Angreifer haben dabei eine Vielzahl an Möglichkeiten und setzen unter anderem automatisierte Scans ein, um falsch konfigurierte Cloud-Dienste aufzuspüren, oder nutzen Brute-Force-Angriffe, um schwache Zugangsdaten zu knacken. Besonders perfide sind Social-Engineering-Angriffe, bei denen Mitarbeiter gezielt manipuliert werden, um sensible Informationen preiszugeben oder um Teil der Cloud Security zu umgehen. Jede unbeachtete Schwachstelle kann erhebliche Schäden bei den Opfern verursachen. Daher sollte Cloud-Sicherheit als ein kontinuierlicher Prozess betrachtet werden, der sich stetig an neue Bedrohungen anpasst.

Die größten Cloud-Sicherheitsrisiken für Unternehmen

1.    Fehlkonfigurierte Cloud-Dienste

Viele Sicherheitslücken entstehen durch fehlerhafte Einstellungen. Offene Datenbanken oder falsch konfigurierte Zugriffsrechte können Angreifern Tür und Tor öffnen. Ein typischer Angriff beginnt oft mit einer automatisierten Suche nach öffentlich zugänglichen Cloud-Ressourcen. Sobald ein Angreifer eine ungeschützte Datenbank oder eine fehlerhaft konfigurierte API entdeckt, kann er sensible Unternehmensinformationen auslesen oder manipulieren. Besonders gefährlich sind Konfigurationen, bei denen Zugriffskontrollen fehlen oder standardisierte Anmeldedaten beibehalten wurden.

In vielen Fällen werden solche Sicherheitslücken für Datenexfiltration genutzt – Angreifer kopieren große Mengen sensibler Daten und verkaufen sie auf dem Schwarzmarkt oder drohen mit deren Veröffentlichung. Alternativ können sie Schadsoftware einschleusen, um die Cloud-Umgebung zu kompromittieren.

Eine regelmäßige Überprüfung der Cloud-Umgebung, gepaart mit strikten Zugriffsbeschränkungen und Protokollierungsmechanismen, kann solche Risiken deutlich reduzieren. Je nach Cloud-Anbieter gibt es Prüftools wie das Azure Security Center oder die Azure Policy. Bei AWS bietet der AWS Security Hub und der Amazon Inspector eine grundlegende Übersicht.

2.   Unzureichendes Identitäts- und Zugriffsmanagement

Zu weitreichende Zugriffsrechte erhöhen das Risiko von Datendiebstahl und internen Bedrohungen. Um dies zu verhindern, sollten Unternehmen das Least-Privilege-Prinzip konsequent umsetzen: Jeder Nutzer erhält nur die minimal notwendigen Berechtigungen für seine Aufgaben. Ergänzend sorgt eine rollenbasierte Zugriffskontrolle (RBAC) dafür, dass Berechtigungen strukturiert und nachvollziehbar verwaltet werden.

Eine weitere Schutzmaßnahme, um die Sicherheit in der Cloud zu verstärken, ist die Multi-Faktor-Authentifizierung (MFA), die neben Passwortschutz eine zusätzliche Sicherheitsebene hinzufügt und als Mindeststandard im Zuge der Datensicherheit in der Cloud verwendet werden sollte. Hierbei werden Login-Versuche erst nach erfolgreicher Identitätsbestätigung durch ein zweites Gerät oder eine biometrische Erkennung gewährt. Um verdächtige Aktivitäten frühzeitig zu erkennen, sollten zudem protokollierte Zugriffsdaten regelmäßig analysiert und anomales Verhalten automatisch gemeldet werden.

Diese Maßnahmen sind zudem zentrale Bestandteile der Cloud Compliance ISO 27017 und BSI C5, die spezifische Anforderungen an Cloud-Sicherheit definieren.

3.    Fehlende oder unzureichende Verschlüsselung

Daten in der Cloud müssen sowohl bei der Speicherung als auch bei der Übertragung verschlüsselt sein. Wurden die Cloud-Daten unzureichend verschlüsselt oder ohne Verschlüsselung übertragen, sind sensible Informationen für unbefugte Dritte leicht zugänglich und die Datensicherheit in der Cloud ist extrem gefährdet. Angreifer nutzen verschiedene Methoden, um ungeschützte Daten abzugreifen. Durch Man-in-the-Middle-Angriffe (MITM) können sie sich zwischen die Kommunikation schalten und Daten während der Übertragung abfangen. 

Zudem ermöglichen unsichere API-Schnittstellen den Zugriff auf sensible Informationen, wenn Authentifizierungsmechanismen fehlen oder Sicherheitslücken bestehen. Besonders gefährlich sind Cloud-Speicher, die unzureichend konfiguriert wurden und von Suchmaschinen indexiert werden können. So gelangen vertrauliche Firmendaten unbemerkt in die Hände von Cyberkriminellen.

4.    Mangelhafte Compliance-Umsetzung

Regulierungen wie ISO 27017 oder der BSI C5-Standard geben klare Anforderungen vor. Unternehmen, die Cloud-Dienste nutzen, sollten sicherstellen, dass Cloud-Anbieter diese Standards verwenden und regelmäßig Audits durchführen. Andernfalls drohen schwerwiegende Konsequenzen: Datenverluste durch unzureichende Sicherheitsmaßnahmen, rechtliche und finanzielle Strafen aufgrund von Nichteinhaltung regulatorischer Anforderungen sowie erheblicher Vertrauensverlust bei Kunden und Geschäftspartnern.

Unzureichend gesicherte Cloud-Dienste stellen ein hohes Risikopotenzial für Betriebsunterbrechungen und Cyberangriffen dar, die nicht nur hohe Kosten verursachen, sondern auch sensible Unternehmensprozesse gefährden. Eine konsequente Umsetzung der Compliance-Richtlinien ist ebenfalls Bestandteil der meisten Cyber-Versicherungen.

Maßnahmen zur Stärkung der Cloud-IT-Security 

Ein strukturiertes Identitätsmanagement bildet ein stabiles Fundament einer sicheren Cloud-Umgebung, um die Cloud-Sicherheit für Unternehmen aktuell und zukünftig zu stärken. Dabei beinhaltet es drei wesentliche Bestandteile:

Zero-Trust-Prinzip

Jeder Zugriff wird individuell verifiziert und auf das Nötigste beschränkt. Implementiert wird dies durch kontinuierliche Authentifizierung, Mikrosegmentierung und adaptive Zugriffskontrollen. Bei der kontinuierlichen Authentifizierung werden Benutzeridentitäten nicht nur beim Login geprüft, sondern auch während der gesamten Sitzung anhand von Verhaltensmustern und Zugriffsorten überwacht. Mikrosegmentierung bedeutet, dass das Netzwerk in kleine, isolierte Abschnitte unterteilt wird, sodass Angreifer selbst bei einer erfolgreichen Kompromittierung nur begrenzten Schaden anrichten können. Adaptive Zugriffskontrollen passen Sicherheitsanforderungen dynamisch an das aktuelle Risiko an, beispielsweise durch zusätzliche Authentifizierungsabfragen bei ungewöhnlichen Anmeldeversuchen.

Multi-Faktor-Authentifizierung (MFA)

Neben der klassischen Passwortabfrage sollte mindestens ein weiterer Faktor genutzt werden. Ein Hardware-Token erzeugt Einmal-Passwörter (OTP), die nicht durch Phishing erbeutet werden können. Eine mobile Authentifizierungs-App wie Google Authenticator generiert zeitbasierte OTPs, die auch ohne Internetverbindung funktionieren. Biometrische Merkmale wie Fingerabdruck- oder Gesichtserkennung erhöhen die Sicherheit, da sie nicht einfach gestohlen oder erraten werden können.

Cloud Access Security Broker (CASB)

Diese Sicherheitslösung analysiert und kontrolliert den Datenverkehr zwischen Nutzern und Cloud-Diensten. CASBs werden entweder als eigenständige Softwarelösungen, als Cloud-Service oder als On-Premise-Appliance implementiert. Sie verhindern unerlaubte Datenübertragungen, indem sie Datenklassifizierung und Chiffrierung (Cloud Daten verschlüsseln) direkt in die Cloud-Workflows integrieren. 

Unternehmen können CASBs entweder als Gateway-Lösung einsetzen, die den gesamten Datenverkehr zwischen Nutzern und Cloud-Diensten filtert, oder als API-basierte Lösung, die direkt mit Cloud-Anwendungen integriert wird. Zudem setzen CASBs Sicherheitsrichtlinien durch, indem sie den Zugriff auf Cloud-Anwendungen basierend auf Benutzerrollen, Gerätestatus und Standortbeschränkungen regulieren. Sie ermöglichen die Identifikation und Blockierung riskanter Aktivitäten und helfen Unternehmen, Schatten-IT zu identifizieren, indem sie nicht autorisierte Cloud-Dienste erkennen und verwalten.

Datenverschlüsselung als Schutzschild nutzen

Eine durchgängige Verschlüsselung zwischen Client und Server verhindert einen unbefugten Zugriff, selbst wenn Daten abgegriffen werden.

Ende-zu-Ende-Verschlüsselung

Daten sollten bereits vor dem Versand verschlüsselt werden und erst am autorisierten Endpunkt wieder entschlüsselt werden. Dies geschieht durch clientseitige Verschlüsselung, bei der Daten bereits vor dem Verlassen des Geräts kodiert werden, sodass Cloud-Dienste selbst keinen Zugriff auf den Klartext haben. Moderne Cloud-Anbieter bieten hierfür API-gestützte Verschlüsselungslösungen, die in bestehende Systeme integriert werden können.

Schlüsselmanagement

Eine sichere Verwaltung der Verschlüsselungsschlüssel ist essenziell. Zentralisierte Key-Management-Systeme (KMS) erlauben hierfür eine sichere Erstellung, Rotation und Kontrolle von Schlüsseln. Unternehmen können auch Hardware-Sicherheitsmodule (HSM) verwenden, die physische Schutzmaßnahmen gegen Manipulation bieten. Cloud-native Dienste wie AWS KMS oder Azure Key Vault ermöglichen eine nahtlose Integration in bestehende Sicherheitsinfrastrukturen und helfen, die Cloud-Compliance nach ISO 27017 und BSI C5 einzuhalten.

Pentest in der Cloud durchführen

Mit Pentests (Penetrationstests) lassen sich Schwachstellen aufdecken, bevor sie ausgenutzt werden. Dabei simulieren zertifizierte Sicherheitsexperten realistische Angriffe auf die Cloud-Infrastruktur eines Unternehmens, um mögliche Einfallstore für Cyberkriminelle zu identifizieren. Ein Pentest in der Cloud beginnt mit einer umfassenden Analyse der Cloud-Umgebung, gefolgt von gezielten Angriffsszenarien, darunter das Ausnutzen fehlerhafter Konfigurationen, Brute-Force-Angriffe auf Zugangsdaten oder das Umgehen von Authentifizierungsmechanismen. Die Tester dokumentieren sämtliche Schwachstellen und geben detaillierte Handlungsempfehlungen zur Behebung. Unternehmen sollten darauf achten, Pentests von spezialisierten und zertifizierten Experten durchführen zu lassen, die nach anerkannten Standards wie OWASP oder OSSTMM arbeiten. Automatisierte Sicherheitsscans und regelmäßige Audits ergänzen diese Tests und erhöhen die Resilienz der Cloud-Infrastruktur nachhaltig.

Cloud-Compliance sicherstellen

Unternehmen sollten sich an gängige Standards in der Cloud Compliance halten, um eine bestmögliche Cloud-Security zu gewährleisten. Die ISO 27017 und BSI C5 sind dabei wichtige Standards für die Cloud-Sicherheit und dienen Unternehmen als Leitlinien für die Implementierung und Gewährleistung einer nachhaltigen Cloud-Sicherheit für Unternehmen.

ISO 27017

Die ISO 27017 ist eine Erweiterung der allgemeinen Informationssicherheitsnorm ISO 27001 und konzentriert sich speziell auf die Cloud Security und Cloud Compliance. Sie bietet sowohl Cloud-Dienstanbietern als auch Cloud-Nutzern Empfehlungen zur sicheren Verwaltung von Cloud-Diensten. ISO 27017 umfasst wesentliche Sicherheitsmaßnahmen für Cloud-Umgebungen, darunter die Verwaltung von Verantwortlichkeiten zwischen Cloud-Dienstleistern und Kunden, spezifische Kontrollen zur Minimierung von Sicherheitsrisiken sowie Richtlinien zur Handhabung zur Datensicherheit in der Cloud. Dazu gehören unter anderem die Einführung strikter Zugriffskontrollen, detaillierte Monitoring-Mechanismen zur Erkennung von Sicherheitsvorfällen und Vorgaben zur sicheren Implementierung von Cloud-Diensten. Zudem wird die Bedeutung regelmäßiger Sicherheitsüberprüfungen hervorgehoben, um sicherzustellen, dass Sicherheitsrichtlinien eingehalten und stetig optimiert werden.

BSI C5

Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und stellt Mindestanforderungen an die Sicherheit von Cloud-Diensten auf. C5 umfasst Anforderungen an IT-Sicherheitsmaßnahmen, Cloud Compliance, Datenschutz und Transparenz. Unternehmen, die Cloud-Dienste nutzen, können durch die Einhaltung von BSI C5 sicherstellen, dass ihre Cloud-Provider strenge Sicherheitsrichtlinien umsetzen und regelmäßige Prüfungen durchführen. Zudem helfen externe Zertifizierungen, die Sicherheit der Cloud-Umgebung objektiv zu bewerten und unterstützen dadurch in der Auswahl der Cloud-Anbieter bei besonders kritischen Applikationen.

Fazit: Cloud-Security ist ein strategisches Thema

Die Sicherheit in der Cloud erfordert ein durchdachtes Zusammenspiel aus Technologie, Prozessen und kontinuierlicher Überprüfung und ist keinesfalls eine Einmal-Aktion. Eine wirkungsvolle Sicherheitsstrategie beginnt mit der Identifikation potenzieller Risiken und der Entwicklung festgelegter Richtlinien für den Umgang mit Cloud-Diensten. Neben technischen Maßnahmen wie Verschlüsselung und Zugriffskontrollen spielen regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter eine entscheidende Rolle.

Wer Identitätsmanagement, Verschlüsselung und Compliance fest in die Strategie integriert, reduziert Cloud-Computing-Sicherheitsrisiken. Unternehmen sollten regelmäßige Sicherheitsaudits durchführen, um die bestehende IT-Security in der Cloud zu überprüfen und an neue Bedrohungen anzupassen. Die Implementierung von Sicherheitsstandards wie ISO 27017 und BSI C5 sorgt für eine zuverlässige Grundlage zur Einhaltung regulatorischer Anforderungen.

Jetzt ist der richtige Zeitpunkt, die eigene Cloud-Architektur kritisch zu überprüfen und die Datensicherheit in der Cloud zu stärken.