Obwohl sich heute ganze Teams um das Thema Security kümmern, wählen viele Unternehmen dennoch On-Premises-Lösungen – vor allem wegen Datenschutzbedenken bei Cloudanbietern. Denn die hauseigene Infrastruktur wird nach wie vor als die sicherste Lösung wahrgenommen. Die Nutzung der Cloud bietet allerdings viele Vorteile, auf die Unternehmen heute nicht mehr verzichten können. Damit Cloud-Services sicher genutzt werden können, müssen diese bestimmten Standards entsprechen.
Fünf Tipps helfen IT-Fachkräften dabei einen Cloud-Anbieter auszuwählen, der die Datensicherheit innerhalb des Unternehmens nicht nur beibehält, sondern sogar verbessert.
(Bild: Jürgen Fälchle - stock.adobe.com)
Etwa 70 Prozent der von Civey befragten IT-Fachkräfte geben an, dass ihre Unternehmen Cloud-Dienste nutzen. Gleichzeitig sind 60 Prozent der Meinung, dass die in einer Cloud gespeicherten Daten nicht oder nur unzureichend vor dem Zugriff Dritter geschützt sind. Also Cloud-Nutzung und dafür Abstriche beim Thema Sicherheit? Das ist keine Option! Unternehmen sind nicht nur durch gesetzliche Regulierungen, sondern auch von ihren Kunden in die Pflicht genommen, personenbezogene Daten zu schützen. Bei Verletzung dieser Pflichten drohen von beiden Seiten existenzbedrohende Konsequenzen. Außerdem besteht selbstverständlich hohes Interesse daran, die eigenen Daten – und damit wichtige Unternehmenswerte – zu schützen. Bei aller Skepsis beim Thema Datensicherheit und Cloud – wer mit anderen zusammenarbeitet und Daten teilt, kommt um die Nutzung von Cloudservices kaum herum. Deshalb sollten Unternehmen selbst Initiative ergreifen und Datenräume von Anbietern nutzen, die in Sachen Datenschutz gut aufgestellt sind.
Die Qual der Wahl – und wie Unternehmen die richtige Entscheidung treffen
Unternehmen müssen bei der Auswahl eines Cloud-Anbieters besondere Sorgfalt walten lassen. Die folgenden fünf Tipps können als Orientierungshilfe dienen und machen deutlich, was Verantwortliche bei der Auswahl einer geeigneten Lösung beachten sollten.
Tipp 1: Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge-Prinzip
Verschlüsselungsarten gibt es viele und nicht immer steckt hinter bekannten Begriffen wie Ende-zu-Ende-Verschlüsselung (E2EE) bei jedem Anbieter eine identische Leistung. Deshalb lohnt sich ein genauer Blick. Im Grunde geht es bei der Verschlüsselung darum, die Daten vor dem Zugriff Unbefugter zu schützen. Dies kann aber an unterschiedlichen Stellen geschehen. Viele Anbieter schreiben sich E2EE auf die Fahne, verschlüsseln die Daten aber nur im Ruhezustand und nicht bei der Übertragung. Zudem haben die Anbieter selbst dennoch Zugriff auf die Schlüssel, könnten also potenziell den Inhalt einsehen. Da Unternehmen dabei aufgrund mangelnder Transparenz keine detaillierte Kontrolle darüber haben, was die Anbieter mit ihren Daten machen, kann der Datenschutz gefährdet sein. Denn: Angreifer können in einem solchen Fall bei einer Cyber-Attacke neben den verschlüsselten Daten auch die Entschlüsselungscodes erbeuten. Der Hacker hätte damit Zugriff auf die unverschlüsselten Unternehmensdaten.
Der Goldstandard ist die Ende-zu-Ende-Verschlüsselung (E2EE) nach dem Zero-Knowledge-Prinzip. Bei E2E-Verschlüsselungen sind die Daten durchgehend chiffriert: Der Anbieter verschlüsselt die Daten beim Hochladen in die Cloud, wo er sie dann nur in ihrer unlesbaren Form lagert. Die Informationen werden erst beim Empfänger wieder entschlüsselt. Damit sind die Daten nicht nur im Ruhezustand, sondern auch während der Übertragung geschützt. Außerdem haben bei diesem Prinzip die Lösungsanbieter selbst keinen Zugriff auf die Entschlüsselungscodes. Kommt es nun zum Cyber-Angriff auf den Cloud-Anbieter, erbeutet ein Hacker in diesem Fall nur die chiffrierten Informationen und erhält keinen Einblick in die Daten. Das vereitelt auch Erpressungsversuche wirksam.
