Was ist das Modell der geteilten Verantwortung in der Cloud?

Es ist das Prinzip, das definiert, welche Teile der Sicherheit der Cloud-Anbieter schützt und welche Teile der Kunde. Bei IaaS (AWS EC2, Azure VM, GCP Compute) schützt der Anbieter die physische Infrastruktur, das Netzwerk und die Virtualisierung; der Kunde schützt Betriebssystem, Anwendungen, Daten, Identitäten und Konfiguration. Bei SaaS (Microsoft 365, Google Workspace) verwaltet der Anbieter die Anwendung; der Kunde bleibt verantwortlich für Daten, Zugriffe, Konfiguration und Schulung.

Was sind CIS Benchmarks und warum werden sie für Cloud-Hardening verwendet?

CIS Benchmarks sind Leitfäden für sichere Konfiguration, gepflegt vom Center for Internet Security für über 100 Produkte (AWS, Azure, GCP, Microsoft 365, Kubernetes, Windows, Linux). Jeder Benchmark enthält hunderte konkreter auditierbarer Kontrollen. Sie werden verwendet, weil sie der anerkannte internationale Standard sind, von der Fachgemeinschaft geprüft werden, öffentlich einsehbar sind und sich leicht mit ISO 27001, ENS und NIST CSF abbilden lassen.

Cloud-Sicherheit Unternehmen · Datenschutz in der Cloud

Q: Welche Ursachen für Cloud-Datenlecks sind am häufigsten?

99 % sind Kundenfehler, nicht Anbieterfehler. Die Top-Ursachen: durch Fehlkonfiguration öffentliche Buckets S3 / Blob / GCS, ins Internet exponierte Verwaltungsports (RDP, SSH), fehlende MFA in Administrationskonten, in öffentlichen Git-Repositorys geleakte Zugangsschlüssel, übermäßige IAM-Berechtigungen, fehlendes Logging, fehlende Verschlüsselung von Datenbanken und öffentliche Freigabe von Dokumenten in Drive/OneDrive.

Q: Was kostet das Cloud-Security-Hardening in einem KMU?

Cloud-Security-Audit: 2.500-5.000 €. Hardening nach CIS Benchmarks (Azure / AWS / GCP): 4.000-8.000 €. Einführung eines Cloud-SIEM (Microsoft Sentinel, AWS Security Hub, Chronicle): 6.000-12.000 €. Integratives Paket Hardening + Monitoring + DLP: 10.000-18.000 € in einem KMU mit 15-40 Beschäftigten. Jährliche Wartung: 25-30 % der Einführungskosten.

Q: Ist es sicher, Rechenzentren außerhalb der EU zu nutzen?

Es ist rechtlich möglich, wenn gültige Transfermechanismen bestehen: Angemessenheitsbeschlüsse (UK, Schweiz, Japan, Israel, Kanada privat), Standardvertragsklauseln der Europäischen Kommission oder verbindliche interne Vorschriften. Für die USA ist das Data Privacy Framework (Nachfolger des Privacy Shield) seit 2023 in Kraft. Die einfachste Option für KMU mit sensiblen Daten ist die Wahl von EU-Rechenzentren (Microsoft 365 EU Data Boundary, AWS eu-west, Azure West Europe, GCP europe-west).

Cybersicherheit · Cloud

Cloud-Sicherheit folgt dem Modell der geteilten Verantwortung: Der Anbieter schützt die Infrastruktur, der Kunde Identitäten und Daten.

Executive Summary · TL;DR

Die Cloud-Sicherheit bei AWS, Azure und Google Cloud richtet sich nach dem Modell der geteilten Verantwortung: Der Anbieter schützt physische Infrastruktur, Netzwerk und Virtualisierung; der Kunde schützt Identitäten, Daten, Konfigurationen und Anwendungen. 99 % der Cloud-Datenlecks entstehen durch fehlerhafte Konfiguration des Kunden, nicht durch Anbieterversagen. Die zehn wesentlichen Maßnahmen sind IAM mit MFA, Verschlüsselung im Transit und im Ruhezustand, Hardening nach CIS Benchmarks, unabhängiges Backup, Monitoring mit CloudTrail/Defender/Cloud Logging, DLP, Netzwerksegmentierung, Secrets-Verwaltung, kontinuierliches Patching und vierteljährliche Konfigurationsüberprüfung. KMU-Hardening-Kosten: 4.000-18.000 €. Dieser Leitfaden behandelt AWS, Azure, GCP, DSGVO/ENS und ein reales Beispiel auf den Kanaren.

Die Cloud-Migration ist unaufhaltsam: Mehr als 85 % der spanischen KMU nutzen mindestens einen Cloud-Dienst (E-Mail, Speicher, Verwaltungssoftware, CRM). Aber die Cloud ist nicht standardmäßig sicher. Die Sicherheit Ihrer Daten in der Cloud ist eine geteilte Verantwortung zwischen Ihnen und Ihrem Cloud-Anbieter, und der Ihnen zukommende Teil ist derjenige, der am häufigsten versagt. Dieser Leitfaden erklärt Ihnen, was Sie tun müssen, um Ihre Daten, Ihren Ruf und Ihre normative Compliance in Cloud-Umgebungen zu schützen.

