Wer die Cloud-Nutzung absichern will, muss eine Vielzahl an möglichen Schwachstellen in den Blick nehmen. Leider gibt es eine Reihe von häufig übersehenen Sicherheitslücken, die den Schutz der Cloud gefährden. Unternehmen sollten sich deshalb mit den „unerwarteten“ Stellen in der Angriffsfläche einer Cloud befassen, bevor es die Angreifenden tun.
Dinge gibt's, die gibt es nicht – oder eben doch. Daher sollten Unternehmen sich frühzeitig mit möglichen Sicherheitslücken ihres Cloud-Betriebs beschäftigen, um Schaden von vorneherein zu vermeiden.
(Bild: Aliaksei - stock.adobe.com)
Cloud-Schwachstellen im Fokus, auch bei den Angreifenden
Aktuelle Studien und Umfragen wie die IT-Sicherheitsstudie „Old Habits Die Hard: How People, Process and Technology Challenges Are Hurting Cybersecurity Teams“ von Tenable in Zusammenarbeit mit Forrester geben Einblicke, wie bedrohlich Sicherheitslücken in der Cloud sind: Die Befragten zeigten sich besonders besorgt über die Risiken, die mit der Cloud-Infrastruktur verbunden sind. Die überwiegende Mehrheit der Befragten (75 %) sieht demnach in der Cloud-Infrastruktur die größte Risikoquelle für ihr Unternehmen. Die Befragten sehen die größten Risiken bei der Nutzung von Public Clouds (30 %), Multi-Clouds und/oder Hybrid-Clouds (23 %), Private-Cloud-Infrastrukturen (12 %) sowie Cloud-Container-Management-Tools (9 %).
Wenn man aber über solche Cloud-Risiken nachdenkt, sollte man alle Teile der IT-Infrastruktur berücksichtigen, die mit der zu schützenden Cloud in Verbindung stehen. Auch uns Menschen sollte und darf man nicht vergessen.
Risiken durch Digitale Identitäten, auch bei Maschinen
Zum einen wird zu Recht regelmäßig darauf hingewiesen, dass die meisten erfolgreichen Cloud-Attacken dadurch möglich werden, dass es Konfigurationsfehler in der Cloud gibt, Fehler, die uns Menschen in der Rolle der Administration und der Nutzung passieren.
Aber der „menschliche“ Faktor bei den Cloud-Risiken reicht noch weiter: Digitale Identitäten repräsentieren uns als Nutzende und Administratoren oder Administratorinnen. Wenn die Identitäten nicht sicher sind und missbraucht werden können, müssen uns keine weiteren Fehler unterlaufen. Die riskanten Konfigurationen und Aktivitäten „übernehmen“ dann die Identitätsdiebe für uns, sie missbrauchen die Identitäten.
Sind also die Identitäten unsicher, dann ist dies eine Schwachstelle in der Cloud-Nutzung und Cloud-Administration. Das gilt aber nicht nur für digitale Identitäten, die Menschen zugeordnet sind. Auch Maschinen sind zunehmend aktive Cloud-Nutzende, auch Maschinen-Identitäten können gestohlen und ausgenutzt werden, wenn die Sicherheit im Bereich IAM (Identity and Access Management) nicht stimmt.
Risiken durch Endgeräte und interne IT
Maschinen, die die Cloud direkt nutzen, sind aber nur der eine Fall. Noch weitaus häufiger bilden Geräte für uns Menschen den Zugangspunkt und die Verbindungsstelle zur Cloud, sei es das Notebook oder das Smartphone, sei es der Server oder aber auch der Netzwerkdrucker, der Cloud-Printing anbietet.
Nur wenn die Endpoints, die für den Cloud-Zugriff genutzt werden, sicher sind, nur wenn die Server, die mit Cloud-Diensten kooperieren oder diese bereitstellen, geschützt sind, und nur wenn alle Geräte, die eine Cloud-Schnittstelle besitzen, abgesichert werden, kann ein unberechtigter Zugriff auf die Cloud verhindert werden. Andernfalls werden Endpoints und die komplette interne IT zu einer Hintertür in die Cloud.
Endpoints sind selbst bei Cloud-Only-Strategien notwendig, als Zugangsgeräte. Bei Hybrid Clouds jedoch ist die interne IT insgesamt mit der Cloud in Verbindung. Dies unterstreicht die Bedeutung der Endpoint Security für die Cloud-Sicherheit.
Leider wird auch das oftmals vergessen, wenn es um den Schutz der Cloud geht.
Risiken durch die „andere“ Cloud: Multi-Cloud und Schatten-Cloud
Ein weiterer Punkt sollte bei der Prüfung und Aktualisierung des eigenen Konzepts für die Cloud-Security stärker ins Bewusstsein gerückt werden: Die Sicherheit einer Cloud kann auch unter der Unsicherheit einer anderen Cloud leiden.
Bei Multi-Cloud-Szenarien können sich Schwachstellen einer Cloud auf die andere Cloud auswirken. Wenn es zum Beispiel gelingt, unerlaubt Zugriff auf eine Cloud zu bekommen, die später Daten aus einer anderen Cloud bekommt, dann sind auch die Daten, die zuvor in einer gut geschützten Cloud verarbeitet wurden, in Gefahr.
Das gilt ganz besonders dann, wenn Cloud-Dienste ohne Kontrolle und Freigabe der IT verwendet werden. Schatten-Clouds sind leider keine Seltenheit. Sicherheitslücken dort werden nicht ohne weiteres erkannt, sie können sich aber auf die gesamten Cloud-Sicherheit im Unternehmen auswirken.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cloud-Sicherheit muss deshalb immer über die Grenzen der eigentlichen Cloud hinaus gedacht und umgesetzt werden. Leider sind die Security-Herausforderungen einer Cloud meist schon so hoch, dass man leicht die Risiken in der Umgebung der Cloud übersieht. Das aber wissen die Angreifenden für sich zu nutzen.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/78/657840ef8b6d6/nutanix-logo-charcoal-gray-digital.png "nutanix-logo-charcoal-gray-digital (Nutanix)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7d/c0/7dc03fef56ab6063de64910a4d9a1c02/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/2a/d02a8364c5d2c31a652f4103c7732dc8/0124202268v1.jpeg "Eine digitale Welt ohne Gefahren: Diese Vorstellung gleicht einem Schlaraffenland. Doch wer im Vorfeld gut plant, den kann auch eine Cyberattacke nicht allzu sehr aus der Bahn werfen. Entscheider sollten nur wissen wie – und aktiv handeln. (Bild: notarobotyet - stock.adobe.com)")