Tipp 2: Regulierung des Gerätezugriffs
Je mehr Personen mit unterschiedlichen Endgeräten Zugriff auf den Inhalt der Cloud erhalten, desto höher ist das Risiko für den Datenschutz. IT-Administratoren profitieren daher von der Möglichkeit, den Zugriff zu steuern. Nur Geräte von autorisierten Benutzern sollten auf die Cloud zugreifen können. Eine weitere Option ist die Beschränkung der Zugriffsrechte von Mobilgeräten, um das Malware-Risiko zu verringern. Dies ist besonders praktisch, wenn Geräte verloren gehen, da Unternehmen dann in der Lage sind, den Zugang sofort zu sperren und somit die Daten vor unberechtigtem Zugriff zu schützen.
Tipp 3: Verwaltung von Benutzerzugriffen
Ein bedeutender Vorteil von Cloud-Lösungen besteht darin, dass Mitarbeiter problemlos innerhalb des Unternehmens oder auch mit Dritten zusammenarbeiten können. Die Vorteile der Zusammenarbeit gehen allerdings mit Risiken einher: Mitarbeiter können versehentlich Informationen an Personen weitergegeben, die keinen Zugriff erhalten dürfen und damit verlassen vertrauliche Daten unkontrolliert das Unternehmen. In einem guten Administrationsbereich lassen sich deshalb auch die Zugriffsrechte der einzelnen Mitarbeiter regeln. Einschränkungen wie ein Verfallsdatum für Downloads, die Unterscheidung nach Lese- oder Bearbeitungsrechten sowie die Freigabe von Dokumenten für definierte Personen, dämmen das willkürliche Teilen von Informationen effektiv ein.
Tipp 4: Verschlüsselung über Unternehmensgrenzen
Um die E2E-Verschlüsselung bis zum Ende der Informationskette zu erweitern, setzen IT-Administratoren am besten auf eine Lösung, die eine Zusammenarbeit über Unternehmensgrenzen hinweg einfach macht. Verschlüsselte Freigabelinks und Dateianforderungen gewährleisten, dass Nutzer unterschiedlicher Systeme eine gemeinsame und sichere Schnittstelle haben, die keinen Download weiterer Software erfordert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Tipp 5: Kontrolle des Speicherorts der Daten
Der Umgang mit Daten wird stetig stärker reguliert. Gesetze wie die Datenschutz-Grundverordnung (DSGVO) schreiben Unternehmen vor, wo personenbezogene Daten gespeichert werden dürfen. Informationen von EU-Bürgern müssen beispielsweise innerhalb der EU oder in einem als sicherer Drittstaat anerkannten Land liegen. Cloud-Anbieter haben jedoch oft Server in verschiedenen Ländern, sodass Unternehmen nicht wissen, in welchem Land ihre Daten gespeichert sind. Bei der Auswahl einer Cloud müssen Unternehmen darauf achten, dass die Rechenzentren in den Ländern liegen, die mit den gesetzlichen Bestimmungen konform gehen.
Diese fünf Punkte helfen IT-Fachkräften einen Cloud-Anbieter auszuwählen, der den Status der Datensicherheit innerhalb des Unternehmens nicht nur beibehält, sondern sogar verbessert, und gleichzeitig die Produktivität und Vertrauenswürdigkeit durch eine sichere Lösung für Zusammenarbeit erhöht. Für einen umfassenden Datenschutz innerhalb eines Unternehmens ist jedoch nicht nur der Cloud-Anbieter relevant. Die meisten Sicherheitslücken entstehen durch das Verhalten von Mitarbeitern. Daher müssen Experten diese in Bezug auf Datenschutz und den richtigen Umgang mit der Cloud schulen.
Über den Autor: Peter Stössel ist Chief Revenue Officer bei Tresorit. Er hat jahrelange Erfahrung und Kundenexpertise in der Technologiebranche und ist Sprecher für Tresorit in der DACH-Region.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9b/a9/9ba9bb069f19498e3e27e229b060611b/0123046678v1.jpeg "Datensouveränität ist die Basis für Vertrauen: Nur wer weiß, wo seine Daten gespeichert werden und wer darauf zugreifen kann, erfüllt die hohen Sicherheits- und Compliance-Anforderungen von heute. (Bild: MH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/cb/18cb769984d8b9e3d2622687354f3e40/0125831551v1.jpeg "Vertraulich gesichert: Confidential Computing soll rundum Schutz in der Cloud bieten. Mit 3D-Verschlüsselung bleiben Daten vor unerlaubtem Zugriff geschützt, selbst bei der Verarbeitung. (Bild: © Ar_TH - stock.adobe.com)")