Kein Cloud-Service-Provider (CSP) kann absolute Sicherheiten in der Cloud gewährleisten. Ein Teil der Verantwortung obliegt jedoch immer auch bei den Anwendern. Für ein höchstes Maß an Cloud-Sicherheit bieten sich Best Practices sowie mehrschichtige Sicherheitsansätze an.
Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren.
(Bild: immimagery - stock.adobe.com)
Mithilfe des Cloud Computing konnten viele Unternehmen und Anwender bereits die Effizienz ihrer Abläufe verbessern und gleichzeitig IT-Kosten senken. Obwohl Cloud-Computing-Modelle im Vergleich zu On-Site-Modellen viele Vorteile bieten, sind sie dennoch anfällig für Angriffe von innen und außen. Daher müssen Cloud-Entwickler und Anwender Maßnahmen ergreifen, um die sensiblen Daten vor Hacker-Angriffen zu schützen.
Schwachstellen in Cloud-Umgebungen
Einige der häufigsten Problemfelder sind hier in der Folge zusammengestellt:
Fehlkonfigurationen
Cloud Service Provider (CSP) bieten unterschiedliche Service-Ebenen, je nachdem wie viel Kontrolle ein Unternehmen über seine Cloud-Bereitstellung benötigt. Diese Angebote umfassen im Wesentlichen Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS). Die Anwender müssen diese Bereitstellungen entsprechend ihren Anforderungen konfigurieren, um dadurch eine robustere IT-Security zu erhalten.
Da viele Unternehmen mit der Absicherung von Cloud-Infrastrukturen nicht unbedingt in der Tiefe vertraut sind, oft mehrere Cloud-Services vorhalten und jede Cloud über andere Sicherheitskontrollen des Anbieters verfügt, ist es leicht möglich, dass eine Fehlkonfiguration oder ein Sicherheitsversehen die Cloud-basierten Ressourcen eines Unternehmens angreifbar macht. Hinzu kommt, dass Fehlkonfigurationen in Cloud-Einstellungen die Auswirkungen eines Angriffs durch die hohe Skalierbarkeit dieser Umgebungen und der Menge der zur Verfügung stehenden Services noch vervielfachen können.
APIs und ähnliche Schnittstellen können Defizite aufweisen, die unter anderem auf Fehlkonfigurationen, Mängel in der Codierung oder fehlende Authentifizierung bzw. Autorisierung zurückzuführen sind. Solche Versäumnisse bieten dann ideale Ziele für Hacker-Attacken. Diese Angriffsflächen, die APIs dadurch bieten, sollten daher von den Anwendern unbedingt kontinuierlich überwacht werden. Herkömmliche Kontroll- und Änderungsmanagement-Richtlinien und -Ansätze müssen stets aktualisiert werden, um mit dem Wachstum und den Veränderungen von Cloud-basierten APIs Schritt zu halten.
Der häufigste Grund für Sicherheitsvorfälle in der Cloud liegt im Bereich des Identity and Access Management (IAM), da Unternehmen zunehmend auf Cloud-basierte Infrastrukturen und Anwendungen für zentrale Geschäftsfunktionen angewiesen sind. Mit den Anmeldedaten eines Mitarbeiters kann ein Hacker auf sensible Daten oder Funktionen zugreifen, und die volle Kontrolle über ein Online-Konto erhalten.
Bei vielen Anwendern ist leider immer noch die Sicherheit von Passwörtern zu schwach ausgeprägt, einschließlich der Wiederverwendung und der Verwendung von schwachen Passwörtern. Dieses Problem verschlimmert die Auswirkungen von Phishing-Angriffen und Datenschutzverletzungen, da ein einziges gestohlenes Passwort dann gleich für mehrere verschiedene Konten verwendet werden kann.
