Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Cloud Security Leitfaden für Unternehmen - Shared Responsibility Model und Best Practices
Informationssicherheit

Cloud Security: Der vollständige Leitfaden für Unternehmen

Cloud-Risiken, Shared Responsibility Model, Best Practices und eine Sicherheits-Checkliste für KMU - alles was Unternehmen über Cloud Security wissen müssen.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
15 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Cloud Security scheitert in der Praxis fast nie am Cloud-Anbieter - sondern an Fehlkonfigurationen und schwacher Identitätsverwaltung auf Kundenseite. Über 90 % aller deutschen KMU nutzen Cloud-Dienste, aber die wenigsten haben ein durchdachtes Sicherheitskonzept. Dieser Leitfaden erklärt das Shared Responsibility Model, zeigt die zwölf wichtigsten Sicherheitsmaßnahmen für Microsoft 365, AWS und Azure und liefert eine Migrations-Checkliste sowie häufig gestellte Fragen - damit Cloud-Nutzung für Ihr Unternehmen sicher und compliant bleibt.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (8 Abschnitte)

Über 90 % aller deutschen KMU nutzen Cloud-Dienste - Microsoft 365 allein hat in Deutschland über 8 Millionen Business-Nutzer. Die Cloud ist dabei nicht grundsätzlich weniger sicher als eine On-Premises-Umgebung. Sie ist aber anders unsicher: Die häufigsten Sicherheitsvorfälle entstehen nicht durch Angriffe auf den Cloud-Anbieter, sondern durch Fehlkonfigurationen und Schwachstellen bei der Identitätsverwaltung auf Kundenseite.

Dieser Leitfaden behandelt Cloud-Risiken und Angriffsvektoren, das Shared Responsibility Model, konkrete Schutzmaßnahmen für Unternehmen aller Größen, eine Migrations-Checkliste sowie die häufigsten Fragen zur sicheren Cloud-Nutzung.

Weiterführende Themen - CASB, WAF-Deployment, Compliance-Anforderungen nach ISO 27001, BSI C5 und NIS2 - behandelt unser Schwesterartikel Cloud Compliance und Tools: CASB, WAF, Zero Trust im Überblick.

Cloud-Risiken: Was Unternehmen wirklich bedroht

Bevor ein Sicherheitskonzept entworfen wird, muss klar sein, gegen welche Bedrohungen es schützen soll. Im Cloud-Kontext lassen sich die wichtigsten Risikoklassen wie folgt einteilen.

Datenschutzverletzungen durch Fehlkonfiguration

Die größten Cloud-Datenpannen der letzten Jahre - Capital One, Toyota, Twitch, Microsoft - hatten eines gemeinsam: keine Zero-Day-Exploits, keine hochentwickelte Schadsoftware. Nur falsch gesetzte Konfigurationen. Ein öffentlicher S3-Bucket. Eine zu offene Security Group. Ein Root-Account ohne Multi-Faktor-Authentifizierung. Die gute Nachricht: Fehlkonfigurationen sind behebbar, wenn man sie kennt.

Schwache Identitätsverwaltung und Zugriffsrechte

Laut Microsoft-Daten lassen sich 99,9 % aller kompromittierten Azure-AD-Konten auf fehlende Multi-Faktor-Authentifizierung zurückführen. Zu breite IAM-Rollen, dauerhaft aktive Admin-Konten und ungesicherte Benutzerkonten öffnen Angreifern Tür und Tor - ohne dass dabei eine einzige technische Schwachstelle ausgenutzt werden muss.

Unbefugter Zugriff durch Shadow IT

Mitarbeiter nutzen im Durchschnitt 80 bis 100 Cloud-Dienste - IT-Abteilungen kennen oft weniger als 20 davon. Nicht autorisierte Dienste wie private Filesharing-Plattformen oder nicht freigegebene KI-Tools können vertrauliche Unternehmensdaten in Umgebungen überführen, die keinerlei Sicherheitskontrollen unterliegen.

Ransomware und Malware in Cloud-Umgebungen

Schadsoftware kann sich über infizierte Geräte unbemerkt in die Cloud ausbreiten. Ransomware, die SharePoint- oder OneDrive-Inhalte verschlüsselt, wird durch kein Standard-Microsoft-Backup abgedeckt. Microsoft garantiert die Verfügbarkeit der Plattform - nicht die Sicherung Ihrer Daten.

