Die Entwicklung und der sichere, richtlinientreue Betrieb von Anwendungen werden durch die Komplexität und verteilte Natur von Cloud-Infrastrukturen immer schwieriger. Unternehmen müssen daher neue Wege gehen – bestenfalls mit dem CEA-Framework als Navi.
Ein CEA-Framework bringt GRC von der Papier-Policy in Code, verankert Kontrollen in CI/CD und automatisiert Prüfungen sowie Remediation. Ergebnis: mehr Transparenz, weniger Fehlkonfigurationen, schnellere Audits und kürzere MTTR in Cloud-nativen Umgebungen.
Governance, Risikomanagement und Compliance – kurz GRC – spielen im Kontext Cloud-nativer Ansätze eine immer wichtigere Rolle. Der Druck auf Unternehmen steigt daher, ihre Anwendungen zu modernisieren, um Cloud-Security- und Compliance-Anforderungen zu erfüllen, GRC-Kontrollen sowie Audits zu automatisieren und ihre Incident Response zu verbessern. Die große Herausforderung für sie ist, Sicherheit, Flexibilität, Skalierbarkeit und Compliance in der schnelllebigen, Cloud-nativen Welt in Einklang zu bringen.
GRC bedeutet auch: Geteilte Verantwortung ist nicht halbe Verantwortung
Unternehmensinterne und externe Rahmenwerke liefern im Cloud-Kontext die Vorgaben, um diese Harmonie zu schaffen. Deren Einhaltung soll sicherstellen, dass der Datenschutz und die Sicherheit gewährleistet sind. Das wohl bekannteste externe Rahmenwerk ist die Datenschutzgrundverordnung (DSGVO). Für bestimmte Branchen gibt es weitere, noch strengere Vorgaben, etwa das Patientendatenschutzgesetz (PDSG) für das Gesundheitswesen. Für die IT-Sicherheit und das Risikomanagement gibt es ebenfalls umfangreiche Regularien wie das IT-Sicherheitsgesetz in Deutschland sowie die EU-weit geltende NIS2-Richtlinie (Network and Information Security 2) für Unternehmen der kritischen Infrastruktur. Viele Unternehmen haben über die offiziellen Rahmenwerke hinaus, die die Compliance definieren, auch interne Richtlinien und Standards. Deren Vorgaben orientieren sich speziell auf unternehmensinterne Prozesse und Strukturen.
Die dynamische Natur eines Cloud-nativen Ansatzes macht es für Unternehmen besonders schwierig, diesen Rahmenwerken zu entsprechen. Eines der wichtigsten Hemmnisse in dieser Hinsicht ist die Tatsache, dass die Verantwortung für die Sicherheit der gesamten IT-Umgebung zwischen Cloud-Anbieter und Nutzer geteilt ist. Unternehmen können nicht die gesamte Verantwortung einfach an einen externen Dienstleister abtreten, auch wenn der Cloud-Provider integrierte Mechanismen für die Sicherheit der grundlegenden Cloud-Infrastruktur bereitstellt. Anwendungen und Daten müssen Unternehmen dennoch selbst schützen.
Eine weitere Herausforderung stellen komplexe Cloud-Ökosysteme mit vielen Microservices dar, die sich über verschiedene Ebenen und geografische Regionen erstrecken. Dieser Umstand in Verbindung mit deutlich schnelleren Deployment-Zyklen erschwert die Nachverfolgung von Datenflüssen, was die Einhaltung von Compliance-Richtlinien zwar nicht unmöglich, deren Überprüfung allerdings schwerer macht. Zudem erhöht die steigende Komplexität elaborierter Cloud-Ansätze die Gefahr auf fehlerhafte Konfigurationen der Ressourcen.
