWS-Produktivumgebung + Azure Active Directory + on-premises NetApp).
  • Sie Kubernetes-Cluster mit Helm-Charts, Velero-Backups und externen Secrets-Managern als einheitlichen IaC-Baum verwalten möchten.
  • Ihr Team bereits mit HCL vertraut ist und Wiederverwendbarkeit über ein internes Modulregister anstrebt.
  • Sie Policy-as-Code mit Sentinel oder Open Policy Agent (OPA) durchsetzen müssen – etwa für NIS2-Nachweise oder BSI Grundschutz-Bausteine.
  • Eine Vendor-Unabhängigkeit strategisch wichtig ist, z. B. weil ein möglicher AWS-Ausstieg oder eine Multi-Cloud-Strategie geplant ist.

CloudFormation bevorzugen, wenn …

  • Ihre gesamte Infrastruktur ausschließlich auf AWS betrieben wird und kein Wechsel absehbar ist.
  • Sie von der nativen AWS-Integration profitieren möchten: Neue Dienste wie AWS Bedrock, GuardDuty Malware Protection oder AWS Verified Access werden hier oft vor Terraform unterstützt.
  • Das Team primär mit YAML arbeitet und den operativen Overhead einer State-Datei vermeiden möchte.
  • AWS CDK die bevorzugte Abstraktionsebene ist und Typsicherheit in TypeScript oder Python gewünscht wird.
  • Sie AWS Organizations mit StackSets über mehrere Konten und Regionen hinweg ausrollen möchten.

Regulatorische Anforderungen im DACH-Raum: DSGVO, BSI Grundschutz, NIS2

Für Unternehmen im deutschsprachigen Raum ist die Werkzeugwahl nicht allein eine technische, sondern auch eine compliance-relevante Entscheidung. Die folgenden Aspekte sollten in jede Evaluierung einfließen:

DSGVO und Datensouveränität

Terraform State-Dateien können sensible Ausgabewerte (z. B. Datenbankpasswörter, IAM-Schlüssel) im Klartext enthalten. Bei der Speicherung in S3 oder einem Remote-Backend muss sichergestellt sein, dass Server-Side Encryption (SSE-KMS) aktiviert ist, Bucket-Policies öffentlichen Zugriff unterbinden und die Region innerhalb der EU liegt. CloudFormation speichert keinen expliziten State, jedoch verbleiben Stackausgaben (Outputs) im AWS-Konto und sind über IAM-Richtlinien zu schützen. In beiden Fällen sind Zugriffskontrollen, Protokollierung via AWS CloudTrail und regelmäßige Zugriffsüberprüfungen Pflicht.

BSI Grundschutz

Der BSI IT-Grundschutz fordert unter anderem nachvollziehbare Änderungshistorien (OPS.1.1.3) und eine geregelte Konfigurationsverwaltung (CON.1). Beide Werkzeuge eignen sich für einen Git-basierten Workflow mit Pull-Request-Reviews, jedoch bietet Terraform durch sein explizites terraform plan-Artefakt eine besonders klare Vorschau auf Infrastrukturänderungen – ein Vorteil für Vier-Augen-Prinzip-Prozesse. CloudFormation Change Sets erfüllen dieselbe Funktion auf AWS-Seite.

NIS2-Richtlinie

Die NIS2-Richtlinie (umgesetzt in Deutschland durch das NIS2UmsuCG) verlangt von KRITIS-Betreibern und wichtigen Einrichtungen nachweisbare Risikomanagementmaßnahmen und Meldepflichten. IaC-Werkzeuge können hier als Evidenzlieferant dienen: Automatisierte Compliance-Scans mit Tools wie Checkov (für Terraform) oder cfn-nag (für CloudFormation) lassen sich in CI/CD-Pipelines integrieren und erzeugen maschinell auswertbare Prüfberichte.

Häufige Fallstricke und wie man sie vermeidet

Terraform: State-Drift und Berechtigungschaos

Der häufigste Produktionsfehler bei Terraform-Projekten ist ein inkonsistenter State: Ressourcen werden manuell in der AWS-Konsole geändert, ohne dass ein terraform import oder terraform refresh ausgeführt wird. Das Ergebnis sind unerwartete Planabweichungen oder im schlimmsten Fall versehentliche Löschungen. Abhilfe schafft eine strikte „IaC-only"-Policy für alle produktiven Umgebungen, durchgesetzt via Service Control Policies (SCPs) in AWS Organizations.