Abhängigkeit und Ausfallrisiken

Ein AWS-Ausfall kann gleichzeitig Streaming-Dienste, E-Commerce-Plattformen, Unternehmens-Apps und Kommunikationsdienste lahmlegen. Wer seine gesamte Infrastruktur ohne Fallback-Konzept in eine einzige Cloud-Umgebung auslagert, schafft eine Single Point of Failure mit potenziell erheblichen Betriebsunterbrechungen.

Compliance-Risiken durch mangelnde Datenkontrolle

Wo werden Ihre Daten physisch gespeichert? In welchen Ländern? Unter welcher Jurisdiktion? Wer kann darauf zugreifen? Diese Fragen sind für die DSGVO-Compliance und für Anforderungen aus ISO 27001, BSI Grundschutz oder NIS2 von zentraler Bedeutung - und werden von vielen Unternehmen beim Cloud-Einstieg nicht ausreichend beantwortet.

Das Shared Responsibility Model

Der wichtigste Grundsatz der Cloud-Sicherheit ist die geteilte Verantwortung. Er wird von AWS, Azure und Google Cloud gleichermaßen kommuniziert - aber in der Praxis noch immer häufig missverstanden.

Was Cloud-Anbieter verantworten

Cloud-Anbieter wie AWS, Azure oder Microsoft 365 übernehmen die Verantwortung für:

  • Die physische Sicherheit des Rechenzentrums (Gebäude, Hardware, Stromversorgung, Klimaanlage, Brandschutz)
  • Die Verfügbarkeit der Plattform-Dienste und die Netzwerk-Infrastruktur zwischen Rechenzentren
  • Die Hypervisor-Sicherheit bei IaaS-Angeboten
  • Bei SaaS-Diensten wie Microsoft 365 oder Google Workspace: die Betriebssicherheit der Anwendung selbst

Ein Brand in einem Rechenzentrum - wie er bei einem großen Serveranbieter in Frankreich passiert ist - fällt in die Verantwortung des Anbieters. Für die Verfügbarkeit Ihrer Daten dort können jedoch vertragliche Regelungen entscheidend sein.

Was Ihre Organisation verantwortet

Als Kunde tragen Sie die Verantwortung für:

  • Die Konfiguration aller Cloud-Dienste (Zugriffsrechte, Netzwerkregeln, Storage-Einstellungen)
  • Identitäten und Zugriffsrechte (welche Nutzer welche Rechte haben)
  • Daten - deren Klassifizierung, Verschlüsselung und Backup
  • Anwendungs-Sicherheit bei selbst entwickelten oder konfigurierten Anwendungen
  • Compliance mit geltenden Datenschutz- und Sicherheitsstandards

Je tiefer ein Cloud-Servicemodell in die Softwareschicht eingreift, desto mehr Verantwortung trägt der Anbieter - und desto weniger Kontrolle hat der Kunde. Bei Infrastructure as a Service (IaaS) wie einer gemieteten virtuellen Maschine liegt die Verantwortung für das Betriebssystem, die installierten Anwendungen und die Firewall-Konfiguration beim Kunden. Bei Software as a Service (SaaS) wie Microsoft 365 übernimmt der Anbieter die meisten dieser Aufgaben - der Kunde bleibt aber für Identitätsverwaltung, Zugriffsrechte und Datenverwaltung verantwortlich.

Die meisten Cloud-Sicherheitsvorfälle entstehen auf der Kundenseite - durch Konfigurationsfehler, schwache Passwörter oder zu breite Zugriffsrechte. Dieser Befund sollte jede Cloud-Sicherheitsstrategie leiten.

Cloud Security Strategie für KMU: 12 Maßnahmen

Die folgenden zwölf Maßnahmen bilden das Rückgrat einer praxistauglichen Cloud-Sicherheitsstrategie für Unternehmen jeder Größe. Sie sind nach Wirkung und Umsetzbarkeit priorisiert.

1. Multi-Faktor-Authentifizierung für alle Accounts

Die wichtigste Cloud-Sicherheitsmaßnahme überhaupt. Im Microsoft 365 Admin Center aktivieren Sie MFA unter Azure Active Directory > Security > Authentication Methods. Setzen Sie Microsoft Authenticator für alle Nutzer ein und erzwingen Sie MFA über Conditional Access für alle Cloud-Apps.

