top of page

Was ist Cloudsicherheit? Definition, Risiken und Best Practices

  • vor 5 Tagen
  • 7 Min. Lesezeit

Elisa Drescher zur Cloud Sicherheit

Die Cloud ist aus dem digitalen Alltag nicht mehr wegzudenken. Ob du eine Website erstellen, Kundendaten verwalten, KI-Tools nutzen oder von kostenlosem Webhosting profitieren möchtest – viele digitale Dienste basieren heute auf Cloud-Technologien. Dabei werden Daten und Anwendungen nicht mehr auf lokalen Geräten gespeichert, sondern in externen Rechenzentren verarbeitet und verwaltet.


Mit den Vorteilen der Cloud gehen jedoch auch neue Sicherheitsanforderungen einher. Unternehmen und Website-Betreiber müssen sicherstellen, dass sensible Informationen vor unbefugtem Zugriff, Datenverlust und Cyberangriffen geschützt bleiben. Genau hier kommt Cloudsicherheit ins Spiel. Sie umfasst alle technischen, organisatorischen und rechtlichen Maßnahmen, die Daten, Anwendungen und Systeme in Cloud-Umgebungen absichern.


In diesem Artikel erfährst du, was Cloudsicherheit bedeutet, welche Risiken in der Cloud bestehen, welche Best Practices sich bewährt haben und wie du Cloud-Dienste DSGVO-konform und sicher nutzen kannst. Dieser Beitrag erklärt also die wichtigsten Bausteine praxisnah und ordnet sie auch aus Datenschutz- und KI-Sicht ein.




Inhaltsverzeichnis



Was ist Cloudsicherheit?


Cloudsicherheit bezeichnet die Gesamtheit aus Technologien, Prozessen und Richtlinien, die Daten, Anwendungen und Infrastruktur in Cloud-Umgebungen vor unbefugtem Zugriff, Verlust und Manipulation schützen. Sie ist kein einzelnes Produkt, sondern ein Zusammenspiel vieler Disziplinen.


Der entscheidende Unterschied zur klassischen IT-Sicherheit im eigenen Serverraum: In der Cloud liegt die Infrastruktur bei einem externen Anbieter. Das ist auch aus Sicht der DSGVO wesentlich, da in diesen Konstellationen in der Regel auch ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO notwendig ist. 


Cloudsicherheit deckt dabei mehrere Ebenen ab: den Schutz der Daten selbst, die Absicherung der Zugänge und Identitäten, die sichere Konfiguration der genutzten Dienste sowie die laufende Überwachung auf Auffälligkeiten. Erst das Zusammenspiel dieser Ebenen ergibt ein belastbares Schutzniveau. Fällt eine davon aus, etwa weil ein Zugang ungeschützt bleibt, hilft die beste Verschlüsslung wenig.


Aus Datenschutzsicht kommt eine zweite Ebene hinzu: Sobald personenbezogene Daten in der Cloud verarbeitet werden, ist Cloudsicherheit nicht nur eine Frage der Technik, sondern eine rechtliche Pflicht. Die DSGVO verlangt in Art. 32 ausdrücklich angemessene technische und organisatorische Maßnahmen. Cloudsicherheit ist damit die praktische Umsetzung genau dieser Vorgabe.



Hier kommst du zur DSGVO Checkliste



Vorteile von Cloudsicherheit


Viele etablierte Cloud-Anbieter verfügen über Sicherheitsressourcen, Zertifizierungen und Redundanzkonzepte, die insbesondere kleinere Unternehmen mit eigener Infrastruktur häufig nicht in gleichem Umfang bereitstellen können. 


Die wichtigsten Vorteile von Cloud-Anwendungen sind:


  • Zentralisierte Sicherheit: Sicherheits-Know-How, Bedrohungserkennung und Updates laufen zentral beim Anbieter und auf jedem Dienst gleichermaßen, statt verstreut auf einzelnen Geräten.


  • Kosteneinsparungen: Statt eigener Hardware, Wartung und Notfallteams zahlen Unternehmen nur das, was sie nutzen. Sicherheitsfunktionen sind oft bereits enthalten.


