Die Ausbreitung der Cloud während der Pandemie vollzog sich so rasant, dass die Sicherheitsbedenken, die sie lange gebremst hatte, häufig über Bord geworfen wurden. Um dennoch ein gewisses Security-Niveau zu gewährleisten, wurden vielfach bewährte Ansätze aus der On-Premises-Zeit auf die Cloud übertragen – mit mäßigem Erfolg.
„Die“ Cloud-Sicherheitsstrategie gibt es nicht. Das Listicle von Varonis weist aber schon einmal in die Richtung, die Unternehmen zur Absicherung ihrer Cloud-Nutzung einschlagen sollten.
(Bild: lucadp - stock.adobe.com)
Der komplette Aufbau eines Cloud-Sicherheitsprogramms kann entmutigend sein – zu groß und vielschichtig scheinen die Bedrohungen und die mit ihnen verbundenen Herausforderungen. Wie fängt man an, welche Punkte sind wesentlich und was sollten die ersten Schritte sein? Es gibt kein Patentrezept für Cloud-Sicherheit, aber diejenigen, die ein solides Fundament für ihr Programm schaffen wollen, sollten sich an den folgenden Schritten orientieren, die Sebastian Mehle, Account Manager bei Varonis Systems formuliert hat:
1. Identifizieren Sie alle im Unternehmen genutzten Cloud-Anwendungen
Der erste Schritt zu einer Cloud-Security-Strategie ist die unternehmensweite Bestandsaufnahme der genutzten Applikationen. Hierfür gibt es mehrere Möglichkeiten. Die Bestimmung der genehmigten Anwendungen kann ganz einfach sein, indem Sie sich beispielsweise mit dem Finanzteam zusammensetzen. Sie können Cloud-Anbieterverträge, Bestellungen usw. durchforsten, um SaaS- oder IaaS-Lösungen ausfindig zu machen, zu denen Ihr Unternehmen eine formelle Beziehung unterhält.
Um nicht genehmigte Anwendungen zu identifizieren, muss man einen anderen Weg einschlagen. Dazu gehört ein wenig Detektivarbeit mit dem Netzwerkteam. Fragen wie „Welches sind die 20 meistgenutzten Ziele, an die unser Unternehmen täglich Netzwerkverkehr sendet?“ können sowohl die Netflix-Gewohnheiten von Peter aus der Buchhaltung als auch sein öffentliches GitHub-Repository aufdecken.
2. Führen Sie eine Risikobewertung durch
Nachdem Sie ermittelt haben, welche Cloud-Anwendungen und -Dienste Ihr Unternehmen nutzt, müssen Sie im nächsten Schritt das Gesamtrisiko der Zusammenarbeit mit diesen verschiedenen Cloud-Anbietern bewerten. Dabei lautet die zentrale Frage: „Welche Auswirkungen hätte eine potenzielle Datenschutzverletzung auf das Unternehmen?“
Die Einstufung jeder App in die Kategorien hoch, mittel oder niedrig ist eine effektive Methode, um das Risiko jeder App zu bestimmen. Welche Anwendungen könnten den größten Schaden anrichten, wenn sie kompromittiert werden? Salesforce beispielsweise enthält sensible Informationen, regulierte Daten, geschäftskritische Informationen und Geschäftsdaten. Dies würde sicherlich eine „hohe“ Bewertung rechtfertigen. Andererseits ist eine Anwendung, die zur Veröffentlichung von Beiträgen in sozialen Medien verwendet wird, nicht so kritisch wie eine App, die persönliche Daten wie Sozialversicherungsnummern oder Geburtsdaten speichert. Diese Arten von Anwendungen können entsprechend als „mittel“ oder sogar „niedrig“ eingestuft werden.
3. Bestimmen Sie Ihre Sicherheitslage
Nachdem Sie ein Inventar Ihrer Cloud-Anwendungen erstellt und das Gesamtrisiko eingeschätzt haben, sollten Sie die Sicherheitslage jeder Anwendung überprüfen. Indem Sie mit dem „Besitzer“ oder Administrator jeder Anwendung im Unternehmen zusammenarbeiten, können Sie sich einen besseren Überblick über die Einstellungen und Konfigurationen der einzelnen Anwendungen verschaffen und die Stärke Ihrer aktuellen Sicherheitslage ermitteln.
Hierauf basierend sollte man eine tiefergehende Analyse durchführen: Entspricht der aktuelle Stand den Anforderungen des Unternehmens? Sollten oder müssen Änderungen an den Einstellungen vorgenommen werden? Gibt es im Unternehmen einen übermäßigen Zugriff auf Daten und Ressourcen?
Die Grundlagen sind gelegt. Ein Inventar wurde erstellt, ein Risk Assessment durchgeführt und die Sicherheitslage bestimmt, um so herauszufinden, was als zuerst in Angriff genommen werden muss. Allerdings sind diese Schritte kein einmaliger Prozess: Die kontinuierliche Überwachung und Aktualisierung sind entscheidend für den dauerhaften Erfolg der Sicherheitsstrategie.
Hierbei wird auch die Bedeutung der Automatisierung deutlich. Die ständige Wartung der Cloud-Anwendungen würde ein ganzes Team von Mitarbeitenden erfordern, das sich um die Inventarisierung, Risikobewertung und Kontrolle der Sicherheitslage der SaaS-Anwendungen kümmert. Deshalb ist die Automatisierung dieser Aufgaben der Schlüssel zum Schutz der Daten in diesen Cloud-Anwendungen, ohne dass das Sicherheitsteam überlastet wird.
eBook zum Thema
Cloud-Identitäten
eBook Cloud-Identitäten
(Bildquelle: CloudComputing-Insider)
Identity and Access Management (IAM) ist für die Nutzung jedes IT-Systems von großer Bedeutung. Das ist auch bei Cloud Computing nicht anders. In diesem eBook erfahren Sie, warum IAM für die Cloud trotzdem kein Selbstläufer ist. Highlights dieses eBooks:
Besonderheiten von Cloud-Identitäten
Der Weg zu sicheren und nutzerfreundlichen Cloud-Identitäten
Wenn Sie die oben genannten Aufgaben erfüllen, erhalten Sie ein solides Cloud-Sicherheitsprogramm, das Ihnen bei internen und externen Audits zugutekommen wird. Sie sind in der Lage, die Einhaltung von Vorschriften nachzuweisen, die ein umfassendes Verständnis sowohl des Datenbestands als auch des Risikos und der Sicherheitslage in Ihren Cloud-Anwendungen erfordern.
Einer der größten Vorteile der Cloud ist ihre Flexibilität. Diese erfordert jedoch auch eine kontinuierliche Überwachung sowie die Identifizierung neuer Anwendungen. Manuell ist dies kaum zu bewerkstelligen, gerade in Zeiten des Fachkräftemangels und knapper Ressourcen. Durch Automatisierung können jedoch Risiken von Drittanbieteranwendungen im Auge behalten, Compliance-Audits vorbereitet und Sicherheitsrisiken in der gesamten Cloud vorgebeugt werden. Dies schafft eine mehr als solide Basis für weitere Schritte in Richtung Cloud-Resilienz.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7d/c0/7dc03fef56ab6063de64910a4d9a1c02/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/a7/4ca78496d20a20be90ed73795d8b5ec6/0122699065v1.jpeg "Cloud-Sicherheit hat ein (neues) Ziel. (Bild: BritCats Studio - stock.adobe.com)")