Empfohlene MFA-Methoden (SMS ist zu vermeiden):

  • Microsoft Authenticator (TOTP)
  • FIDO2-Hardware-Keys (YubiKey) für Administrator-Konten
  • Windows Hello for Business

2. Conditional Access - Zugang nur von verwalteten Geräten

Selbst korrekte Credentials reichen nicht, wenn das Gerät nicht vertrauenswürdig ist. Eine Conditional-Access-Richtlinie kann festlegen: Zugang zu Microsoft 365, Teams und SharePoint nur dann, wenn das Gerät in Intune registriert und compliant ist (Antivirus aktiv, Betriebssystem gepatcht) und MFA bestanden wurde. Unbekannte oder private Geräte erhalten keinen Zugang.

Praxisbeispiel: Ein Mitarbeiter-Laptop wird gestohlen, Anmeldedaten wurden bereits extrahiert. Der Angreifer versucht den Login - und scheitert, weil sein eigener PC nicht in Intune registriert ist.

3. Privileged Identity Management für Admin-Konten

Keine dauerhaften Admin-Rechte in der Cloud - das ist das Grundprinzip von Just-in-Time-Access. Mit Microsoft Entra ID PIM gibt es keine permanenten Mitglieder in der Rolle “Global Administrator”. Bei Bedarf aktiviert ein Administrator die Rolle für maximal vier Stunden, gibt eine Begründung und eine Ticket-Nummer an. Alle Aktivierungen werden geloggt; kritische Aktivierungen erfordern eine Vier-Augen-Genehmigung.

Bei AWS gilt das Analogon: IAM-Rollen statt permanente IAM-Nutzer, Service Control Policies über AWS Organizations und CloudTrail für alle API-Calls.

4. E-Mail-Sicherheit und externe Weiterleitungen blockieren

Ein häufiger Business-E-Mail-Compromise-Angriff: Ein kompromittiertes E-Mail-Konto richtet eine Weiterleitungsregel ein, sodass alle eingehenden E-Mails an eine Angreifer-Adresse gehen. Mit einer Transport-Regel in Exchange Online können externe Weiterleitungen global deaktiviert werden. Alternativ lässt sich dies im Exchange Online Admin Center unter Mail Flow > Rules einrichten.

5. DMARC, DKIM und SPF für alle Domains

E-Mail-Authentifizierung ist Pflicht. SPF legt fest, welche Server E-Mails im Namen Ihrer Domain versenden dürfen. DKIM signiert ausgehende E-Mails kryptografisch. DMARC definiert, was mit E-Mails passiert, die SPF oder DKIM nicht bestehen. Das Ziel ist eine DMARC-Policy mit p=reject - also 100 % Blockierung von Domain-Spoofing.

6. Microsoft Secure Score kontinuierlich verbessern

Microsoft berechnet automatisch einen Secure Score (0-100 %) für Ihre Microsoft 365-Umgebung. Dieser Score ist im Microsoft Admin Center unter Security > Secure Score abrufbar. Ein Secure Score von über 70 % sollte als Baseline angestrebt werden. Typische Quick Wins sind: MFA für alle Admins aktivieren (+8 % Score-Gewinn), Legacy-Authentifizierung blockieren (+6 %), Conditional Access “Require MFA” Policy (+7 %).

7. Legacy-Authentifizierung blockieren

Alte Protokolle wie SMTP AUTH, POP3, IMAP und Basic Auth unterstützen kein MFA - Angreifer nutzen sie gezielt, um die Multi-Faktor-Authentifizierung zu umgehen. Bevor Legacy-Auth blockiert wird, sollte geprüft werden, welche Anwendungen diese Protokolle noch nutzen: typische Kandidaten sind ältere Buchhaltungssoftware, Scanner, Drucker und Fax-to-Mail-Dienste.

8. Fehlkonfigurationen in AWS und Azure systematisch finden

AWS Trusted Advisor und AWS Config Conformance Packs prüfen Cloud-Konfigurationen automatisch gegen CIS-Benchmarks. Microsoft Defender for Cloud (Basis-Tier kostenlos) liefert einen Security Posture Score und priorisierte Empfehlungen nach Schwere. Open-Source-Tooling wie ScoutSuite ermöglicht darüber hinaus umfangreichere Cloud-Security-Audits.

9. Cloud-Backup als eigene Verantwortung verstehen

Ein weit verbreiteter Irrtum: “Microsoft macht mein Backup.” Microsoft garantiert die Plattformverfügbarkeit - nicht die Datensicherung. Gelöschte E-Mails und Teams-Nachrichten sind nur 30 Tage wiederherstellbar. Ransomware, die SharePoint-Inhalte verschlüsselt, ist durch kein natives Microsoft-Backup abgedeckt. Unternehmen benötigen eine eigenständige Backup-Lösung für Microsoft 365 mit täglichen Sicherungen, einer Aufbewahrungsdauer von mindestens 90 Tagen und Immutable-Backup-Funktionalität (kein Ransomware-Löschen möglich).