  • Datenschutz by Design: Verschlüsslung, Zugriffskontrolle und Protokollierung lassen sich konsistent durchsetzen, was die Erfüllung der DSGVO-Anforderungen aus Art. 32 deutlich erleichtert.


  • Skalierbarkeit: Schutzmaßnahmen wachsen automatisch mit, ob bei zehn oder zehntausend Nutzern, ohne neue Server anschaffen zu müssen.


  • Compliance-Nachweise: Zertifizierungen wie ISO 27001 können ein wichtiger Nachweis für Informationssicherheitsmaßnahmen sein, ersetzen jedoch nicht die eigenständige Prüfung der DSGVO-Anforderungen.



Mehr erfahren: Website Security




Typische Herausforderungen und Risiken der Cloudsicherheit


Die Cloud ist nicht automatisch sicher. Die meisten Vorfälle gehen nicht auf einen genialen Hackerangriff zurück, sondern auf vermeidbare Fehler. Vier Risiken und der jeweilige Lösungsansatz:


Fehlkonfigurationen. Ein offen erreichbarer Speicher oder zu weit gefasste Berechtigungen sind die häufige Ursache für Datenpannen. Ein klassischer Fall ist ein Cloud-Speicher, der versehentlich öffentlich zugänglich bleibt und so ganze Kundendatenbanken ins offene Netz stellt. 


Lösungsansatz: regelmäßige Konfigurationsprüfungen, das Prinzip der minimalen Rechte und automatisierte Werkzeuge, die Fehlkonfigurationen melden, bevor sie zum Problem werden.


Datenverlust und fehlende Verfügbarkeit. Daten können durch Löschung, Ausfall oder Verschlüsslung durch Schadsoftware verloren gehen. 


Lösungsansatz: Backups ersetzen keine Verschlüsselung und umgekehrt. Beide Maßnahmen erfüllen unterschiedliche Schutzziele und sind notwendig.


Account-Übernahme. Gestohlene Zugangsdaten oder Phishing öffnen Angreifern die Tür. 


Lösungsansatz: durchgängige Mehr-Faktor-Authentifizierung, starke Identitätsverwaltung und die Überwachung auffälliger Anmeldungen.


Compliance und Drittlandtransfer. Viele große Anbieter sitzen in den USA. Werden personenbezogene Daten dorthin übertragen, braucht es eine gültige Rechtsgrundlage. 


Lösungsansatz: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Prüfung einer geeigneten Übermittlungsgrundlage, etwa des EU-US Data Privacy Framework oder der Standardvertragsklauseln. Bei Verwendung der Standardvertragsklauseln ist zusätzlich eine Transfer-Folgenabschätzung (Transfer Impact Assessment) notwendig.


Für den deutschsprachigen Markt ist dieser letzte Punkt zentral: Ein Dienst kann technisch hervorragend abgesichert sein und trotzdem rechtlich angreifbar, wenn der Datentransfer in ein Drittland nicht DSGVO-konform ist. Datenschutz und technische Sicherheit müssen deshalb zusammen gedacht werden.



Mehr erfahren: Was ist ein SSL Zertifikat? So schützt du deine Website und ihre Besucher:innen



Das Shared Responsibility Model – Wer ist für was verantwortlich?


Das Modell der geteilten Verantwortung beschreibt, welche Schutzaufgaben beim Anbieter liegen und welche beim Kunden bleiben. Wie weit der Anbieter geht, hängt vom Service-Modell ab. Eine Faustregel hilft trotzdem: Daten und Zugriffsrechte bleiben immer in der Verantwortung des Kunden, egal welches Modell genutzt wird.


Verantwortungs-bereich

IaaS

PaaS

SaaS

Physische Infrastruktur, Rechenzentrum

Anbieter

Anbieter

Anbieter

Netzwerk, Hardware, Virtualisierung

Anbieter

Anbieter

Anbieter

Betriebssystem, Patching

Kunde

Anbieter

Anbieter

Anwendung, Laufzeit-umgebung

Kunde

Geteilt

Anbieter

Zugriff und Identitäten (IAM)

Kunde

Kunde

Kunde

Daten und deren Klassifizierung

Kunde

Kunde

Kunde

Kurz: Je näher man an SaaS rückt, desto mehr übernimmt der Anbieter. Die Hoheit über die eigenen Daten und darüber, wer darauf zugreifen darf, gibt man jedoch nie ab.


