Cloud Security – Sichere Cloud-Nutzung für Unternehmen

Cloud Security umfasst alle Technologien, Richtlinien, Kontrollen und Prozesse zum Schutz von Daten, Anwendungen und Infrastruktur in Cloud-Umgebungen. Mit der zunehmenden Verlagerung geschäftskritischer Systeme in die Cloud — von Microsoft 365 über AWS bis zu SaaS-Anwendungen — wird Cloud Security zu einer der wichtigsten Disziplinen der Informationssicherheit.

Laut aktuellen Studien haben über 80% der Unternehmen mindestens einen Cloud-Sicherheitsvorfall pro Jahr erlebt — meist verursacht durch Fehlkonfigurationen, nicht durch ausgefeilte Angriffe. Die DATUREX GmbH unterstützt Unternehmen bei der sicheren Nutzung von Cloud-Diensten als Teil eines umfassenden ISMS.

Was ist Cloud Security?

Cloud Security (Cloud-Sicherheit) beschreibt die Gesamtheit der Maßnahmen zum Schutz von Cloud-basierten Systemen. Sie umfasst:

• Datensicherheit – Verschlüsselung, Zugriffskontrolle und Datenschutz in der Cloud
• Infrastruktursicherheit – Absicherung von virtuellen Maschinen, Containern, Netzwerken und Storage
• Anwendungssicherheit – Schutz cloud-nativer Anwendungen und APIs
• Identity und Access Management – Verwaltung von Identitäten und Berechtigungen
• Compliance – Einhaltung von DSGVO, ISO 27001 und branchenspezifischen Anforderungen
• Monitoring und Incident Response – Erkennung und Reaktion auf Sicherheitsvorfälle in der Cloud

Shared Responsibility Model

Das Shared Responsibility Model ist das Fundament der Cloud Security. Die Verantwortung für Sicherheit wird zwischen Cloud-Anbieter und Kunde aufgeteilt:

• IaaS (Infrastructure as a Service) – Anbieter sichert Hardware und Virtualisierung; Kunde sichert Betriebssystem, Anwendungen, Daten und Zugriffe
• PaaS (Platform as a Service) – Anbieter übernimmt zusätzlich OS und Runtime; Kunde sichert Anwendungen und Daten
• SaaS (Software as a Service) – Anbieter sichert die gesamte Infrastruktur und Anwendung; Kunde sichert Zugänge, Konfiguration und Daten

Unabhängig vom Modell: Die Verantwortung für Daten und Zugriffe liegt immer beim Kunden.

Die größten Cloud-Security-Risiken

1. Fehlkonfigurationen

Die häufigste Ursache für Cloud-Sicherheitsvorfälle. Typische Fehler:

• Öffentlich zugängliche S3-Buckets oder Blob Storage
• Zu weitreichende IAM-Berechtigungen
• Deaktivierte Verschlüsselung und Logging
• Offene Sicherheitsgruppen (Ports für die ganze Welt geöffnet)
• Standard-Passwörter bei Datenbanken und Management-Konsolen

2. Identitäts- und Zugriffsrisiken

• Kompromittierte Cloud-Zugangsdaten (API-Keys, Access Tokens)
• Fehlende Multi-Faktor-Authentifizierung für Cloud-Konsolen
• Übermäßige Berechtigungen (Privilege Creep)
• Verwaiste Service-Accounts mit weitreichenden Rechten

3. Datenverlust und Datenlecks

• Unverschlüsselte Daten in Cloud-Speicher
• Fehlende Data Loss Prevention (DLP) Kontrollen
• Unkontrollierter Datenaustausch über Cloud-Sharing-Funktionen
• Mangelnde Backup-Strategie für Cloud-Daten

4. Compliance-Risiken

• DSGVO – Datenverarbeitung in Drittländern ohne angemessene Schutzmaßnahmen
• Datenlokalisierung – Sensible Daten müssen ggf. in der EU bleiben
• Auftragsverarbeitung – Fehlende oder unzureichende AV-Verträge mit Cloud-Anbietern

5. Shadow IT in der Cloud

Mitarbeiter nutzen nicht genehmigte Cloud-Dienste mit Firmendaten — ohne Wissen der IT-Abteilung und ohne Sicherheitskontrollen.