10. Shadow IT durch CASB-Lösungen kontrollieren

Mitarbeiter nutzen unautorisierte Cloud-Dienste - private Dropbox-Konten, nicht freigegebene KI-Tools, WeTransfer für vertrauliche Dokumente. Microsoft Defender for Cloud Apps entdeckt automatisch alle Cloud-Dienste im Netzwerk, blockiert den Upload von Firmendaten in nicht autorisierte Dienste und setzt Data-Loss-Prevention-Richtlinien durch. Mehr Details zu CASB-Deployment-Modellen und führenden Lösungen enthält unser Artikel Cloud Compliance und Tools.

11. Logging und SIEM-Integration

Relevante Log-Quellen umfassen Azure AD Sign-In Logs, das Microsoft 365 Unified Audit Log, AWS CloudTrail und den Azure Activity Log. Diese Daten sollten in ein SIEM-System eingebunden werden. Empfohlene Erkennungsregeln für Cloud-Umgebungen sind: Impossible Travel (Login aus Deutschland, zehn Minuten später aus China), Admin-Aktivität außerhalb der Geschäftszeiten, Massen-Download aus SharePoint (mehr als 100 Dateien in fünf Minuten) und neu eingerichtete externe E-Mail-Weiterleitungen.

12. Regelmäßiger Cloud Security Audit

Cloud-Konfigurationen driften mit jeder Änderung. Ein jährliches Cloud Security Review prüft die IAM- und RBAC-Konfiguration (Least-Privilege eingehalten?), öffentlich erreichbare Ressourcen wie S3-Buckets und Blob-Storage, die Verschlüsselung im Ruhezustand und bei der Übertragung, die Compliance gegen CIS-Benchmarks sowie die PIM-Konfiguration (keine dauerhaften Admin-Rollen).

Best Practices für sichere Cloud-Nutzung

Neben den zwölf konkreten Maßnahmen gibt es übergreifende Prinzipien, die jede Cloud-Sicherheitsstrategie leiten sollten.

Datenverschlüsselung konsequent einsetzen

Verschlüsselung schützt Daten sowohl bei der Übertragung als auch im Ruhezustand. Sensible Daten sollten niemals unverschlüsselt in der Cloud liegen. Beim Wechsel zwischen Cloud-Anbietern oder beim Datentransfer in Drittländer sind Standard Contractual Clauses (SCCs) nach europäischem Datenschutzrecht zu berücksichtigen.

Least-Privilege-Prinzip durchsetzen

Jeder Nutzer und jede Anwendung sollte nur die minimalen Rechte erhalten, die für die jeweilige Aufgabe notwendig sind. Das begrenzt den möglichen Schaden bei einer Kompromittierung erheblich: Ein Angreifer, der ein Konto mit eingeschränkten Rechten übernimmt, kann weniger Schaden anrichten als einer, der ein überprivilegiertes Konto kompromittiert.

Sicherheitsbewusstsein der Mitarbeiter schulen

Cloud-Daten sind nur so sicher wie die Menschen, die damit umgehen. Regelmäßige Schulungen vermitteln, wie sensible Daten zu handhaben sind, wie Phishing-Angriffe erkannt werden und was bei einem Sicherheitsvorfall zu tun ist. Ein geschultes Team ist eine der wirksamsten Sicherheitsmaßnahmen überhaupt.

Incident Response Plan für Cloud-Vorfälle erstellen

Auch mit den besten Schutzmaßnahmen lassen sich Sicherheitsvorfälle nicht vollständig ausschließen. Ein gut durchdachter Incident-Response-Plan definiert klare Schritte für den Ernstfall: Wer wird wann informiert? Welche Systeme werden wie isoliert? Wer kommuniziert mit dem Cloud-Anbieter? In Cloud-Umgebungen kann Infrastruktur in Sekunden verschwinden - eine vorbereitete Reaktionskette spart im Ernstfall entscheidende Zeit.

Schwachstellenmanagement systematisch betreiben

Regelmäßige Sicherheitsscans und automatische Konfigurationsprüfungen sollten Bestandteil des laufenden Betriebs sein, nicht nur eine jährliche Übung. Tools wie AWS Config, Microsoft Defender for Cloud oder Open-Source-Lösungen können kontinuierlich auf bekannte Fehlkonfigurationen und Abweichungen von Sicherheits-Baselines prüfen.