Transparenz ist das A und O
Doch damit nicht genug: IT-Teams müssen nämlich nicht nur die Verantwortung dafür übernehmen, dass Cloud-Anbieter die GRC-Vorgaben ihres Unternehmens einhalten. Sie müssen auch dafür Sorge tragen, dass die eigenen Anwendungen diesen Richtlinien entsprechen. Im Cloud-Zeitalter ist es ebenfalls Usus, Services von Drittanbietern zu nutzen, teils in einem sehr umfangreichen Maß. Hinzu kommen Anfragen interner Auditoren und externer Regulierungsbehörden, die in der Regel manuell beantwortet werden müssen. All diese Faktoren führen zu überlasteten IT-Verantwortlichen, was die Einhaltung der GRC-Richtlinien zunehmend erschwert.
Um ein resilientes Cloud-natives Ökosystem aufzubauen und zu betreiben, ist überdies eine robuste Incident Response entscheidend. Während einige Vorfälle nur Cloud-Umgebungen betreffen, bedrohen Sicherheitsverletzungen, Compliance-Verstöße und betriebliche Zwischenfälle jede Umgebung. Die Verwaltung solcher Incidents in einer Cloud-nativen Umgebung ist jedoch besonders herausfordernd, denn Unternehmen haben selten eine vollständige Sichtbarkeit über das gesamte Ökosystem hinweg. Die erwähnten komplexen Strukturen, die durch eine verteilte Infrastruktur entstehen, erschweren es deutlich, Transparenz herzustellen. Manche Vorfälle fallen so unter den Tisch und führen zu GRC-Verstößen, wobei auch häufige Änderungen an der Cloud-Umgebung diesen Umstand begünstigen.
Da die Einhaltung von GRC-Vorgaben mit der Modernisierung von Anwendungen einhergehen muss, benötigen Unternehmen Unterstützung, die es in Form sogenannter Modernisierungs-Frameworks gibt. Eines der bewährtesten ist das CEA-Framework, dessen Name sich aus den drei Grundpfeilern Codify, Embed und Automate herleitet.
Bei der Codifizierung geht es vorrangig darum, GRC-Richtlinien, -Policies und -Vorgaben in ausführbaren Programmcode zu übersetzen. Sicherheits- und Compliance-Anforderungen sind somit nicht nur als Handbuch im PDF-Format vorhanden, das von Menschen gelesen werden kann, sondern eben als Datei, deren Quellcode auch von der Maschine verstanden wird. Die wohl am weitesten verbreitete Sprache für diesen „Policy as Code“- oder „Compliance as Code“-Ansatz ist YAML, da die Auszeichnungssprache relativ leicht von Menschen und Maschinen gleichermaßen verstanden wird. Um den Aufwand der Codifizierung gering zu halten, empfiehlt es sich, wiederverwendbare Templates anzulegen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Policy as Code erleichtert es allerdings nicht nur, GRC-Richtlinien durchzusetzen. Unternehmen können auch via Compliance-Scans, die auf branchenweit anerkannten Benchmarks basieren, ihre GRC-Bemühungen mühelos bewerten. Die CIS-Benchmarks vom Center for Internet Security enthalten Best Practices zur Absicherung verschiedener Technologien wie Cloud-Services oder Container-Umgebungen und geben spezifische Empfehlungen für Angebote der großen Hyperscaler. Die STIGs (Security Technocal Implementation Guides) der Defense Information Systems Agency (DISA) bieten detaillierte Anleitungen zur sicheren Konfiguration von Systemen und Anwendungen in Cloud-nativen Umgebungen.
Da die Ergebnisse der GRC-Scans ebenfalls für Mensch und Maschine gleichermaßen verständlich sind, können Unternehmen Abweichungen leichter beheben (Remediation) oder in speziellen Fällen Ausnahmen erteilen. Es gibt zudem Tools, mit denen Unternehmen Remediation-Vorgänge auf Basis der CIS- und DITA-STIG-Scanergebnisse automatisieren können. Konfigurationsmanagement-Tools, die auf den Prinzipien von Infrastructure as Code aufbauen, helfen ihnen dabei, Fehlkonfigurationen ihrer Cloud-Umgebungen zu vermeiden.