Cloud Security Frameworks und Standards

• CSA Cloud Controls Matrix (CCM) – Framework der Cloud Security Alliance mit 197 Controls in 17 Domänen
• ISO 27001 + ISO 27017 – Erweiterung um cloud-spezifische Sicherheitsmaßnahmen
• ISO 27018 – Schutz personenbezogener Daten in der Cloud
• CIS Benchmarks – Detaillierte Konfigurationsleitfäden für AWS, Azure, GCP
• NIST SP 800-144 – Guidelines on Security and Privacy in Public Cloud Computing
• BSI C5 – Cloud Computing Compliance Criteria Catalogue des BSI
• SOC 2 – Service Organization Controls für Cloud-Dienstleister

Cloud Security Best Practices

Identity und Access Management

• MFA für alle Cloud-Konsolen — Keine Ausnahmen, auch nicht für Service-Accounts
• Least Privilege — Minimale Berechtigungen, regelmäßige Rezertifizierung
• PAM für Cloud-Admins — JIT-Zugriff statt dauerhafter Admin-Rechte
• SSO und Federation — Zentrale Identitätsverwaltung statt separater Cloud-Accounts

Datensicherheit

• Verschlüsselung — Data at Rest (AES-256) und Data in Transit (TLS 1.3) für alle Cloud-Dienste
• Key Management — Eigene Schlüsselverwaltung (BYOK/HYOK) für sensible Daten
• Data Classification — Daten nach Vertraulichkeit klassifizieren und entsprechend schützen
• DLP-Policies — Data Loss Prevention für Cloud-Speicher und E-Mail

Netzwerksicherheit

• VPC/VNet Segmentierung — Isolierung von Workloads in separaten virtuellen Netzwerken
• Security Groups / NSGs — Restriktive Firewall-Regeln für jede Ressource
• Private Endpoints — Cloud-Dienste nur über private Verbindungen erreichbar machen
• Zero Trust Networking — Kein implizites Vertrauen innerhalb des Cloud-Netzwerks

Monitoring und Incident Response

• Cloud-native Logging — CloudTrail (AWS), Activity Log (Azure), Cloud Audit Logs (GCP) aktivieren
• SIEM-Integration — Cloud-Logs in das zentrale SIEM einbinden
• Cloud Security Posture Management (CSPM) — Kontinuierliche Prüfung auf Fehlkonfigurationen
• Incident Response — Cloud-spezifische Runbooks für Sicherheitsvorfälle

Cloud Security Tools

Cloud Security Posture Management (CSPM)

• Wiz — Agentless Cloud Security mit Risiko-Graphen. Marktführer im CNAPP-Bereich
• Prisma Cloud (Palo Alto) — Umfassende Cloud-Sicherheitsplattform
• Microsoft Defender for Cloud — Native Azure-Sicherheit, Multi-Cloud-Support
• AWS Security Hub — Zentrales Sicherheitsmanagement für AWS
• Prowler — Open-Source Cloud Security Tool für AWS, Azure, GCP

Cloud Access Security Broker (CASB)

• Microsoft Defender for Cloud Apps — SaaS-Sicherheit und Shadow-IT-Erkennung
• Netskope — Marktführer für Inline CASB und SSE
• Zscaler — Cloud-native Sicherheitsplattform

Infrastructure as Code Security

• Checkov — Open-Source Scanner für Terraform, CloudFormation, Kubernetes
• tfsec — Terraform-spezifischer Security Scanner
• Snyk IaC — Kommerzieller IaC-Scanner mit breiter Abdeckung

Cloud Security und Compliance

• DSGVO — Datenverarbeitung in der Cloud erfordert AV-Verträge, Prüfung der Drittland-Übermittlung, TOMs
• NIS2 — Supply Chain Security umfasst auch Cloud-Anbieter
• ISO 27001 — Cloud-Risiken im ISMS abbilden, ISO 27017/27018 als Erweiterung
• BSI C5 — Cloud-spezifischer Anforderungskatalog des BSI
• DORA — Digital Operational Resilience für Finanzunternehmen umfasst Cloud-Outsourcing