Migration in die Cloud sicher gestalten

Die Entscheidung für die Cloud ist getroffen - aber wie gestaltet man die Migration so, dass Sicherheitsrisiken von Anfang an minimiert werden?

Phase 1: Bestandsaufnahme und Klassifizierung

Welche Daten und Anwendungen sollen in die Cloud migriert werden? Wie sind die Daten klassifiziert (öffentlich, intern, vertraulich, streng vertraulich)? Welche Compliance-Anforderungen gelten (DSGVO, ISO 27001, BSI C5, NIS2)? Eine strukturierte Bestandsaufnahme ist die Grundlage jeder sicheren Migration.

Phase 2: Cloud-Anbieter und Modell auswählen

Die Wahl des Cloud-Anbieters beeinflusst die Compliance-Situation erheblich. Wesentliche Kriterien sind: In welchem Land werden die Daten physisch gespeichert? Welche Zertifizierungen besitzt der Anbieter (ISO 27001, BSI C5, SOC 2)? Gibt es einen Datenverarbeitungsvertrag nach europäischem Recht? Microsoft OneDrive beispielsweise betreibt Server in Deutschland und speichert Daten deutscher Nutzer auch dort - was für die DSGVO-Compliance von Vorteil ist.

Phase 3: Identitäts- und Zugriffskonzept definieren

Bevor auch nur eine Anwendung migriert wird, sollte das Identitäts- und Zugriffskonzept stehen: Welche Rollen gibt es? Wer benötigt welche Rechte? Wie werden externe Nutzer und Partner eingebunden (Cloud Identity Federation)? MFA sollte von Beginn an verpflichtend sein, keine nachträgliche Ergänzung.

Phase 4: Sicherheitskonfiguration vor Go-Live prüfen

Kein System geht live, bevor die Sicherheitskonfiguration geprüft wurde. Das umfasst: alle öffentlichen Zugangspunkte inventarisiert, Netzwerkregeln auf Least-Privilege-Basis konfiguriert, Logging aktiviert, Backup-Strategie definiert und getestet, Incident-Response-Plan für den neuen Cloud-Kontext angepasst.

Phase 5: Kontinuierliche Überwachung etablieren

Cloud-Sicherheit ist kein Einmalprojekt - sie erfordert kontinuierliche Überwachung. Automatische Konfigurationsprüfungen, SIEM-Integration, regelmäßige Reviews der Zugriffsrechte und jährliche Cloud Security Audits sollten fester Bestandteil des Sicherheitsprogramms sein.

Cloud Security Checkliste für KMU

Die folgende Checkliste fasst die wichtigsten Maßnahmen zusammen. Sie ist nach Dringlichkeit geordnet.

Sofort umzusetzen (wenige Stunden):

  • MFA für alle Administrator-Konten aktivieren
  • Secure Score in Microsoft 365 Admin Center prüfen
  • Öffentliche S3-Buckets oder Blob-Storage-Container identifizieren

Diese Woche:

  • MFA für alle Nutzer aktivieren (Conditional Access Policy)
  • Legacy-Authentifizierung blockieren
  • Externe Weiterleitungsregeln in Exchange Online prüfen und blockieren
  • DMARC-Policy auf mindestens p=quarantine setzen

Diesen Monat:

  • Privileged Identity Management für Admin-Rollen aktivieren
  • Backup-Lösung für Microsoft 365 einführen
  • Shadow-IT-Inventar erstellen (Firewall-Logs oder CASB-Tool)
  • Incident-Response-Plan für Cloud-Vorfälle erstellen

Dieses Quartal:

  • DMARC auf p=reject setzen
  • Cloud Security Audit durchführen (intern oder mit externem Dienstleister)
  • Compliance-Anforderungen (ISO 27001, BSI C5, NIS2) dokumentieren
  • Mitarbeiter-Schulung zu Cloud Security und Phishing durchführen

FAQ: Häufige Fragen zur Cloud Security

Ist die Cloud sicherer als mein eigenes Rechenzentrum?

Eine pauschale Antwort gibt es nicht. Cloud-Anbieter wie AWS, Azure und Google investieren Milliarden in die physische Sicherheit und Betriebssicherheit ihrer Rechenzentren - ein Niveau, das die meisten KMU intern nicht erreichen können. Gleichzeitig vergrößert die Cloud die Angriffsfläche, weil Dienste über das Internet erreichbar sind. Die Sicherheit einer Cloud-Umgebung hängt maßgeblich von der Konfiguration durch den Kunden ab. Eine gut konfigurierte Cloud-Umgebung ist oft sicherer als ein schlecht gewartetes On-Premises-System.

