Zu den Gewissheiten des Cloud-Zeitalters zählt, dass Menschen essen, schlafen und Daten offenlegen. Allein in der Zeit, in der Sie diesen Artikel lesen, wird sich der Explosionsradius, also die Daten, die durch ein einziges kompromittiertes Konto gefährdet sind, signifikant erhöhen.
Cyberkriminelle haben vor allem die Daten im Visier, weshalb diese auch im Zentrum der Sicherheitsstrategie stehen sollten.
(Bild: olly - stock.adobe.com)
Längst befinden sich die meisten kritischen Daten in der Cloud oder in einer hybriden Umgebung mit mehreren komplexen SaaS-Anwendungen: von Quellcode und geistigem Eigentum über Kunden- und Personaldaten bis hin zu Chats und Meetings.
Aus Sicherheitssicht kommt erschwerend hinzu, dass jeder Anbieter eine andere Sprache spricht und jede Anwendung ihr eigenes Sicherheitsmanagement, eigene Berechtigungsmodelle, Ereignisprotokollformate und lokale Benutzer-Repositories aufweist. Und genauso schnell, wie sich die Cloud-Umgebungen in Unternehmen weiterentwickeln, entwickelt sich auch die damit verbundene Bedrohungslage. Bei der Vielzahl möglicher Angriffspunkte und Risiken, ist es wichtig, sich auf die schwerwiegendsten Bedrohungen zu konzentrieren.
1. Identitätsrisiken
Identitäten sind nicht nur im Zusammenhang mit der Cloud ein wesentlicher Sicherheitsaspekt, werden durch sie aber immer stärker zu einem entscheidenden Faktor. In der Cloud-Welt verfügen die Mitarbeitenden über zahlreiche Konten, während sie zu On-Premises-Zeiten meist mit nur einem Konto gearbeitet haben. Dieses hatte Zugang zu verschiedenen Ressourcen im Netzwerk und zu verschiedenen Bereichen, in denen es auf Daten zugreifen konnte. Mit der Verlagerung von mehr und mehr Ressourcen und Workloads in die Cloud haben wir es mit zahlreichen Anbietern zu tun, wobei jede dieser Cloud-Anwendungen einen eigenen Satz von Identitäten erzeugt. Aus der Security-Perspektive wird es also immer schwieriger, diese verschiedenen Konten nicht nur zu überwachen, sondern auch zu schützen.
Hinzu kommen noch persönliche Konten der Mitarbeitenden. So wird es kaum jemanden geben, der nicht über mindestens einen privaten Google-Account verfügt. Auf diese Weise verschwimmen die Grenzen zwischen geschäftlicher und privater Nutzung, was seitens der Anbieter durchaus beabsichtigt ist, um die Nutzung der Plattform zu steigern. Aber auch aus Sicht der Mitarbeitenden hat dies Vorteile, indem sie beispielsweise auch von ihren eigenen Rechnern auf Dateien zugreifen können.
Sicherheitsverantwortliche müssen eine Bestandsaufnahme der einzelnen Cloud-Anwendungen innerhalb des Ökosystems vornehmen. In der Regel erzeugt jede Cloud-Anwendung eine eigene Identität. Die Security-Teams müssen also verstehen, welche Arten von Cloud-Anwendungen es gibt, wie viele Benutzer eine Anwendung verwenden und dann beginnen, die verschiedenen Eigenschaften dieser Konten zu verstehen. Gibt es User, die intern im Unternehmen sind, oder wird auch externen Nutzern der Zugriff auf diese Anwendungen erlaubt? Gleichzeitig wird der Offboarding-Prozess immer bedeutsamer. Es reicht nicht mehr, nur die Firmenkonten zu deaktivieren. Sicherheitsverantwortliche müssen vielmehr auch identifizieren können, wo persönliche Konten noch Zugriff auf Unternehmensdaten haben, und diese dann sperren.