Multi-Cloud-Security-Strategien

Die Realität in den meisten Unternehmen ist heute eine Multi-Cloud-Umgebung: Microsoft 365 für Produktivität, AWS oder Azure für Infrastruktur, diverse SaaS-Anwendungen für spezifische Geschäftsprozesse. Diese Heterogenität stellt besondere Anforderungen an die Cloud Security:

• Einheitliche Governance – Sicherheitsrichtlinien müssen cloudübergreifend konsistent durchgesetzt werden. Eine Firewall-Regel, die in AWS konfiguriert wurde, muss funktional äquivalent auch in Azure und GCP existieren
• Zentrales Identity Management – Ein einziger Identity Provider (z.B. Azure AD/Entra ID, Okta oder Ping Identity) für alle Cloud-Dienste. Single Sign-On (SSO) reduziert die Angriffsfläche und verbessert die Benutzererfahrung
• Einheitliches Monitoring – Cloud-Logs aus allen Umgebungen müssen in ein zentrales SIEM-System fließen, um Korrelationen über Cloud-Grenzen hinweg zu ermöglichen
• Konsistente Verschlüsselung – Verschlüsselungsstandards und Key-Management-Prozesse müssen über alle Cloud-Anbieter hinweg einheitlich definiert und durchgesetzt werden

Cloud-native Anwendungssicherheit

Mit dem Trend zu Microservices, Containern und serverlosen Architekturen verlagern sich Sicherheitsherausforderungen von der Infrastrukturebene auf die Anwendungsebene. DevSecOps integriert Sicherheit in den gesamten Softwareentwicklungs-Lebenszyklus:

• Shift Left Security – Sicherheitsprüfungen bereits in der Entwicklungsphase statt erst in der Produktion. SAST (Static Application Security Testing) und SCA (Software Composition Analysis) werden in CI/CD-Pipelines integriert
• Container-Sicherheit – Image-Scanning vor dem Deployment, Runtime-Security für laufende Container, Admission Controller in Kubernetes, die unsichere Container-Konfigurationen blockieren
• API-Sicherheit – Cloud-native Anwendungen kommunizieren über APIs. API-Gateways, Rate Limiting, OAuth 2.0/OpenID Connect und API-spezifische Sicherheitstests sind unverzichtbar
• Secrets Management – Zugangsdaten, API-Keys und Zertifikate dürfen niemals im Quellcode oder in Umgebungsvariablen im Klartext stehen. Tools wie HashiCorp Vault, AWS Secrets Manager oder Azure Key Vault zentralisieren das Secrets Management

Cloud Security und Datensouveränität

Für deutsche und europäische Unternehmen spielt die Datensouveränität eine zentrale Rolle bei Cloud-Entscheidungen. Seit dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA nur unter verschärften Bedingungen möglich. Das EU-US Data Privacy Framework von 2023 schafft zwar eine neue Rechtsgrundlage, doch die langfristige Rechtssicherheit bleibt umstritten.

Praktische Maßnahmen für datensouveräne Cloud-Nutzung umfassen:

• EU-Datenresidenz – Auswahl von Cloud-Regionen in der EU (z.B. Frankfurt, Amsterdam) und technische Erzwingung durch Data Residency Policies
• Verschlüsselung mit eigenen Schlüsseln – BYOK (Bring Your Own Key) oder HYOK (Hold Your Own Key) für sensible Daten, sodass der Cloud-Anbieter keinen Zugriff auf Klartext-Daten hat
• Confidential Computing – Verarbeitung verschlüsselter Daten in hardwaregeschützten Enklaven (Intel SGX, AMD SEV), die selbst dem Cloud-Provider keinen Einblick gewähren
• Souveräne Cloud-Angebote – Anbieter wie IONOS, Open Telekom Cloud oder Stackit bieten Cloud-Dienste mit garantierter EU-Datenhaltung und Betrieb durch europäische Unternehmen

Zero Trust und Cloud Security

Der Zero-Trust-Ansatz ist für Cloud-Umgebungen besonders relevant, da das klassische Perimeter-Modell — ein sicheres internes Netzwerk geschützt durch eine Firewall — in der Cloud nicht funktioniert. In einer Cloud-Welt gibt es kein „innen“ und „außen“ mehr. Zero Trust Cloud Security basiert auf dem Grundsatz, dass jeder Zugriff — unabhängig vom Netzwerkstandort — authentifiziert, autorisiert und kontinuierlich validiert werden muss.