Logging und Monitoring
Für die Sicherheit einer Cloud-Umgebung spielen wie bei On-Premise-Umgebungen Logging und Monitoring eine ebenso wichtige Rolle. In der Praxis werden diese Sicherheitsvorkehrungen in Cloud-Umgebungen jedoch häufig nicht ausreichend oder nicht rechtzeitig genug umgesetzt. Viele Anwender fokussieren sich zunächst darauf, den Betrieb ihrer Applikationen in der Cloud überhaupt erst zu ermöglichen und ihre Funktionalität sicherzustellen. Sicherheitsmaßnahmen wie beispielsweise Logging oder Monitoring werden aufgrund der meist vorherrschenden Kapazitätsmangel aufgeschoben oder geraten sogar völlig in Vergessenheit.
Schutzmaßnahmen gegen Cloud-Angriffe
Dynamische Cloud-Services brechen mit dem traditionellen Sicherheitsmodell, das für On-Site-Software verwendet wird. In der Folge sind einige wichtige Schutzmaßnahmen gegen Hacker-Attacken skizziert:
Sichere APIs und Zugriff
Cloud-Entwickler sollten sicherstellen, dass Clients nur über sichere APIs auf die Anwendung zugreifen können. Dazu kann es erforderlich sein, den Bereich der IP-Adressen einzuschränken oder den Zugriff nur über Unternehmensnetzwerke oder VPNs bereitzustellen. Dieser Ansatz kann jedoch für öffentlich zugängliche Anwendungen nicht immer Anwendung finden. Stattdessen können Sicherheitsmaßnahmen über eine API mit speziellen Skripten, Vorlagen und Rezepten implementiert werden. Man könnte sogar noch weitergehen und den Sicherheitsschutz in die API integrieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sicherheitsrichtlinien verbessern
Bei der Bereitstellung von Cloud-Services sollten die Anbieter den Umfang ihrer Verantwortung für den Schutz von User-Daten und Prozessen in der Cloud in den Sicherheitsrichtlinien einschränken. Der Anwender ist darauf hinzuweisen, welche Sicherheitsmaßnahmen er seinerseits ergreifen muss.
Zugriffsverwaltung implementieren
Für die Optimierung der Sicherheit von Services, sollten Cloud-Anbieter den Anwendern erlauben, rollenbasierte Berechtigungen verschiedenen Administratoren zuzuweisen, damit die User nur über die ihnen zugewiesenen Funktionen verfügen können. Darüber hinaus sollte die Cloud-Orchestrierung es privilegierten Usern ermöglichen, den Umfang der Berechtigungen anderer User entsprechend ihren Aufgaben im Unternehmen festzulegen.
Authentifizierung optimieren
Das Stehlen von Passwörtern ist die häufigste Methode, um auf die Daten und Services von Usern in der Cloud zuzugreifen. Daher sollten Cloud-Entwickler eine starke Authentifizierung bzw. Identitätsverwaltung wie beispielsweise eine Multi-Faktor-Authentifizierung einrichten. Es gibt verschiedene Tools, die sowohl statische Passwörter als auch dynamische Passwörter erfordern. Letztere bestätigen die Anmeldeinformationen eines Users, indem ein Einmalpasswort auf einem Handy bereitgestellt oder biometrische Schemata bzw. Hardware-Token verwendet werden.