Allerdings darf nicht vergessen werden: Auch bei SaaS-Angeboten verbleibt die Verantwortung für die datenschutzkonforme Nutzung und die Vergabe von Zugriffsrechten grundsätzlich beim Kunden.





Säulen und Lösungen der Cloudsicherheit


Vier Bausteine tragen eine moderne Cloud-Absicherung:


  • Zero Trust: Das Sicherheitsmodell der Stunde. Statt einem Netzwerkbereich pauschal zu vertrauen, wird jeder Zugriff einzeln geprüft, unabhängig davon, von wo er kommt. Gerät, Identität und Kontext entscheiden, nicht der Standort.


  • IAM: Das Identity- und Access-Management regelt, wer was darf. Mehr-Faktor-Authentifizierung, rollenbasierte Rechte und das Prinzip der minimalen Rechte sind hier Pflicht, nicht Kür.


  • Verschlüsselung: Daten werden im Ruhezustand und bei der Übertragung verschlüsselt. Entscheidend ist auch die Frage, wer die Schlüssel verwaltet, idealerweise behält das Unternehmen die Kontrolle darüber.


  • DSGVO-Compliance: Auftragsverarbeitungsvertrag, dokumentierte technische und organisatorische Maßnahmen, Löschkonzept und ein sauberer Umgang mit Drittlandtransfers. Hier wird aus technischer Sicherheit nachweisbare Rechtskonformität.


Mein Leitsatz dazu: Datenschutz heißt nicht, Dinge zu verbieten, sondern Alternativen sichtbar zu machen. Cloudsicherheit liefert genau diese Alternativen, sie macht die Nutzung moderner Dienste für viele Unternehmen erst überhaupt erst sicher möglich.


Cloudsicherheit und KI – die neue Pflichtaufgabe


Kaum ein Thema verändert die Cloud derzeit so stark wie Künstliche Intelligenz. Dienste wie Microsoft 365 Copilot, ChatGPT oder cloudbasierte KI-Schnittstellen sind im Kern nichts anderes als Cloud-Anwendungen, in die Unternehmen Daten hineingeben. Damit gelten alle bisher genannten Sicherheitsfragen weiter, plus einige neue.


Was eingegeben wird, ist Verarbeitung. Wer einen Vertrag, eine Bewerbung oder einen Kundendatensatz in ein KI-Tool kopiert, verarbeitet personenbezogene Daten in der Cloud. Entscheidend ist die Frage, ob der Anbieter diese Eingaben zum Training seiner Modelle nutzt. Geschäftes- und Enterprise-Tarife schließen das vertraglich oft aus, kostenlose Varianten häufig nicht.


Zwei Regelwerke greifen ineinander. Neben der DSGVO kommt der EU AI Act hinzu, dessen Pflichten schrittweise bis 2027 in Kraft treten und sich nach dem Risiko des Einsatzes richten. Verarbeitet ein KI-System personenbezogene Daten, gelten beide Rahmen gleichzeitig. Je nach Anwendungsfall kann zudem eine Datenschutz-Folgenabschätzung erforderlich sein, insbesondere bei umfangreicher Verarbeitung personenbezogener Daten, Profiling oder dem Einsatz von Hochrisiko-KI-Systemen.


Mein Rat aus der Praxis: KI nicht verbieten, sondern in einen sicheren Rahmen holen. Das heißt konkret: einen Dienst mit passendem Auftragsverarbeitungsvertrag wählen, das Training mit den eigenen Daten vertraglich ausschließen, klare interne Regeln festlegen, welche Daten überhaupt eingegeben werden dürfen, und den Einsatz in das Verarbeitungsverzeichnis aufnehmen. So wird aus einem unkontrollierten Risiko ein nachvollziehbarer, rechtssicherer Prozess.





Fazit zur Cloudsicherheit


Cloudsicherheit ist kein Schalter, den man einmal umlegt, sondern ein Zusammenspiel aus Technik, Organisation und Compliance. 