2. Konfigurationsrisiken
Ein großes Risiko geht auch von den gewählten Konfigurationen einer Cloud-Anwendung aus. Was ist ein- und was ist ausgeschaltet? Dabei kommt es nicht nur darauf an, wie die App selbst konfiguriert ist, sondern auch die verschiedenen Mandanten innerhalb dieser Cloud-App. Sicherheitsverantwortliche müssen zudem in der Lage sein, nicht nur zu erkennen, wer darauf zugreifen, sondern auch, wie darauf zugegriffen werden kann, sei es über eine API oder etwa ein entsprechendes Portal.
Allerdings sind es häufig nicht die Security-Teams, die die Sicherheitskontrollen einer App konfigurieren, sondern die Administratoren der Anwendung. Diese sind von Natur aus eher an Nutzerfreundlichkeit und Produktivität interessiert und vernachlässigen so (meist unbewusst) Sicherheitsaspekte. Dies gilt insbesondere, wenn die Kommunikation zwischen ihnen und den Sicherheitsverantwortlichen nicht optimal abgestimmt ist.
Mit der zunehmenden Cloud-Nutzung hat sich in jüngster Zeit der Bereich des Posture Managements entwickelt, der sich sehr stark auf die Konfigurationen konzentrier: Wie verstoßen diese gegen Compliance-Vorgaben und legen potenziell Daten frei? Posture Management ist umso sinnvoller, als jede Applikation ihren eigenen Satz an Parametern, Berechtigungen und Einstellungsmöglichkeiten aufweist. Sicherheitsverantwortliche sind kaum in der Lage, jede einzelne Anwendung von Salesforce über Google bis zu Microsoft 365 so im Detail zu kennen, um angesichts der zahlreichen Updates immer auf dem neuesten Stand zu sein. Die Aggregation der Einstellungen durch ein modernes Posture Management zeigt riskante Einstellungen und Abweichungen von Best Practices und verbessert so die Sicherheitslage enorm.
3. Drittanbieterrisiken
Ein häufig übersehenes Risiko stellen Drittanbieter-Apps dar. Sie erlauben es Applikationen, mit anderen Applikationen zu interagieren und damit Prozesse zu vereinfachen. Hierfür werden ihnen von den Nutzern häufig umfangreiche Rechte eingeräumt. Unternehmen unterschätzen dabei nicht nur die Anzahl der genutzten Drittanbieter-Apps, sondern auch die potenziellen Gefahren, die von ihnen ausgehen. So können diese beispielsweise Schwachstellen enthalten, im Laufe der Zeit nicht mehr weiterentwickelt und in der Folge sicherheitskritisch werden oder sogar gefälscht sein und für Supply-Chain-Angriffe verwendet werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Grundsätzlich räumen User den Drittanbieter-Apps teilweise sehr weitgehende Rechte ein, wodurch sie oftmals den gleichen Zugriff wie der Nutzer haben, der sie installiert. Gleichzeitig laufen sie häufig unter dem Radar: Mitarbeitende müssen sich häufig jeden Tag neu authentifizieren, Drittanbieter-Apps in aller Regel nicht: Sie behalten den Zugriff, bis sie gelöscht werden. Auf diese Weise wird der Blast Radius verdoppelt. Deshalb sollten diese Anwendungen wie Geräte oder Konten betrachtet werden.
Sicherheitsverantwortliche müssen kontinuierlich erkennen können, welche Anwendungen miteinander verbunden sind und welchen Zugriff sie haben sowie das Risiko dieser Anwendungen bewerten. Gegebenenfalls sollten dann Berechtigungen reduziert bzw. Apps entfernt werden.