CloudFormation: Template-Größe und verschachtelte Stacks

CloudFormation-Vorlagen sind auf 1 MB (bei S3-Upload) begrenzt. Große Umgebungen erfordern verschachtelte Stacks oder StackSets, was die Abhängigkeitsverwaltung komplex macht. Ohne klares Modularisierungskonzept entstehen monolithische Templates, die schwer zu testen und zu versionieren sind. AWS CDK mildert dieses Problem, erfordert aber zusätzliche Entwicklerkompetenz.

Gemeinsame Fallstricke beider Werkzeuge

  • Fehlende Geheimnisverwaltung: Passwörter und API-Schlüssel gehören in AWS Secrets Manager oder HashiCorp Vault – niemals in Klartextvariablen oder Template-Parameter ohne NoEcho.
  • Kein automatisiertes Testen: Infrastrukturcode sollte mit statischen Analysewerkzeugen (Checkov, tfsec, cfn-nag) und optionalen Integrationstests (Terratest) validiert werden.
  • Unklare Eigentümerschaft: Ohne eindeutige Tagging-Strategie und Modul-Eigentümerschaft wird IaC schnell zur unkontrollierten Ressourcensammlung.

Wie Opsio DACH-Unternehmen bei der IaC-Entscheidung begleitet

Opsio ist AWS Advanced Tier Services Partner mit der AWS Migration Competency sowie zertifizierter Partner von Microsoft und Google Cloud. Das Delivery-Center in Bangalore und das Hauptbüro in Karlstad, Schweden, bilden eine 24/7-NOC-Kapazität, die durch mehr als 50 zertifizierte Ingenieure – darunter CKA- und CKAD-zertifizierte Kubernetes-Experten – abgedeckt wird. Seit 2022 wurden über 3.000 Projekte erfolgreich abgeschlossen.

Für DACH-Kunden bedeutet das konkret:

  • IaC-Architekturberatung: Neutrale Bewertung, ob Terraform, CloudFormation oder eine Kombination beider Werkzeuge zu Ihrer bestehenden Administrationslandschaft passt – inklusive Bewertung nach BSI Grundschutz und NIS2-Anforderungen.
  • Migration bestehender manueller Infrastruktur: Überführung von Click-Ops-Umgebungen in versionierten, testbaren IaC-Code mit vollständiger Zustandsaufnahme und Risikobewertung.
  • CI/CD-Pipeline-Integration: Aufbau von automatisierten Prüfpipelines mit Checkov, tfsec oder cfn-nag, integriert in GitLab CI, GitHub Actions oder AWS CodePipeline.
  • Policy as Code: Implementierung von Sentinel- oder OPA-Richtlinien, die regulatorische Anforderungen maschinell durchsetzen und dokumentieren.
  • Betrieb und Monitoring: Fortlaufende Drift-Erkennung, Incident-Response über das 24/7-NOC und garantierte Verfügbarkeit nach 99,9 % Uptime-SLA.
  • DSGVO-konforme Architektur: Sicherstellung, dass State-Backends, Secrets-Management und Logging-Konfigurationen den Anforderungen der Datenschutz-Grundverordnung genügen.

Die Entscheidung zwischen Terraform und CloudFormation ist selten absolut – häufig ist eine komplementäre Strategie die richtige Antwort: CloudFormation für AWS-native Dienste, Terraform für die übergreifende Multi-Cloud- und Kubernetes-Ebene. Opsio bringt die Erfahrung aus über 3.000 Projekten mit, um genau diese Architekturentscheidung auf Basis Ihrer tatsächlichen Anforderungen – nicht auf Basis von Herstellermarketing – zu treffen. Sprechen Sie unser Team an und erfahren Sie, wie eine IaC-Strategie aussieht, die Ihre Compliance-Ziele, Ihre Administrationsprozesse und Ihre Wachstumspläne gleichermaßen berücksichtigt.

Verwandte Artikel

Über den Autor

Johan Carlsson
Johan Carlsson

Country Manager, Sweden at Opsio

AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia

View all articles →LinkedIn

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.