Vier Punkte zum Mitnehmen:


  • Verantwortung ist geteilt: Anbieter sichert die Infrastruktur, der Kunde verantwortet Daten und Zugriffe. Wer das verwechselt, fällt durch Fehlkonfiguration auf.


  • Die größten Risiken sind hausgemacht: Die meisten Vorfälle entstehen durch vermeidbare Fehler, nicht durch geniale Angriffe. Konfiguration, Zugänge und Backups sind die Hebel.


  • Sicherheit und Datenschutz gehören zusammen: Technische Absicherung und DSGVO-Konformität sind kein Gegensatz, sondern dieselbe Aufgabe aus zwei Blickwinkeln. Vor allem der Drittlandtransfer braucht eine saubere Grundlage.


  • KI braucht Spielregeln, kein Verbot: KI-Dienste sind Cloud-Dienste mit Zusatzpflichten. Mit dem richtigen Rahmen lassen sie sich rechtssicher nutzen, statt sie pauschal zu untersagen.



Über die Autorin

Elisa Drescher ist Juristin, Datenschutzexpertin, Mitgründerin und externe Datenschutzbeauftragte von datenschutz-fix®. Mit ihrem Team begleitet sie über 500 Unternehmen im DACH-Raum dabei, DSGVO, KI und neue Technologien zusammenzubringen. Als Autorin ("Echt oder KI? Deepfakes im Marketing" erhältlich auf Amazon) und Speakerin macht sie Datenschutz greifbar. Ihr Leitsatz ist: Datenschutz heißt nicht, Dinge zu verbieten, sondern Alternativen sichtbar zu machen. Auf Instagram ist sie als @frau.datenschutz unterwegs.







FAQ: Meistgestellte Fragen zur Cloudsicherheit


Was ist der Unterschied zwischen Cloud-Sicherheit und Cloudsicherheit?


Die Begriffe Cloud-Sicherheit und Cloudsicherheit werden meist synonym verwendet. Beide beschreiben Maßnahmen zum Schutz von Daten, Anwendungen und IT-Infrastrukturen in Cloud-Umgebungen. Dazu gehören unter anderem Verschlüsselung, Zugriffskontrollen, Identitätsmanagement und die Einhaltung von Datenschutzvorgaben wie der DSGVO.



Ist die Cloud sicher für personenbezogene Daten?


Ja, Cloud-Dienste können sehr sicher sein, wenn sie richtig konfiguriert und genutzt werden. Entscheidend sind technische Maßnahmen wie Verschlüsselung und Mehr-Faktor-Authentifizierung sowie rechtliche Anforderungen wie ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Unternehmen sollten außerdem prüfen, ob Daten in Drittländer übertragen werden und welche Rechtsgrundlage dafür gilt.



Wer ist für die Sicherheit in der Cloud verantwortlich?


Die Verantwortung wird zwischen Cloud-Anbieter und Kunde aufgeteilt. Der Anbieter schützt in der Regel die Infrastruktur, während Unternehmen für ihre Daten, Zugriffsrechte und die datenschutzkonforme Nutzung verantwortlich bleiben. Dieses Prinzip wird als Shared Responsibility Model bezeichnet.



Welche Risiken gibt es bei der Nutzung von Cloud-Diensten?


Zu den häufigsten Risiken zählen Fehlkonfigurationen, gestohlene Zugangsdaten, Datenverlust sowie rechtliche Probleme beim internationalen Datentransfer. Viele Sicherheitsvorfälle entstehen nicht durch technische Schwachstellen, sondern durch vermeidbare Fehler bei der Verwaltung von Zugängen und Berechtigungen.



Wie kann ich KI-Tools in der Cloud datenschutzkonform nutzen?


Unternehmen sollten darauf achten, dass der Anbieter einen passenden Auftragsverarbeitungsvertrag anbietet und die Eingaben nicht für das Training der KI verwendet werden. Zusätzlich sollten klare interne Regeln festlegen, welche Daten in KI-Anwendungen eingegeben werden dürfen. So lassen sich die Anforderungen von DSGVO und EU AI Act besser erfüllen.

Erstelle eine Website

Dieser Blog wurde mit Wix Blog erstellt.

bottom of page