4. Cloud-Schwachstellen
Die Grenze zwischen Fehlkonfigurationen und Cloud-Schwachstellen ist häufig ein wenig fließend. Der Hauptunterschied besteht darin, dass es sich bei Fehlkonfigurationen um Einstellungen oder Funktionen handelt, die vorgesehen sind, jedoch unsachgemäß oder nicht nach bewährten Verfahren verwendet werden. Im Gegensatz dazu handelt es sich bei Schwachstellen um Sicherheitslücken wie Bugs, Zero-Days oder Fehler im Code. Das Ergebnis kann jedoch das Gleiche sein, wie wir bei den zahlreichen Lieferketten-Angriffen der letzten Jahre gesehen haben.
Gleichwohl ist dieses Risiko schwer zu kontrollieren. Unternehmen müssen sich auf die Anbieter und ihre Fähigkeit, Fehler zu beheben und zeitnah Patches bereitzustellen, verlassen können. Sicherheitsteams bleibt im Grunde nur, die Anwendungen zu überwachen und über einen entsprechenden Audit-Trail zu verfügen, um die Risiken zu verstehen und zu begrenzen. Setzt man einen datenzentrierten Sicherheitsansatz auch in der Cloud um und überwacht effektiv ungewöhnliches Nutzerverhalten, lassen sich jedoch die Auswirkungen auch einer ausgenutzten Schwachstelle minimieren.
5. Datenzugriffsrisiken
Cloud-Collaboration-Tools sind vor allem auf eine einfache Zusammenarbeit und Dateifreigabe ausgerichtet. Microsoft 365, Google und Co. sind so konzipiert, dass die User dazu ermuntert werden, Daten zu teilen: mit einzelnen Mitarbeitenden, unternehmensweit, oder sogar per Link mit jedem, der über einen Internetzugang verfügt. Die Kontrolle liegt nunmehr bei den einzelnen Mitarbeitenden und nicht mehr bei den IT- und Security-Teams. Dabei gehen sie leider oft den Weg des geringsten Widerstands und erteilen im Zweifel zu weitgefasste Rechte.
Oftmals deaktivieren Unternehmen die öffentliche Freigabe und wähnen sich damit auf der sicheren Seite. Doch der Schein trügt: Eine unternehmensweite Freigabe ermöglicht den Zugriff von hunderten bis tausenden Mitarbeitenden, die diesen gar nicht benötigen – wodurch der Explosionsradius erhöht wird. Gleichzeitig sollten man sich nicht nur darauf konzentrieren, wie viele Dokumente geteilt werden, sondern auch darauf, um welche Art von Informationen es sich dabei handelt. Whitepaper und Produktdokumentationen stellen keine Gefahr dar, wenn sie (extern) geteilt werden.
Bei vertraulichen Dokumenten, geistigem Eigentum und sensitiven Daten sieht es natürlich ganz anders aus. Hier müssen Sicherheitsverantwortliche nachvollziehen können, wer diese mit wem geteilt hat und wie diese genutzt werden. Zeigen sich hier auffälliges Verhalten oder Richtlinienverstöße, müssen sie in der Lage sein, den Zugriff zu unterbinden, und gegebenenfalls weitere Schutzmaßnahmen einleiten.
Die genannten Risiken sind beileibe nicht die einzigen, aber die derzeit größten. Es wird immer wieder neue Angriffsvektoren und Risikobereiche geben. Aber ganz gleich, wie der potenzielle Angriffsvektor aussieht: Das Ziel der Cyberkriminellen ist stets dasselbe – die Daten. Deshalb sollten diese auch im Zentrum der Sicherheitsstrategie stehen. Wenn man App-übergreifend weiß, welche Daten wo gespeichert sind, wer Zugriff auf sie hat und wie sie geteilt werden, ist man in der Lage, entsprechende Abwehrmaßnahmen zu ergreifen und so auch die größten Cloud-Risiken zu adressieren.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/04/c5/04c59ee8e7c17d436f290aa712af855a/0123391412v1.jpeg "AWS will mit ausgewählten Sicherheitsstrategien effektiv vor Datenrisiken in der AWS-Cloud schützen. (Bild: Best - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/73/7b7343b7425478b9cc7f85e6c1a4aabb/0123408780v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")