Wer ist schuld, wenn Cloud-Daten verloren gehen?

Das hängt vom gebuchten Servicemodell ab. Bei SaaS (z. B. Microsoft 365) ist der Anbieter für die Plattformverfügbarkeit verantwortlich - aber nicht für Backups Ihrer Daten. Bei IaaS (eigene virtuelle Maschinen) tragen Sie als Kunde die volle Verantwortung für Betriebssystem, Anwendungen und Datensicherung. Das Shared Responsibility Model legt diese Grenzen fest - und muss jedem Cloud-Nutzer bekannt sein.

Muss ich mich für die Cloud nach ISO 27001 zertifizieren lassen?

Eine ISO-27001-Zertifizierung ist nicht gesetzlich vorgeschrieben, wird aber von vielen Großunternehmen als Voraussetzung für eine Zusammenarbeit verlangt. Wichtiger ist es, die in ISO 27001 beschriebenen Sicherheitsprinzipien umzusetzen - unabhängig davon, ob eine formelle Zertifizierung angestrebt wird. Die Compliance-Anforderungen für Cloud-Umgebungen behandelt unser Artikel Cloud Compliance und Tools ausführlich.

Welche Cloud-Anbieter sind DSGVO-konform?

Alle großen Cloud-Anbieter (AWS, Azure, Google Cloud) bieten DSGVO-konforme Optionen an, einschließlich Datenverarbeitungsverträgen und Rechenzentren in der EU. Entscheidend ist aber, wie Sie den Dienst konfigurieren: Daten müssen in EU-Rechenzentren gespeichert werden, der Anbieter muss als Auftragsverarbeiter eingetragen sein, und der Datentransfer in Drittländer muss durch geeignete Garantien abgesichert sein.

Was kostet Cloud Security?

Das hängt stark vom Schutzbedarf und dem gebuchten Servicepaket ab. Microsoft 365 E5 (ca. 57 EUR/Nutzer/Monat) enthält Defender for Cloud Apps, Microsoft Sentinel und erweiterte Compliance-Tools. Einzelne Sicherheitsmaßnahmen wie MFA und Conditional Access sind in günstigeren Lizenzen bereits enthalten. Ein externer Cloud Security Audit kostet je nach Umfang typischerweise zwischen 3.000 und 15.000 EUR - und deckt oft Schwachstellen auf, deren Behebung ein Vielfaches eines möglichen Schadens verhindert.

Wie erkenne ich, dass meine Cloud-Umgebung kompromittiert wurde?

Typische Indikatoren sind ungewöhnliche Anmelde-Aktivitäten (Logins aus unbekannten Ländern, Logins zu ungewöhnlichen Uhrzeiten), plötzlich eingerichtete externe E-Mail-Weiterleitungsregeln, unerwartete Änderungen an Zugriffsrechten, ungewöhnlich hohe Cloud-Kosten (Hinweis auf Crypto-Mining) und Massen-Downloads aus SharePoint oder anderen Storage-Diensten. Ein SIEM mit entsprechenden Erkennungsregeln meldet diese Ereignisse automatisch.

Fazit

Cloud Security ist kein Produkt, das man kauft - es ist ein Prozess, der kontinuierlich gepflegt werden muss. Die gute Nachricht: Die meisten schwerwiegenden Cloud-Sicherheitsvorfälle sind vermeidbar. MFA für alle Nutzer, eine durchdachte Zugriffskontrolle, regelmäßige Konfigurationsprüfungen und ein Backup, das tatsächlich in der eigenen Verantwortung liegt - diese Maßnahmen eliminieren den Großteil der realen Bedrohungen.

Für Unternehmen, die Cloud-Dienste im regulierten Umfeld betreiben oder mit strengen Compliance-Anforderungen konfrontiert sind, ist der nächste Schritt das Vertiefen der Compliance-Themen: Cloud Compliance und Tools: CASB, WAF, Zero Trust.

AWARE7 unterstützt Unternehmen bei Cloud Security Audits, der Auswahl und Implementierung von Sicherheitsmaßnahmen und der Vorbereitung auf ISO-27001-Zertifizierungen.

Cloud Security Audit anfragen | ISMS-Beratung und ISO 27001

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung