Die Cloud bietet Flexibilität, Skalierbarkeit und Kosteneinsparungen, was zu einer gesteigerten Effizienz und Wettbewerbsfähigkeit führt. Bei aller Euphorie für die Cloud sollten Unternehmen aber nicht die Sicherheitsrisiken ausblenden, die die Cloud-Nutzung ebenfalls mit sich bringt. Unternehmen müssen daher auch für die Cloud eine umfassende Sicherheitsstrategie entwickeln, um ihre ausgelagerten Daten und Prozesse vor Bedrohungen zu schützen.
Cloud Computing oder kurz „die Cloud“ hat sich zu einer unverzichtbaren Technologie für Unternehmen entwickelt, wenn es um die Speicherung, Verarbeitung und Nutzung von Unternehmensdaten geht.
(Bild: estherpoon - stock.adobe.com)
Oft werden die erforderlichen Cybersicherheitsmaßnahmen vernachlässigt, da der Einsatz der Cloud sehr schnell umgesetzt wird. Zwar bieten Cloud-Anbieter bereits recht wirksame Regelwerke und gute Ansätze, doch die juristische Verantwortung – und damit auch die Haftungsfolgen – für die Daten- und Anwendungssicherheit liegt letztlich beim Unternehmen selbst.
Die Folgen von Datenpannen und Datenschutzverletzungen können für Firmen jedweder Größe verheerend sein. Neben finanziellen Verlusten leiden Unternehmen auch unter dem Verlust von Kundenvertrauen und Reputationsschäden.
Die Kosten für die Wiederherstellung nach einer Datenpanne sind oft erheblich höher als die Kosten für eine effektive Sicherheitsstrategie. Ein Beispiel ist der berüchtigte Fall von Equifax bei dem persönliche und finanzielle Daten von Millionen von Menschen gestohlen wurden. Equifax wurde mit hohen Bußgeldern und Klagen konfrontiert und verlor das Vertrauen der Kunden.
Auch der IBM Report „Cost of a Data Breach“ zeigt eindrücklich die Relevanz einer guten Sicherheitsstrategie auf. Die durchschnittlichen Gesamtkosten einer Datenpanne belaufen sich auf 4,35 Millionen US-Dollar.
Leider kann man sich nicht darauf verlassen, dass höhere Investitionen in die Datensicherheit automatisch einen höheren Schutz bedeuten. Fachleute warnen davor, sich irgendwann zu sicher zu fühlen. Es ist wie beim Rennen zwischen Hase und Igel: neue Technologien werden auch von Cyberkriminellen umgehend für neue Angriffstechniken oder -Wege benutzt. Attacken auf Datenpools, die für Cyberkriminelle nützlich und lukrativ scheinen, sind demzufolge schwer zu vermeiden; eine Lücke im Schutzschild gibt es fast immer. Cyberangriffe auf Cloud-Systeme gehören praktisch zum Alltag, oft mit katastrophalen Folgen. 69 Prozent der Unternehmen meldeten Datenschutzverletzungen aufgrund fragiler Multicloud-Sicherheitskonfigurationen. Unternehmen müssen also zwingend einen proaktiven Ansatz verfolgen, um kontinuierlich die mit Cloud-basierten Cyber-Bedrohungen verbundenen Risiken zu mindern.
Vier wesentliche Maßnahmen zur sicheren Cloud
Cybersicherheit steht im Mittelpunkt jeder erfolgreichen Cloudstrategie. Unternehmen müssen ein umfassendes Sicherheits-Framework entwickeln, das den gesamten Lebenszyklus der Daten umfasst, von der Erstellung bis zur Vernichtung. Hier sind einige wesentliche Cybersicherheitsmaßnahmen:
1. Starke Authentifizierung und Zugriffskontrolle: Unternehmen sollten Multi-Faktor-Authentifizierung (MFA) implementieren, um sicherzustellen, dass nur autorisierte Benutzer auf Cloud-Ressourcen zugreifen können. Eine feingranulare Zugriffskontrolle hilft, Daten nur denjenigen zugänglich zu machen, die sie benötigen.
2. Datenverschlüsselung: Sowohl in Transit als auch im Ruhezustand sollten Daten verschlüsselt werden. Dies schützt vor unbefugtem Zugriff, selbst wenn ein Angreifer Zugriff auf die Daten erhält.
3. Kontinuierliche Überwachung und Erkennung: Ein robustes, automatisiertes Überwachungssystem ermöglicht die Echtzeit-Erkennung von Bedrohungen und verdächtigem Verhalten. Intrusion Detection Systems (IDS) und Security Information and Event Management (SIEM)-Lösungen sind unverzichtbar. Auch sollte das Potential von KI basierten Systemen zur Erkennung von Anomalien beim Datenzugriff benutzt werden.
4. Patch- und Schwachstellenmanagement: Die regelmäßige Aktualisierung von Software und Betriebssystemen ist entscheidend, um bekannte Schwachstellen zu schließen und Angriffsvektoren zu minimieren.
Einhaltung gesetzlicher Vorschriften
Was wenigen Verantwortlichen bewusst ist: auch in der Cloud sind alle Gesetze und Vorschriften in Bezug auf Datensicherheit und Datenschutz zu befolgen. Die Konsequenzen einer Nichteinhaltung können schwerwiegend sein und zu Geldstrafen, Rechtsstreitigkeiten oder dem Verlust von Firmenwerten führen. Viele Vorschriften, wie die Datenschutzgrundverordnung (DSGVO), enthalten spezifische Anforderungen an die Cloud-Sicherheit, darunter Datenverschlüsselungsarten, Zugriffskontrolle, Planung der Reaktion auf Zwischenfälle (Krisenmanagement) und regelmäßige Sicherheitsbewertungen.
Unternehmen müssen sicherstellen, dass ihre Cloud-Provider die DSGVO-Anforderungen erfüllen. Dazu gehört die Sicherung der Verarbeitung personenbezogener Daten, die Einhaltung von Datenschutzrechten und die sofortige Benachrichtigung bei Datenschutzverletzungen. Die Nichteinhaltung von Datenschutzvorschriften kann ebenfalls zu schweren Strafen führen. Gemäß DSGVO können Unternehmen mit einer Geldstrafe von bis zu 4 Prozent ihres weltweiten Jahresumsatzes oder 20 Millionen Euro belegt werden; je nachdem, welcher Betrag höher ist.
Auch machen Datenschutzverstöße immer häufiger Schlagzeilen. Das liegt zum einen an der gesetzlichen Meldepflicht von Zwischenfällen, aber auch an den sozialen Medien, die dafür sorgen, dass derartige Vorfälle häufiger und breiter bekannt werden.
Vorteile der Cloudsicherheit
Die Umsetzung effektiver Sicherheitsstrategien für die Cloudnutzung bietet eine Reihe von Vorteilen:
Skalierbarkeit und Flexibilität: Unternehmen können ihre Sicherheitsinfrastruktur leicht skalieren, um den Anforderungen gerecht zu werden, ohne hohe Investitionen in Hardware und Personal tätigen zu müssen.
Zentrale Verwaltung: Cloudsicherheit ermöglicht eine zentralisierte Verwaltung und Überwachung von Sicherheitsrichtlinien, was die Konsistenz und Effizienz erhöht.
Automatisierung: Automatisierte Sicherheitsmaßnahmen erleichtern die Implementierung und Durchsetzung von Sicherheitsrichtlinien.
Kosteneinsparungen: Die Vermeidung von Datenpannen und Datenschutzverletzungen führt zu Kosteneinsparungen, da die Kosten für Datenwiederherstellung, Bußgelder und Reputationsschäden minimiert werden.
Risiken der Cloudsicherheit
Trotz der Vorteile gibt es auch Risiken, die Unternehmen berücksichtigen sollten:
Abhängigkeit von Drittanbietern: Unternehmen verlassen sich auf Cloud-Provider, um ihre Daten und Systeme sicher zu halten. Dies bedeutet, dass sie einen Teil der Kontrolle aus der Hand geben.
Menschliches Versagen: Die menschliche Komponente bleibt eine wichtige Ursache von Sicherheitsrisiken. Unachtsame Mitarbeiter können versehentlich sensible Daten freigeben oder durch falsche Handhabung oder Konfiguration Sicherheitslücken erzeugen.
Komplexität: Die Komplexität der Cloudumgebung kann zu Herausforderungen bei der Identifizierung und Bekämpfung von Bedrohungen führen.
Kontrolle ist gut: Überprüfbarkeit sicherstellen
Der Satz "Vertrauen ist gut, Kontrolle ist besser" gilt auch für die Cloud. Alle Bereiche der Cloud-Infrastruktur, auch Anwendungen und Datenfluss, müssen überwacht, gemessen und analysiert werden um Sicherheitsbedrohungen und Schwachstellen präventiv zu erkennen. Da sich die Datenmengen ständig erhöhen und die Bedrohungslage immer komplexer wird, stehen Cybersicherheitsteams unter Druck, mit den sich ändernden Anforderungen und Bedürfnissen Schritt zu halten.
Durch entsprechenden Einblick in die verschiedenen Komponenten der Cloud-Infrastruktur können Sicherheitsteams anomales Verhalten oder verdächtige Aktivitäten schnell erkennen, die auf eine potenzielle Sicherheitsbedrohung hindeuten. Darüber hinaus kann das kontinuierliche Monitoring Unternehmen dabei helfen, ihre Cloud-Umgebung besser zu verstehen, z. B. wie Daten durch das Netzwerk fließen, welche Ressourcen genutzt werden und wer auf sie zugreift. Solche Informationen sind hilfreich, um wirksamere Sicherheitsrichtlinien und -kontrollen zu entwickeln und Sicherheitsinvestitionen zu priorisieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Letztendlich ist ein detaillierter Überblick über Daten, Anwendungen und Prozesse in der Cloud-Umgebung entscheidend für die (Weiter-) Entwicklung einer erfolgreichen Cloud-Sicherheitsstrategie. Auch wenn der Aufwand dafür zunächst hoch erscheint, können die Kosten einer Datenpanne oder eines Sicherheitsvorfalls weitaus höher sein und einen größeren Schaden anrichten.
Ausblick
Cloudsicherheit wird von der ständigen Weiterentwicklung von Bedrohungen und Sicherheitstechnologien geprägt sein. Neue Technologien wie Künstliche Intelligenz und maschinelles Lernen werden in der Lage sein, Anomalien zu erkennen und Eindringversuche schneller zu identifizieren. Unternehmen werden vermehrt in die Entwicklung von maßgeschneiderten Sicherheitslösungen investieren, um den spezifischen Anforderungen ihrer Cloudinfrastruktur gerecht zu werden.
Die Hybrid Cloud wird ebenfalls an Bedeutung gewinnen (siehe „Hybrid Cloud – Hype oder wertvolle Alternative?“), da sie Unternehmen die Möglichkeit bietet, sensiblere Daten in privaten Clouds zu speichern und gleichzeitig die Skalierbarkeit und Flexibilität der öffentlichen Clouds zu nutzen. Dies erfordert jedoch eine noch ausgefeiltere Sicherheitsstrategie, um eine nahtlose Integration und den Schutz von Daten sicherzustellen.
Insgesamt ist die IT- und Datensicherheit bei der Cloudnutzung von größter Bedeutung. Unternehmen müssen umfassende Sicherheitsstrategien entwickeln, die den gesamten Datenlebenszyklus und alle Prozesse abdecken und gleichzeitig die Einhaltung von Datenschutzvorschriften wie der DSGVO sicherstellen. Die Investition in Cloudsicherheit ist nicht nur eine Vorsichtsmaßnahme, sondern auch eine wesentliche Voraussetzung für den langfristigen Erfolg und die Wettbewerbsfähigkeit eines Unternehmens.
Über den Autor: Jörg Hecke ist Produkt Marketing Manager bei SEH Computertechnik.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/59/c4/59c4f2a04e0ef7b4f54adb068ab8b3b3/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/e1/eae1f70ef2c2a1d8f3e9da8d0bde6ed7/0123144013v1.jpeg "Die erneute Wahl Donald Trumps zum US-Präsidenten sollte auch die letzten Zweifler davon überzeugen: Digitale Souveränität ist so wichtig wie nie. (Bild: Lamina - stock.adobe.com)")