Embedding stärkt Compliance
Durch die Codifizierung ergibt sich auch die Möglichkeit, sogenannte Continuous Compliance zu implementieren. Codifizierte Scans und Konfigurationen integrieren IT-Teams so in ihre CI/CD (Continuous Integration und Continuous Deployment)-Pipelines. Änderungen im Stack oder Code überprüfen entsprechende Tools dann sofort auf Compliance.
Ultimativ bedeutet das, dass Unternehmen die Prüfung auf GRC-Kompatibilität von Anwendungen weiter in Richtung der Entwicklung verschieben (Shift Left). Mit Hilfe codifizierter Remediations im Automatisierungs-Workflow ist es sogar möglich, Vorfälle praktisch ohne Auswirkungen zu beheben.
Automation beschleunigt Reaktionszeit
Durch den Einsatz automatisierter Prozesse lassen sich Compliance-Audits und die Beweiserfassung effizienter gestalten, wenn Richtlinien sowohl von Maschinen als auch Menschen lesbar abgebildet werden können. Dadurch werden Workflows optimiert und der manuelle Aufwand deutlich reduziert. Ergänzend sorgt ein intelligentes, automatisiertes Alerting dafür, dass passende Tools Anomalien entsprechend ihrer Kritikalität gezielt an die richtigen Personen über die passenden Kanäle melden.
Dieses Vorgehen wirkt der sogenannten Alert Fatigue (Alarmmüdigkeit) entgegen, die entsteht, wenn zahlreiche Warnungen und Benachrichtigungen IT-Teams überlasten. Der positive Nebeneffekt ist eine erhöhte Reaktionsfähigkeit der IT-Teams. Auf dieser Grundlage ermöglicht eine automatisierte Remediation, erkannte Schwachstellen mithilfe vordefinierter, codifizierter Maßnahmen schneller zu beheben und so die Mean Time to Recovery (MTTR) signifikant zu verkürzen.
Continuous Compliance für Cloud-native Ansätze
Das CEA-Framework ist das Fundament auf dem Continuous Compliance steht und ermöglicht die nahtlose Integration von GRC-Anforderungen in klassische DevOps-Prozesse. Das hat auch positive Auswirkungen auf die Zusammenarbeit zwischen DevOps-, IT-Security- und Audit-Teams. Entwickler und Administratoren können GRC-Kontrollen frühzeitig und automatisiert in ihre Pipelines einbinden, wodurch sie die Notwendigkeit späterer Anpassungen reduzieren und Releases beschleunigen können. IT-Security-Teams erhalten kontinuierlich Daten über den Compliance-Status und können so Abweichungen frühzeitig erkennen sowie priorisiert beheben. Auditoren wiederum profitieren von automatisierter Nachweisführung und stets aktuellen, nachvollziehbaren Daten.
Auf diese Weise entfallen aufwändige manuelle Dokumentationen. Das Ergebnis ist eine gemeinsame Datenbasis, die Transparenz schafft, Reaktionszeiten verkürzt und die Zusammenarbeit zwischen allen Abteilungen verbessert.
* Die Autorin Girija Kolagada ist VP of Engineering bei Progress.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4c/a7/4ca78496d20a20be90ed73795d8b5ec6/0122699065v1.jpeg "Cloud-Sicherheit hat ein (neues) Ziel. (Bild: BritCats Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/c4/bfc48d51e7c88531ffd495be79c3a071/0123408210v1.jpeg "Um Cybersicherheit in einer Multicloud-Umgebung gewährleisten zu können, erfordert es die Definition cloud-übergreifender Sicherheitsrichtlinien und Standards, die alle Plattformen nahtlos abdecken. (Bild: peerapong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/a4/77a496666db2c60fbdf85547a27c559d/0126627715v1.jpeg "Cloud-native DevOps und Security by Design beschleunigen die Entwicklung von Software-Defined Vehicles und sichern regulatorische Konformität. (Bild: © vegefox.com - stock.adobe.com)")