Eine Vielzahl von Compliance-Vorgaben, isolierte Cloud-Security-Tools und der Mangel an Cloud-Sicherheitsfachkräften machen mehr als deutlich, dass es für Cloud-Anbieter und Cloud-Anwender nicht leicht ist, die Cloud-Compliance umzusetzen und nachzuweisen. Doch KI könnte auch hier hilfreich sein und für Automatisierung sorgen.
KI-gestützte Compliance-Tools überwachen Cloud-Umgebungen in Echtzeit und machen Sicherheits- und Rechtsverstöße deutlich seltener.
Vorgaben für die Cloud-Sicherheit gibt es viele: IT-Sicherheitsgesetze und IT-Sicherheitsstandards, die auf die Cloud angewendet werden, spezielle Cloud-Normen, vertragliche Vorgaben und Branchenleitlinien. Da ist es nicht einfach, alle relevanten Richtlinien im Blick zu behalten, aber es ist zwingend erforderlich, denn Compliance gehört im Cloud-Bereich zu den wichtigsten Kriterien.
So ergab zum Beispiel der Cloud-Report 2025 des Branchenverbands Bitkom, dass Vertrauen in IT-Sicherheit, Datenschutz und Compliance sowie Leistungsfähigkeit und Stabilität (je 99 Prozent der Antworten in der Umfrage) die Hauptkriterien bei der Auswahl eines Cloud-Providers sind.
In dem Bericht von CSA findet man zum Beispiel die Aussagen, dass entsprechende KI-Tools es schaffen, die Compliance-Kosten um 30 bis 50 Prozent zu reduzieren, Compliance-Raten von bis zu 90 Prozent zu ermöglichen, den Zeitaufwand für die Compliance-Schulungen der Mitarbeitenden um bis zu 60 Prozent zu senken und zu 50 Prozent weniger Compliance-Verstößen durch proaktive Überwachung und Echtzeit-Reporting zu führen.
Kürzlich hat die Cloud Security Alliance (CSA) zudem Valid-AI-ted, ein KI-gestütztes, automatisiertes Validierungssystem vorgestellt, eine Ergänzung ihrer STAR Registry-Bewertungssuite (Security, Trust, Assurance and Risk). Das neue Tool ermöglicht demnach eine automatisierte Qualitätsprüfung der Assurance-Informationen von STAR Level-1-Selbstbewertungen mithilfe von LLM-Technologie.
Valid-AI-ted bewertet automatisch die STAR Level 1- Selbstbewertungen von Cloud-Anbietern. Es erstellt einen detaillierten Bericht mit den Bewertungen pro Frage und Bereich und teilt ihn dem Einreicher vertraulich mit. Valid-AI-ted richtet sich an Cloud-Service-Anbieter, die eine CSA STAR-Zertifizierung anstreben, und bestehende STAR-Teilnehmer, die ihre Transparenz und Vertrauenswürdigkeit erhöhen wollen, so die CSA.
Neue Brancheninitiativen treiben Standardisierung voran
Die Cloud Security Alliance hat ebenfalls die Compliance Automation Revolution (CAR) ins Leben gerufen. CAR ist eine breit angelegte Koalition, die in Partnerschaft mit Branchenführern wie Google, Oracle, Anecdotes, Coalfire und Salesforce gegründet wurde und deren Ziel es ist, Compliance-Probleme mit praktischen und effektiven Lösungen zu lösen.
CAR zielt laut CSA darauf ab, die Compliance-Qualität deutlich zu verbessern und gleichzeitig Risiken und Kosten zu senken. Dies geschieht durch geschäftsskalierbare Automatisierung, regulatorische Harmonisierung zur Vermeidung redundanter Arbeitsschritte und Echtzeit-Informationsaustausch, der Unternehmen und Regulierungsbehörden auf dem gleichen Stand hält. Durch die Nutzung von Compliance-Bemühungen verbessert CAR die Sicherheitslage von Unternehmen und erhöht das allgemeine Vertrauen innerhalb des Ökosystems, erklärt die CSA.
„Die Einhaltung von Compliance-Vorschriften wird oft als kostspielige Momentaufnahme betrachtet, die dem Innovationstempo hinterherhinkt. CAR stellt eine wichtige Branchenkooperation dar, um dieses Paradigma zu ändern. Durch Automatisierung, Harmonisierung und ‚Compliance-as-Code‘ wollen wir nicht nur die Audit-Müdigkeit reduzieren; wir schaffen eine Zukunft, die auf kontinuierlichem, evidenzbasiertem Vertrauen basiert und endlich mit der Dynamik von Cloud und KI skaliert werden kann“, sagte Archana Ramamoorthy, Senior Director, Regulated and Trusted Cloud, Google Cloud, Gründungsmitglied von CAR.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Eine Automatisierung der Compliance-Umsetzung und -Prüfung für die Cloud ist nicht nur ein spannendes Vorhaben, sondern es gibt bereits entsprechende Funktionen wie automatisches Cloud-Monitoring in Echtzeit, intelligente und automatische Risikobewertung, automatisiertes Reporting oder eine automatisierte Prüfung, ob die Cloud-Richtlinien auch eingehalten werden.
Es zeigt sich: KI hat also noch eine weitere und damit dritte Dimension für die Cloud Sicherheit: Sie erhöht zum anderen das Angriffsrisiko für die Cloud, sie verbessert die Erkennung und Abwehr von Cloud-Attacken, und sie macht eine weitgehende Automatisierung der Cloud Compliance möglich. KI ist auf dem Weg, Cloud-Sicherheit und Cloud-Compliance grundlegend zu verändern. Wichtig ist dafür allerdings, dass auch die KI-Compliance selbst stimmt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/3f/a3/3fa3fe21043afa983fa1099b9ea47947/0128734705v2.jpeg "Npm-Pakete sind essentielle Bibliotheken für die Entwicklung von Softwareanwendungen. In AdonisJS und jsPDF finden sich zwei kritische Path-Traversal-Schwachstellen, weswegen ein Update dringend notwendig ist. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/17/89/1789349c5f93d9d166563e3a98aeb034/0125158422v1.jpeg "KI-Agenten übernehmen bereits Aufgaben in der Cloud-Security. Doch je mehr Verantwortung sie tragen, desto wichtiger wird ihre eigene Absicherung. (Bild: © Creativa Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/fc/abfc6e4b520008770bbc135893385059/0122030163v1.jpeg "Viele Unternehmen nennen insbesondere die höhere IT-Sicherheit als Grund, souveräne Clouds zu verwenden. (Bild: tete_escape - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/02/960273328da2f3240aa173a403e5735b/0122779064v1.jpeg "Unternehmen gehen häufig davon aus, dass die Cloud-Infrastruktur automatisch sicher ist – das ist ein Irrtum. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/27/652797f6f320d51cf7619c1ed8afe232/0122604806v2.jpeg "Identity Governance and Administration (IGA)-Lösungen werden 2025 zu strategischen Plattformen, die nicht nur Identitäten verwalten, sondern die digitale Transformation vorantreiben. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/4d/604d1b307cdb1228faea310fb800f9a5/0125204506v2.jpeg "Wer SAP-Security systematisch angeht, die internen Rollen definiert und auf bewährte Werkzeuge zurückgreift, kann seine Systeme nicht nur schützen, sondern auch Compliance sicherstellen und im Ernstfall schnell reagieren. (Bild: © YOGI C - stock.adobe.com)")