Daten verschlüsseln
Daten in einer Cloud-Umgebung müssen in allen Phasen ihrer Übertragung und Speicherung verschlüsselt werden:
an der Quelle (Userseite)
während der Übertragung (Übertragung vom User zum Cloud-Server)
im Ruhezustand (Cloud-Datenbank)
Daten sollten verschlüsselt werden, noch bevor sie in die Cloud gelangen. Moderne Datenverschlüsselungs- und Tokenisierungs-Technologien sind eine wirksame Verteidigung gegen Konto-Hijacking. Darüber hinaus ist es von Bedeutung, eine End-to-End-Verschlüsselung nachzuweisen, um Daten während der Übertragung vor Man-in-the-Middle-Angriffen zu schützen. Die Verwendung starker Verschlüsselungs-Algorithmen, die Salt und Hashes enthalten, kann Cyber-Angriffe effektiv abwehren.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/a4/5c/a45c1dee854f435b70b7c1fa12aee477/0129457375v1.jpeg "Dirk Decker, Regional Director für Zentraleuropa bei Forescout (Bild: Forescout)")
:quality(80)/p7i.vogel.de/wcms/f3/06/f3069f2157a24823469be9fdf6643805/0129456688v2.jpeg "Dr. Marc Wilczek ist ab März 2026 als CEO bei Plusserver tätig. (Bild: Plusserver)")
:quality(80)/p7i.vogel.de/wcms/09/0b/090bf15f99bc0daa8e5a1686a95dddfe/0129398948v2.jpeg "Dr. René Sternberg ist seit 14. Januar 2026 Teil der Geschäftsführung bei Hirschtec, einem Service Provider für den Digital Workplace. (Bild: Hirschtec, bearbeitet mit Canva)")
:quality(80)/p7i.vogel.de/wcms/b8/62/b862d52eb76e32cfe5bb76f66ea6fe86/0129333855v1.jpeg "Armin Müller hat zuvor seine Führungsqualitäten bei globalen Software-Giganten unter Beweis gestellt und soll nun das Wachstum beschleunigen und Innovationen in Mitteleuropa vorantreiben. (Bild: Veeam)")
:quality(80)/p7i.vogel.de/wcms/72/e4/72e4ae6cb11e595aeadf87c0b02afda1/0129257608v1.jpeg "Monitoring-Daten der Bundesnetzagentur: Laut Verivox stockt der Mobilfunkausbau. (Bild: Bundesnetzagentur)")
:quality(80)/p7i.vogel.de/wcms/d5/56/d556b0778156541d0c5fb1a9b2c04759/0129361657v1.jpeg "Kaspersky behält sich vor, rechtliche Schritte gegen das BSI einzuleiten, das seit 2022 eine Warnung gegen die Software des Herstellers aufrechterhält. Während die rechtlichen Grundlagen und die Notwendigkeit dieser Warnung in Frage gestellt wurden, komplizieren geopolitische Spannungen die Situation weiter. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9f/29/9f29d50a381e301548a7cb1b45e32c52/0129491281v2.jpeg "Die Bundesnetzagentur mit Sitz in Bonn wird zur zentralen KI-Anlaufstelle. (Bild: © hkama – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/11/ab110159ae2040c896438cdc2d1eeb44/0129486020v1.jpeg "Check Point hat eine Vier-Säulen-Strategie vorgestellt mit den Schwerpunkten Hybrid Mesh Network Security, Workspace Security, Exposure Management und KI-Sicherheit. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/90/8e/908e985af71acd78e53169150fb8cdf0/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/56/24/562426509c4ea8cc96d47d241a8c13eb/0129229041v2.jpeg "Wer sich heute auf dem IT-Arbeitsmarkt auf Jobsuche begibt, sieht sich mit vielfältigen Herausforderungen konfrontiert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/6e/56/6e56fd2bf45c7fa715783451517ef0c5/0129407763v2.jpeg "Warum KI-gestützte Telefonie den Unterschied macht, ein Interview von Oliver Schonschek, News-Analyst, mit Jennifer Rapp von Starface (Bild: Vogel IT-Medien / Starface / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/58/f9/58f9f1709932c02a505346dd53d210bb/0126745194v1.jpeg "Sicherheitsteams müssen unzählige Identitäten und Berechtigungen im Auge behalten, die über eine Vielzahl von Cloud-Services verstreut sind – ohne eine durchdachte Strategie für Identity Security ist das nicht mehr zu schaffen. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/75/f2752d1de714115e98ba267d4e7b53a1/0123694005v1.jpeg "Es reicht nicht aus, in die richtige Technologie zu investieren, Betreiber müssen auch ihre Teammitglieder darin schulen. (Bild: Svfotoroom - stock.adobe.com)")