Viele Cloud-Risiken hängen mit unsicheren Identitäten zusammen, ob es sich um Schwachstellen bei Schnittstellen, bei Cloud-Apps oder in der Cloud-Administration handelt. Wir haben uns auf dem CloudFest 2024 umgesehen, um Lösungen für eine durchgehende Cloud Security zu finden. Sie reichen von Cloud-IDs über API-Management bis hin zum Code Signing.
Das CloudFest 2024 fand vom 18. bis 21. März 2024 im Europa-Park Rust statt und konnte in diesem Jahr bereits sein 20. Jubiläum begehen.
(Bild: Oliver Schonschek)
Die vielen Gesichter der Cloud-Sicherheit
Die Cloud muss sicher sein, damit Cloud Computing erfolgreich ist. Das ist der aktiven Cloud Community, die sich zum CloudFest 2024 im Europa-Park in Rust versammelt hatte, mehr als bewusst. Doch was genau bedeutet Cloud-Sicherheit? Was ist alles dafür notwendig?
Umfragen wie die der Cloud Security Alliance (CSA) zeigen, dass mehr als Dreiviertel der Unternehmen nicht genau wissen, wie sie den Cloud-Bedrohungen begegnen können. Die Cloud ist sehr vielschichtig und komplex, auch wenn sich Cloud-Nutzende eigentlich eine Vereinfachung ihrer IT durch die Cloud wünschen. In Wirklichkeit aber ist die Cloud eine Multi Hybrid Cloud und reicht von den Clouds über Edge bis hin zu On-Premises. Entsprechend vielschichtig ist die Cloud Security.
Betrachtet man aber die Top-Risiken im Cloud Computing, zum Beispiel den Pandemic 11 Report der CSA oder den Cloud Threat Report von Palo Alto Networks, stellt man fest, dass neben der hohen Komplexität ein weiterer Risikoschwerpunkt auszumachen ist: unsichere Identitäten.
Aus gutem Grund also fand man auf dem CloudFest 2024 auch zahlreiche Anbieter, die sich direkt oder indirekt mit digitalen Identitäten für die Cloud befassen. Hier sind einige Beispiele, die uns aufgefallen sind.
Lösungssuche auf dem CloudFest 2024
Ein Hauptthema war die Cloud-Sicherheit, die zum Drahtseilakt werden kann, wenn man nicht alle Risiken in den Blick nimmt.
(Bild: Oliver Schonschek)
Als Top-Risiko für die Cloud sieht die CSA eine unzureichende Identitäts-, Anmeldedaten-, Zugriffs- und Schlüsselverwaltung. Offensichtlich bedarf es einer übergreifenden Identitätslösung für die Multi Hybrid Cloud. Okta zum Beispiel stellte hierzu Okta Privileged Access für sichere Zugriffe auf sensible Ressourcen durch ein einheitliches Access- und Government-Management vor, nutzbar On-Prem, in der Cloud und in Multi-Cloud-Umgebungen. Dabei geht es insbesondere darum, fragmentierte Tools für Identity, Governance und Privileged Access zu vermeiden, da sie die Durchsetzung von Policies erschweren.
Auf Platz 2 der Cloud-Risiken nach CSA finden sich die unsicheren Schnittstellen und APIs. Zum einen muss sichergestellt werden, dass Schnittstellen und APIs trotz Komplexität fehlerfrei sind, zum anderen haben auch APIs eine eigene digitale Identität. Es muss immer prüfbar sein, ob die API, die man nutzen und ansprechen will, auch die ist, die sie vorgibt zu sein. Eine zentrale API-Management-Plattform wie Frends dient dazu, zum einen die API-Komplexität zu senken, aber auch durch die API-Transparenz zu gewährleisten, dass fehlerhafte oder auch gefälschte APIs erkannt und verhindert werden. Cloud bedeutet Integration, von On-Premises mit Clouds, von Clouds untereinander, aber auch entlang der Supply Chain über Partnergrenzen hinweg. Integrationslücken bieten Angreifern Ansatzpunkte, um die Cloud anzugreifen.