Die Implementierung von Zero Trust in Cloud-Umgebungen umfasst Identity-Aware Proxies statt VPN, Conditional Access Policies basierend auf Geräte-Compliance und Benutzerrisiko, Mikrosegmentierung auf Workload-Ebene und kontinuierliche Überwachung aller Zugriffsmuster. Privileged Access Management für Cloud-Administratoren ist dabei ein zentraler Baustein, der sicherstellt, dass auch Cloud-Admin-Zugänge nach dem Least-Privilege-Prinzip verwaltet werden.

Cloud Security Incident Response

Die Incident Response in Cloud-Umgebungen unterscheidet sich grundsätzlich von der Reaktion auf Vorfälle in On-Premise-Infrastrukturen. In der Cloud haben Unternehmen keinen physischen Zugang zu Servern, und die flüchtige Natur von Cloud-Ressourcen — Container werden in Sekunden erstellt und zerstört, serverlose Funktionen hinterlassen minimale Spuren — erfordert angepasste forensische Methoden und Vorgehensweisen.

Ein effektiver Cloud-Incident-Response-Plan berücksichtigt folgende Besonderheiten:

• Logging als Grundlage – Cloud-Logs müssen vor einem Vorfall korrekt konfiguriert und in ein zentrales SIEM exportiert werden. Nach einem Vorfall sind Logs die primäre Beweisquelle, da physische Forensik nicht möglich ist
• Automatisierte Snapshots – Bei Verdacht auf Kompromittierung automatisch Snapshots von virtuellen Maschinen und Speicher-Volumes erstellen, bevor diese möglicherweise vom Angreifer gelöscht werden
• API-basierte Isolation – Kompromittierte Cloud-Ressourcen durch Security-Group-Änderungen oder Network-Policy-Updates isolieren, ohne sie zu löschen
• Forensische Analyse in isolierten Umgebungen – Snapshots in eine separate, abgeschottete Cloud-Umgebung kopieren und dort analysieren
• Kommunikation mit dem Cloud-Provider – Bei schwerwiegenden Vorfällen den Cloud-Provider einbinden, der zusätzliche Infrastruktur-Logs und Unterstützung bereitstellen kann

Cloud-Sicherheit für Microsoft 365

Microsoft 365 ist die mit Abstand am häufigsten genutzte Cloud-Plattform in deutschen Unternehmen. Die Absicherung von M365 erfordert spezifische Maßnahmen, die über die Standard-Cloud-Security hinausgehen:

• Exchange Online Protection – Anti-Phishing-Policies, Safe Attachments und Safe Links konfigurieren. Anti-Spoofing-Maßnahmen (DMARC, DKIM, SPF) für alle Domains einrichten
• Conditional Access – Standortbasierte Zugriffsbeschränkungen, Geräte-Compliance-Prüfungen und risikobasierte MFA-Erzwingung
• Information Protection – Sensitivity Labels für die automatische Klassifizierung und Verschlüsselung sensibler Dokumente
• SharePoint/OneDrive Security – Externe Freigaben einschränken, DLP-Policies für sensible Datentypen, Versionierung für Ransomware-Wiederherstellung aktivieren
• Teams Security – Gäste-Zugriffspolicies, Meeting-Sicherheit, Verhinderung unautorisierten Datentransfers über Teams-Kanäle

DATUREX GmbH — Cloud Security Beratung

• Cloud Security Assessment — Bewertung Ihrer Cloud-Sicherheitslage (AWS, Azure, GCP, M365)
• Konfigurationsaudit — Prüfung gegen CIS Benchmarks und Best Practices
• Cloud-Architekturberatung — Sicheres Design von Cloud-Infrastrukturen
• CSPM-Implementierung — Aufbau kontinuierlicher Sicherheitsüberwachung
• Cloud-DSGVO-Compliance — AV-Verträge, Drittland-Transfers, Datenschutz-Folgenabschätzung
• ISMS-Integration — Cloud-Risiken im Informationssicherheits-Management abbilden
• Schulungen — Cloud Security Awareness für Entwickler und IT-Teams