Viele Cloud-Nutzende versprechen sich eine höhere Sicherheit, wenn sie ihre Daten in die Cloud übertragen. Doch ist eine Cloud automatisch sicherer als die eigene IT? Aktuelle Datenpannen und IT-Sicherheitsvorfälle bei Cloud-Diensten zeigen, dass von „automatisch sicherer“ nicht die Rede sein kann. Wir betrachten den Fall von CloudNordic als Beispiel.
Damit der Ausfall bei einem Cloud-Dienst nicht zum totalen Datenverlust für den Kunden wird, sollten Unternehmen ihre Daten immer auch in eigener Verantwortung zusätzlich sichern.
(Bild: artiemedvedev - stock.adobe.com)
IT-Sicherheit ist einer der wichtigsten Gründe für Cloud Computing
Der Cloud-Report 2023 des IT-Branchenverbands Bitkom nennt als die wichtigsten Ziele bei Cloud-Aktivitäten die Reduzierung von Kosten (64 %) und die Reduzierung der CO2-Emissionen (63 %). Eine Mehrheit von je 57 Prozent will zudem IT-Anwendungen auf Plattformen und Software-as-a-Service umstellen sowie die IT-Sicherheit erhöhen.
Eine höhere Sicherheit bei Cloud-Nutzung scheint es auf den ersten Blick auch zu geben: So sagen in der Bitkom-Umfrage zwei Drittel (64 %) der Unternehmen, die Cloud Computing nutzen, dass sie in den vergangenen zwölf Monaten überhaupt keinen Cyberangriff auf die Cloud-Umgebung hatten. Ein Viertel (26 %) berichtet von Angriffen, wobei aber die eigenen Security-Maßnahmen gegriffen hätten. Nur ein Prozent wurde demnach Opfer eines Cyberangriffs auf die Cloud-Umgebung, der zu starken Störungen des Betriebsablaufs führte.
Schwerwiegende Cloud-Vorfälle scheinen also eher selten und die Cloud ein sicherer Ort zu sein. Doch ist das wirklich so? Oder wurden viele Cloud-Vorfälle nicht als solche erkannt.
Auch die Cloud ist anfällig für Attacken
Schaut man sich die aktuelle „Cost of a Data Breach“-Studie des Ponemon-Instituts und von IBM Security an, erfährt man, dass 82 Prozent der Verletzungen der Datensicherheit Daten betrafen, die in der Cloud gespeichert waren. Unternehmen müssten Lösungen wählen, die in hybriden Umgebungen Transparenz bieten und Daten schützen, während sie zwischen Clouds, Datenbanken, Apps und Diensten in Bewegung sind, so IBM.
Die 2023 Thales Global Cloud Security Study nennt ebenfalls Zahlen, die die Vorstellung einer sehr sicheren Cloud durchaus erschüttern können: Diese Studie ergab, dass mehr als ein Drittel (39 %) der Unternehmen im vergangenen Jahr einen Datenverstoß in ihrer Cloud-Umgebung erlebt haben, ein Anstieg gegenüber den 35 Prozent im Jahr 2022. Darüber hinaus wurde menschliches Versagen als Hauptursache für die Cloud-Vorfälle gesehen.
Wenn man bedenkt, dass menschliches Versagen sowohl in der Cloud als auch in der internen IT möglich ist, sollte man also besser nicht einfach von einer hohen Cloud-Sicherheit ausgehen. Genau wie in der internen IT muss man einiges tun für die Sicherheit in der Cloud, denn diese ist für Cyberangriffe durchaus anfällig.
Und wieder hat es eine Cloud „erwischt“
Es lohnt sich, dazu ein aktuelles Beispiel näher zu betrachten: In den letzten Wochen wurde eine Ransomware-Attacke auf den Cloud-Diensteanbieter CloudNordic bekannt: Der Angriff wurde zeitlich auf die Nacht vom Freitag, den 18.08.2023, um 04:00 Uhr zugeordnet. Ein Ransomware-Angriff legte dabei nach Aussage des betroffenen Cloud-Anbieters alle Systeme lahm, Websites, E-Mail-Systeme, Kundensysteme, Websites der Kunden.
„Ein Einbruch, der CloudNordic völlig lahmgelegt hat und der auch unsere Kunden hart trifft“, so ein übersetztes Statement des Cloud-Providers. Über das interne Netzwerk verschafften sich die Angreifer Zugang zu zentralen Verwaltungssystemen und den Backup-Systemen, so der betroffene Provider. Schließlich gelang es den Angreifern, sich über das Backup-System Zugriff zu verschaffen auf Daten, Replikations-Backupsystem und sekundäres Backup-System.
Den Angreifern gelang es demnach, die Festplatten aller Server sowie das primäre und sekundäre Backup-System zu verschlüsseln, wodurch alle Maschinen abstürzten und der Zugriff auf alle Daten verloren ging, wie CloudNordic erklärte.
Der Anbieter nimmt an, dass die Angreifenden die Daten zwar verschlüsseln, aber nicht einsehen konnten, also keine großen Datenmengen abgeflossen wären. Wie CloudNordic weiter ausführt, war man nicht bereit und auch nicht in der Lage, das Lösegeld für die kriminell verschlüsselten Daten zu bezahlen. Stattdessen versuchte man, sich einen Überblick über den Schaden zu verschaffen und suchte Möglichkeiten zur Wiederherstellung der Daten. Leider gelang die Wiederherstellung aber für viele der Daten nicht, so dass der Großteil der Kunden wohl alle Daten verloren hat, die bei CloudNordic gespeichert waren.
eBook zum Thema
Cloud Risk Management
eBook Cloud Risk Management
(Bildquelle: CloudComputing-Insider)
Die Risiken, die bei dem Einsatz einer Cloud-Lösung bestehen, sind vielfältig: Von Datenverlust, unerlaubte Einsichten in sensible Daten bis hin zu Bedenken wegen Hardware-Schwachstellen. Viele Unternehmensbedrohungen gehen sogar über die klassischen IT-Risiken hinaus. Highlights dieses eBooks:
Welche Risiken für die Cloud es gibt
Cloud-Risiko-Management als Teil der Compliance
Wie sich Cloud-Risiken übergreifend managen lassen
Selbst Notfallkommunikation war nicht mehr möglich
„Wir sind zutiefst betroffen von der Situation und sind uns bewusst, dass der Angriff auch für viele unserer Kunden von großer Bedeutung ist. Zusätzlich zu den Daten haben wir auch alle unsere Systeme und Server verloren und hatten Schwierigkeiten bei der Kommunikation“, so die Übersetzung der Kundeninformation von CloudNordic. Man konnte dann die blanken Systeme ohne Daten wieder zum Laufen bringen, Nameserver, Webserver und Mailserver.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mittlerweile wurden die Blankosysteme wieder etabliert, wie Nameserver (ohne Daten), Webserver (ohne Daten) und Mailserver (ohne Daten). Hier sollen die Kunden dann die Möglichkeit erhalten, ihre Daten selbst wiederherzustellen. Dabei liegt die Betonung auf „selbst“.
Auf die interne IT kommt es (auch) an
Als Vorschläge zur Wiederherstellung der eigenen Websites nennt der Provider die Nutzung eigener lokaler Backups und auch Kopien von Wayback.
Erneut zeigt sich, wie wichtig auch die interne Datensicherheit und Datensicherung ist. Ebenso kann nicht oft genug auf das Prinzip der geteilten Verantwortung im Cloud Computing hingewiesen werden. Die eigenen Daten sollten also immer auch in eigener Verantwortung zusätzlich gesichert werden. Nur dann wird der Ausfall bei einem Cloud-Dienst nicht zum totalen Datenverlust für den Kunden.
Es zeigt sich: Die automatisch sichere Cloud gibt es nicht, und die sichere Cloud auch nur dann, wenn zusätzlich die interne IT-Sicherheit stimmt, insbesondere eigene Backups vorhanden sind.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/87/cc/87cc46c6c556a3562a37df663392d122/0128734661v1.jpeg "Indem Prozesse, Architektur und Technologie Hand in Hand gehen, lassen sich Unternehmen erfolgreich und effizient steuern. (Bild: © Tida - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/4b/184b80efa4e9d1d4d905806db297dd02/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/b7/ab/b7abb386791d088652b1f35a3a798f4a/0128763755v1.jpeg "Die mIT Cloud kombiniert eine an klassischen Rechenzentrumsstrukturen orientierte Bedienlogik mit der Skalierbarkeit moderner Cloud-Infrastrukturen und richtet sich an MSPs, IT-Systemhäuser und Softwarehersteller. (Bild: mitteldeutsche IT GmbH)")
:quality(80)/p7i.vogel.de/wcms/de/b9/deb9b7f5a96c953565fadeea9cf56104/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/28/2d2879636a16ebf0af36abf0f874ad9e/0128472093v1.jpeg "Das BSI hat gängige Passwortmanager getestet mit dem Ergebnis: Auch wenn nicht alle perfekt sind, überwiegt ihr Nutzen bei weitem die Defizite. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/87/4187221cff2be0b0bb5f87337c5f2f76/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/7b/4c7b3c364f1606ce3a140912b6ac6ffe/0128555714v1.jpeg "2026 werden Unternehmen KI-Technologien von Pilotprojekten zu konkreten Anwendungsfällen umsetzen. Die souveräne Cloud wird von einem vagen Konzept in eine konkrete Umsetzung übergehen. Auch werden Unternehmen werden die Notwendigkeit erkennen, alternative Hyperscaler zu nutzen, um Vendor-Lock-in zu vermeiden. (Bild: © Cre-AI-Tor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/4b/e04bba72be4e36c58fc25224109181b5/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/12/7a/127a202f8791993f3f4a23a57290e808/0128531184v1.jpeg "Der Fachkräftemangel und steigende technische Anforderungen zwingen IT-Entscheider dazu, ihre Infrastrukturstrategien zu überdenken und Alternativen zu traditionellen Eigenbetrieben zu prüfen, wie zum Beispiel Managed Colocation. (Bild: © weerasak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/49/e9498aba37024db6b189a1d1feb7b4b3/0128720331v1.jpeg "Suse und Evroc schließen eine strategische Partnerschaft für souveräne europäische Cloud-Lösungen. (Bild: Suse / Evroc)")
:quality(80)/p7i.vogel.de/wcms/73/43/73431f0d870ce966776025426b5934ba/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/f1/3cf11e80cb5ef8a61266cf8fe4235118/0128725329v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/f0/b8f0e9ee9aa10dd74db18c87c2de0842/0128527142v1.jpeg "Die WP3-Plattform der Dwpbank zeigt, wie sich Cloud-native Architekturen, Kubernetes und strenge regulatorische Anforderungen im Finanzumfeld vereinen lassen. (Bild: Michael Pasternack / Dwpbank)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/47/c3/47c38f4359d38b21aa65391358de5fca/0128106074v1.jpeg "Daten sind wertvoll und auch in SaaS-Zeiten muss gesichert werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d0/2a/d02a8364c5d2c31a652f4103c7732dc8/0124202268v1.jpeg "Eine digitale Welt ohne Gefahren: Diese Vorstellung gleicht einem Schlaraffenland. Doch wer im Vorfeld gut plant, den kann auch eine Cyberattacke nicht allzu sehr aus der Bahn werfen. Entscheider sollten nur wissen wie – und aktiv handeln. (Bild: notarobotyet - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/a7/4ca78496d20a20be90ed73795d8b5ec6/0122699065v1.jpeg "Cloud-Sicherheit hat ein (neues) Ziel. (Bild: BritCats Studio - stock.adobe.com)")