Der Feind in der Cloud-App
Ein weiteres, führendes Cloud-Risiko ist die unsichere Softwareentwicklung und die unsicheren Ressourcen Dritter. Darunter sollte man aber nicht nur Fehler in der Entwicklung verstehen, sondern auch gezielte Angriffe über Software-Pakete. Wenn Cloud-Apps aktualisiert werden, muss sichergestellt werden, dass die Updates auch wirklich von dem Anbieter kommen und nicht von Cyberkriminellen.
EasyDmarc bietet eine SaaS-Lösung für E-Mail-Sicherheit und Zustellbarkeit, wie Gerasim Hovhannisyan (CEO und Mitbegründer) erklärte.
(Bild: Oliver Schonschek)
Deshalb sind auch Lösungen für Code Signing wie die von Certum ein Teil der Cloud-Sicherheit, der nicht vergessen werden sollte. Nur wenn die Apps vertrauenswürdig sind, kann sichergestellt werden, dass Apps und Updates keine Hintertür in die Cloud werden.
Endpoints und Phishing als Cloud-Risiko
Es sind aber auch die Klassiker der Cyberbedrohungen, die die Cloud bedrohen, seien es verseuchte Endpoints oder aber Phishing-Mails, die dazu dienen, an Zugangsdaten und Berechtigungen für Cloud-Services zu gelangen.
Auf dem CloudFest waren mehrere Anbieter im Bereich Dmarc wie EasyDmarc, Sendmarc und Dmarc Advisor. Mit Dmarc kann das Risiko durch Phishing-Mails, die gefälschte Identitäten nutzen, minimiert werden.
Aber auch Attacken über unsichere Endpoints bedrohen die Cloud und gehören zum Cloud-Risiko Organisierte Kriminalität/Hacker/APT. Unsichere Apps, die auf Cloud-Services zugreifen wollen, können zum Beispiel mit einer Lösung wie ThreatLocker Ringfencing blockiert werden, die ebenfalls auf dem CloudFest vorgestellt wurde.
Das Ziel lautet: Eigene Cloud-Risiken kennen und minimieren
Die Cloud-Sicherheit muss alle Cloud-Risiken berücksichtigen, die bewertet und priorisiert werden müssen, wie Qualys erklärte.
(Bild: Oliver Schonschek)
Für Unternehmen, die ihre eigenen Cloud-Schwachstellen und -Risiken identifizieren wollen, gab es auf dem CloudFest 2024 ebenfalls Lösungen zu sehen, wie Qualys Cloud Detection and Response.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Es zeigt sich: Cloud-Sicherheit ist deutlich umfassender zu sehen als eine sichere Cloud-Infrastruktur. Anders gesagt, gehört weitaus mehr zu einer sicheren Cloud-Infrastruktur dazu, wie es auf den ersten Blick scheint. Das CloudFest ist eine gute Gelegenheit, den Blick auf Cloud-Sicherheit zu weiten. Das ist auch dringend notwendig, denn die Angreifergruppen haben einen sehr guten Blick auf die Cloud-Schwachstellen und nutzen diese umgehend aus, wenn sich eine Gelegenheit bietet. Das sollte die Cloud Community zu verhindern wissen.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/4b/184b80efa4e9d1d4d905806db297dd02/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/b7/ab/b7abb386791d088652b1f35a3a798f4a/0128763755v1.jpeg "Die mIT Cloud kombiniert eine an klassischen Rechenzentrumsstrukturen orientierte Bedienlogik mit der Skalierbarkeit moderner Cloud-Infrastrukturen und richtet sich an MSPs, IT-Systemhäuser und Softwarehersteller. (Bild: mitteldeutsche IT GmbH)")
:quality(80)/p7i.vogel.de/wcms/8b/35/8b351ea0325a2dd165c56d29062bccf2/0128355283v1.jpeg "Autor Thomas Joos schreibt über den hybriden SAP-Betrieb: on premises und in der Cloud. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/28/2d2879636a16ebf0af36abf0f874ad9e/0128472093v1.jpeg "Das BSI hat gängige Passwortmanager getestet mit dem Ergebnis: Auch wenn nicht alle perfekt sind, überwiegt ihr Nutzen bei weitem die Defizite. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/87/4187221cff2be0b0bb5f87337c5f2f76/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/60/7860b4ca6dfb7e48c306fe3caca246e1/0128271912v1.jpeg "Arbeitgeber setzen zunehmend digitale Mittel ein, um ihre Mitarbeitenden zu kontrollieren. Doch nicht jede Überwachungsmaßnahme ist erlaubt. (Bild: © Tatiana Shepeleva - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/7b/4c7b3c364f1606ce3a140912b6ac6ffe/0128555714v1.jpeg "2026 werden Unternehmen KI-Technologien von Pilotprojekten zu konkreten Anwendungsfällen umsetzen. Die souveräne Cloud wird von einem vagen Konzept in eine konkrete Umsetzung übergehen. Auch werden Unternehmen werden die Notwendigkeit erkennen, alternative Hyperscaler zu nutzen, um Vendor-Lock-in zu vermeiden. (Bild: © Cre-AI-Tor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/4b/e04bba72be4e36c58fc25224109181b5/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/12/7a/127a202f8791993f3f4a23a57290e808/0128531184v1.jpeg "Der Fachkräftemangel und steigende technische Anforderungen zwingen IT-Entscheider dazu, ihre Infrastrukturstrategien zu überdenken und Alternativen zu traditionellen Eigenbetrieben zu prüfen, wie zum Beispiel Managed Colocation. (Bild: © weerasak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/49/e9498aba37024db6b189a1d1feb7b4b3/0128720331v1.jpeg "Suse und Evroc schließen eine strategische Partnerschaft für souveräne europäische Cloud-Lösungen. (Bild: Suse / Evroc)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/f1/3cf11e80cb5ef8a61266cf8fe4235118/0128725329v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/f0/b8f0e9ee9aa10dd74db18c87c2de0842/0128527142v1.jpeg "Die WP3-Plattform der Dwpbank zeigt, wie sich Cloud-native Architekturen, Kubernetes und strenge regulatorische Anforderungen im Finanzumfeld vereinen lassen. (Bild: Michael Pasternack / Dwpbank)")
:quality(80)/p7i.vogel.de/wcms/47/c3/47c38f4359d38b21aa65391358de5fca/0128106074v1.jpeg "Daten sind wertvoll und auch in SaaS-Zeiten muss gesichert werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/78/657840ef8b6d6/nutanix-logo-charcoal-gray-digital.png "nutanix-logo-charcoal-gray-digital (Nutanix)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f4/e9/f4e99afaf2d6cbb2c53686bc95f20da7/0117472640.jpeg "Der Europa-Park in Rust erwies sich auch in diesem Jahr den 11.500 Besucherinnen und Besuchern als freundlicher Gastgeber.(Bild: Elke Witmer-Goßner)")
:quality(80)/p7i.vogel.de/wcms/7b/1d/7b1d9ed2da2c7df6320984b569e34bec/0117472644.jpeg "Christian Jaeger, CEO CloudFest (re.), und Soeren von Varchmin, Chairman Advisory Board CloudFest (li.), eröffnen das CloudFest 2024 im Europa-Park Rust. Neben Johannes Steck von der Team Internet Service GmbH und Bernd Simeth von RNT Rausch, ist auch Sander Cruiming von XXL Hosting (in der Bildmitte) zum 20. Mal Teilnehmer des CloudFest.(Bild: Elke Witmer-Goßner)")
:quality(80)/p7i.vogel.de/wcms/be/05/be0565f29c74eb5bb84858fced7bc1b3/0117472704.jpeg "Am Morgen kamen Besucher der Ausstellung noch gut von Stand zu Stand – im Laufe des Tages staute es sich dann zunehmend in allen Gängen.(Bild: Elke Witmer-Goßner)")
:quality(80)/p7i.vogel.de/wcms/19/9e/199e8378987c896ad19169d582ed1da0/0117472720.jpeg "Die Gänge in der Ausstellung zum CloudFest 2024 waren gut gefüllt, die Mägen der Teilnehmenden auch.(Bild: Oliver Schonschek)")
:quality(80)/p7i.vogel.de/wcms/7b/73/7b7343b7425478b9cc7f85e6c1a4aabb/0123408780v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/da/a7da73ece1d6741ebfe768661b666ac1/0126745194v1.jpeg "Sicherheitsteams müssen unzählige Identitäten und Berechtigungen im Auge behalten, die über eine Vielzahl von Cloud-Services verstreut sind – ohne eine durchdachte Strategie für Identity Security ist das nicht mehr zu schaffen. (Bild: © Thares2020 - stock.adobe.com)")