Dass Cloud-Technologie integraler Bestandteil einer IT-Strategie ist, wird nicht mehr bestritten. Im Gegenteil: Die Cloud ist in der Privatwirtschaft und im öffentlichen Sektor Realität. Allerdings sollten Abhängigkeiten von Anbietern vermieden werden.
Heutzutage sind Strategien und technische Lösungskonzepte wichtiger denn je, um eine sichere und vor allem änderungsaffine IT zu schaffen.
(Bild: metamorworks - stock.adobe.com)
Ähnlich wie beim Poker, haben sich viele Unternehmen und Behörden zu einem Zeitpunkt entschieden, auf welche Cloud-Provider-Karte sie in Zukunft setzen werden. Die Grundlage dieser Entscheidung bildeten nachvollziehbare Dimensionen wie Service Vielfalt, Preisgestaltung, Security oder Nachhaltigkeit. Die Fokussierung ermöglicht Beschleunigung und Vereinfachung der IT-Landschaft – schafft aber auch eine zunehmende Abhängigkeit zu den Anbietern.
Laut des Flexera 2023 State of the Cloud Reports gaben etwa 31 Prozent der befragten Unternehmen an, dass sie nur einen einzigen Cloud-Anbieter nutzen. Diese Strategie kann zu einem Problem führen, wenn ein Cloud Provider gezwungen wird seine Integrität zu verletzen und somit für schützenswerte Daten unbrauchbar wird. Leider zeigt die kürzlich initiierte Auflösung des Privacy and Civil Liberties Oversight Board (PCLOB), das der Schutz der persönlichen Daten bei den Hyperscalern bald nicht mehr überwacht werden könnte.
Die Souveränitäts-Dimension
In den meisten Fällen beginnt der Prozess zur Erstellung einer Cloud-Strategie mit der Analyse der aktuellen IT-Landschaft und einer konkreten Zielsetzung, um entsprechende Anforderungen und Prioritäten des Unternehmens oder der Behörde zu verstehen. In den meisten Fällen existieren zwei Gründe für die Nutzung der Cloud: Kostenreduktion und Entwicklungsbeschleunigung. Je nach Gewichtung folgt die Auswahl der geeigneten Cloud-Modelle, -Dienste und Migrationspfade für einzelne Systeme. Anschließend folgt die Cloud Architektur in der die verschiedenen Dimensionen (eng. Pillars) des jeweiligen Well-Architected Frameworks (WAF) berücksichtigt werden. Neben Kosten, Nachhaltigkeit, Verfügbarkeit, Robustheit und Effizienz werden auch Sicherheitsaspekte betrachtet.
Die Sicherheits-Dimension befasst sich mit den Themen Identity and Access Managegement (IAM), Threat Detection, Infrastruktur-Schutz, Datenschutz und Incident Response. Auf Grundlage des WAF, können somit sichere Architekturen zum Schutz vor potenziellen Angreifern geschaffen werden. Die Cloud Provider bieten vielfältige vorgefertigte Dienste, um übliche Anwendungsszenarien auf einfache Weise abzusichern. Zum Beispiel bietet AWS die Möglichkeit mit dem Key Management Service (KMS) kryptografische Schlüssel zu verwalten und diese mit nur wenigen Klicks zur Datenbank-Verschlüsselung einzusetzen. AWS kümmert sich automatisch um die Erstellung, Key-Rotation, sowie Ver- und Entschlüsselung, sodass Administratoren keinen weiteren Aufwand haben.
Doch die Abgabe von Verantwortung geht auch immer mit dem Verlust von Kontrolle einher. Spätestens nach der Schrittweisen Auflösung des PCLOB, müssen sich Nutzer von Cloud Providern die Frage stellen: „Sind meine Daten auch vor dem Provider sicher?“ Eine Antwort auf diese Frage lässt sich an dem vorherigen Beispiel ableiten: Die Verwendung des Key Management Systems von AWS bietet diverse Vorteile und wird entsprechend empfehlen, um flächendeckende Verschlüsselung von Daten at-rest zu vereinfachen.
Unabhängig davon, ob die kryptografischen Schlüssel von AWS (AWS managed keys) oder dem Nutzer (Customer managed keys) erzeugt wurden, verbleibt die Speicherung und Verwaltung des Schlüssels beim Cloud Provider. Dieser Umstand schafft die technische Voraussetzung, dass gespeicherte Daten durch den Provider entschlüsselt werden könnten. Somit lautet die Antwort auf die Eingangsfrage: „Nein“.
Aus diesem Grund muss jede Cloud-Strategie um die Souveränitäts-Dimension ergänzt werden. Im Hinblick auf Cloud Provider haben zwei Aspekte eine besondere Relevanz: Datenhoheit und Offenheit. In der Betrachtung der Datenhoheit werden bestehende regulatorische Anforderungen (wie DSGVO) genutzt, um schützenswerte Daten zu klassifizieren. Anschließend müssen besondere Techniken etabliert werden, um diese Daten auch vor Zugriffen des Betreibers zu schützen. Der zweite Aspekt der Offenheit ist entscheidend für den Fall, dass einem Cloud Provider nicht mehr vertraut werden kann und ein schneller Wechsel notwendig ist. Für dieses Szenario muss eine technische Unabhängigkeit geschaffen werden, sodass eine Verschiebung von Workloads aufwandsarm möglich ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Datenhoheit: Vertrauen ist gut, Kontrolle ist besser
Die einzige Möglichkeit für Cloud Nutzer, die volle Kontrolle über die Daten in ihrer Verantwortung zu behalten, besteht in der Verschlüsslung sensibler Daten, sodass sie auch für den Betreiber unzugänglich gemacht werden. Das „Hold Your Own Key“ (HYOK) Konzept bietet hierfür die einzige verlässliche Vorgehensweise, indem Daten nur außerhalb der Public Cloud verschlüsselt und entschlüsselt werden können. Der kryptografische Schlüssel verlässt nie den eigenen Kontrollbereich. Allerdings können die verschlüsselten Daten dementsprechend nicht mehr in der Public Cloud verarbeitet werden, sodass diese Variante nur für langfristige Speicherung praktikabel ist. In der Praxis wird HYOK so implementiert, dass selektiv auf Spaltenebene entschieden wird, welche sensible Datenfelder verschlüsselt werden.
Eine Kompromisslösung bietet das „Bring Your Own Key“-Konzept, dass von AWS, GCP und Azure nativ unterstützt wird. Nutzer verknüpfen hierzu ein selbstkontrolliertes Schlüsselmanagement (HSM) mit dem Verschlüsselungsservice des Providers, sodass die kryptografischen Operationen, Schlüsselerstellung und Erneuerung in der eigenen Hand verbleibt. Die Ver- und Entschlüsselungsschnittstellen der Daten übernimmt der Cloud Provider, sodass alle Datenbanken, Logs, Dateispeicher und Umgebungsvariablen automatisch verschlüsselt werden können. Dieses Konzept bietet eine Ausgewogenheit zwischen Effizienz und Kontrolle, indem die vorhandenen Verschlüsselungsintegrationen des Providers verwendet werden, ohne dass die Schlüsselerstellung aus der eigenen Kontrolle gegeben werden muss.
Bei der Umsetzung muss für jeden Cloud Provider im Detail geprüft werden, wie das „BYOK“-Konzept umgesetzt wird, denn die Definition wird unterschiedlich interpretiert. So bietet AWS beispielsweise den AWS-KMS-BYOK-Service, welcher den Import eines selbsterstellen Schlüssels erfordert. Dieses Vorgehen widerspricht jedoch dem Konzept, indem die kryptografischen Operationen weiterhin in der Cloud stattfinden. Lediglich die Kombination des AWS-KMS und einer externen Schlüsselverwaltung inklusive HSM bietet den notwendigen Schutz.
„Nicht ist so konstant wie die Veränderung“ (Heraklit, 500v.Chr.). Technische Innovationen, neue Unternehmensziele und nicht zuletzt politische Veränderungen können Einfluss auf eine IT-Strategie nehmen. Im Hinblick auf die Cloud sorgen immer wieder Änderungen am Preismodell, Serviceangebot und nicht zuletzt Sicherheitsbedenken dazu, dass Unternehmen und Behörden einen kurzfristigen Wechsel ihres Cloud Providers vornehmen wollen. Doch durch den großflächigen Einsatz der komfortablen, vorgefertigten und effizienten nativen Services ist dieser Wechsel in der Regel mit enormen Aufwänden und Kosten verbunden.
Die Lösung liegt in einem dem bewährten Fassaden Entwurfsmuster der „Gang of Four“, indem eine Abstraktionsschicht geschaffen wird, die von dem konkreten Cloud Provider unabhängig ist. Diese Abstraktionsschicht muss nicht neu erfunden werden, sondern kann durch bereits vorhandene Technologien geschaffen werden. Ein etablierter Ansatz für agnostisches Betreiben generischer Applikationen ist der Einsatz von Kubernetes als Container Orchestrator. Entsprechende Dienste wie AWS EKS oder Azure KS stehen sowohl in Public als auch Private Clouds zur Verfügung und erlauben einen aufwandsarmen Übergang im Fall einer Umverteilung.
Das gleiche Vorgehen lässt sich auf Datenbanken übertragen, indem quellenoffene Technologien genutzt werden, die von den Cloud Providern als Managed Service angeboten werden. Zum Beispiel wird die Open-Source-NoSQL-Datenbank Apache Cassandra von AWS unter dem Namen AWS Keyspaces angeboten. Auf diese Weise können die Vorteile eines Managed Services genutzt werden, ohne die Flexibilität zu verlieren auch einen anderen Cloud Provider oder ein On-Premises System zu nutzen.
Jedoch kann nicht jeder Dienst problemlos abstrahiert werden, wie zum Beispiel Identity & Access Management, Logging und Monitoring. Die Public-Cloud-Provider bieten lediglich proprietäre Dienste, welche zwar optimal integrierbar sind, aber nicht ohne weiteres abstrahiert werden können. In diesen Fällen müssen etablierte und übergreifend nutzbare Systeme eingesetzt werden, wie zum Beispiel KeyCloak, Prometheus und Grafana.
Fazit
Zusammenfassend lässt sich sagen, dass der Schlüssel zu einer änderungsaffinen IT in der Verwendung von quellenoffenen und übergreifend nutzbaren Technologien liegt. Auf diese Weise können im Idealfall aufwandsreduzierende Managed Services verwendet werden, ohne eine konkrete Abhängigkeit zu einem Cloud Provider zu erzeugen. Dieses Vorgehen erfordert eine großflächige Planung der einzusetzenden Technologien und vor allem: Eine konsequente Umsetzung, sodass die nächste notwendige Veränderung mit Leichtigkeit genommen werden kann.
* Der Autor Dr. Philip Zweihoff und sein Team bei dem IT-Berater Conet unterstützen Unternehmen und Behörden bei der Umsetzung ihrer IT-Strategie mit einem Fokus auf Cloud-nativer Software-Entwicklung und hochautomatisierte Infrastrukturen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/51/0c/510ce3f1df9f6edc516f3660244456b2/0122109743v1.jpeg "Die aktuelle Bitkom-Umfrage sieht das Vertrauen der Digitalbranche in die USA nach der Wahl erheblich geschwächt; viele befürchten durch den Trump-Sieg einen großen Schaden für die deutsche Wirtschaft. (Bild: Grispb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/f8/5ff8b33a74c400cae216d0256d7e6d85/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/9c/d69c005c1e7a82765032b6312a37da96/0127575108v1.jpeg "Utimaco EKMaaS biete Azure-Kunden eine zentralisierte Plattform für die Schlüsselverwaltung. (Bild: © Sikov – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/cb/18cb769984d8b9e3d2622687354f3e40/0125831551v1.jpeg "Vertraulich gesichert: Confidential Computing soll rundum Schutz in der Cloud bieten. Mit 3D-Verschlüsselung bleiben Daten vor unerlaubtem Zugriff geschützt, selbst bei der Verarbeitung. (Bild: © Ar_TH - stock.adobe.com)")