Das Modell der geteilten Verantwortung

Das wichtigste Konzept, das Sie zur Cloud-Sicherheit verstehen müssen, ist: Ihr Cloud-Anbieter schützt die Infrastruktur (Rechenzentren, Server, Netzwerk, Virtualisierung), aber Sie sind verantwortlich dafür, alles zu schützen, was darauf liegt: Daten, Konfigurationen, Zugriffe, Anwendungen und Benutzer.

In einem IaaS-Modell (Infrastructure as a Service) wie AWS, Azure oder Google Cloud sind Sie verantwortlich für das Betriebssystem, die Anwendungen, die Daten, die Zugriffe und die Netzwerkkonfiguration. In einem SaaS-Modell (Software as a Service) wie Microsoft 365, Google Workspace, Salesforce oder HubSpot verwaltet der Anbieter die Anwendung und die Infrastruktur, aber Sie bleiben verantwortlich für die Daten, die Zugriffe, die Sicherheitskonfiguration und die Schulung der Benutzer.

Der häufigste Fehler ist anzunehmen, dass der Anbieter die Daten schützt, sobald sie in der Cloud liegen. Das ist nicht so. Teilt ein/e Beschäftigte/r einen öffentlichen Link zu einem vertraulichen Dokument in Google Drive, liegt die Verantwortung bei Ihnen, nicht bei Google.

Vergleich AWS vs. Azure vs. GCP für Sicherheit im KMU

Die drei großen Hyperscaler teilen eine ähnliche Sicherheitsarchitektur, unterscheiden sich aber in nativen Werkzeugen, Kostenmodell und Lernkurve. Praktische Zusammenfassung für das spanische KMU:

Aspekt	AWS	Microsoft Azure	Google Cloud (GCP)
IAM	IAM + IAM Identity Center	Entra ID + RBAC	Cloud IAM
Standardverschlüsselung	S3, EBS, RDS (AES-256)	Storage, Disks, SQL DB	Storage, Persistent Disk, BigQuery
Secrets-Verwaltung	Secrets Manager · KMS	Key Vault	Secret Manager · Cloud KMS
Logging und Audit	CloudTrail + GuardDuty	Activity Log + Defender for Cloud	Cloud Audit Logs + SCC
Natives SIEM	Security Hub + Detective	Microsoft Sentinel	Chronicle (Mandiant)
DLP	Macie	Purview DLP	Sensitive Data Protection
EU-Regionen mit souveränen Daten	eu-west-1 (Dublin), eu-west-3 (Paris), eu-south-2 (Aragon)	West Europe, North Europe, Spain Central	europe-west1, europe-west4, europe-southwest1 (Madrid)
Zertifizierungen	ISO 27001/27017/27018, SOC 2, ENS Hoch	ISO 27001/27017/27018, SOC 2, ENS Hoch	ISO 27001/27017/27018, SOC 2, ENS Hoch
Eignung für KMU	Breiteres Ökosystem, steilere Kurve	Beste Integration Microsoft 365 / AD	BigQuery + KI bei intensiver Analytik

Die zehn wesentlichen Maßnahmen der Cloud-Sicherheit

1. Identitäts- und Zugriffsverwaltung (IAM)

Setzen Sie das Prinzip der minimalen Rechte um: Jede/r Benutzer/in sollte nur Zugriff auf das haben, was für die Arbeit nötig ist, und nicht mehr. Nutzen Sie Multi-Faktor-Authentifizierung (MFA) in allen Konten ohne Ausnahme. Überprüfen Sie die Berechtigungen mindestens vierteljährlich und widerrufen Sie die Zugriffe von Beschäftigten, die ihre Funktion gewechselt oder das Unternehmen verlassen haben. Nutzen Sie personalisierte Konten (niemals geteilte) und deaktivieren Sie Standard- oder Testkonten.

2. Datenverschlüsselung

Aktivieren Sie die Verschlüsselung im Transit (TLS/SSL für alle Kommunikationen) und die Verschlüsselung im Ruhezustand (Verschlüsselung der in der Cloud gespeicherten Daten). Die meisten Unternehmens-Cloud-Dienste bieten beides standardmäßig, aber Sie müssen prüfen, dass sie aktiviert sind. Für besonders sensible Daten erwägen Sie die clientseitige Verschlüsselung, bei der Sie die Schlüssel verwalten und der Cloud-Anbieter nur verschlüsselte Daten speichert, die er nicht entschlüsseln kann.

3. Sichere Konfiguration (CIS Benchmarks)

Konfigurationsfehler sind die Hauptursache für Sicherheitsdatenlecks in der Cloud. Die häufigsten sind öffentliche Speicher-Buckets (S3 bei AWS, Blob bei Azure, GCS bei GCP), ins Internet exponierte Verwaltungsports (RDP, SSH), schwache Passwortrichtlinien, fehlende Audit-Logs und zu freizügige Firewall-Regeln. Nutzen Sie die CIS-Benchmarks-Leitfäden zur Prüfung der sicheren Konfiguration Ihrer Cloud-Dienste (es gibt spezifische Benchmarks für AWS Foundations, Azure Foundations, GCP, Microsoft 365 und Kubernetes, unter anderem).

4. Vom Cloud-Anbieter unabhängiges Backup

Verlassen Sie sich für Ihre Backups nicht ausschließlich auf die Redundanz des Cloud-Anbieters. Ein Konfigurationsfehler, eine sich synchronisierende Ransomware oder eine böswillige Handlung eines/einer Beschäftigten kann Ihre Daten auch in der Cloud löschen. Führen Sie ein unabhängiges Backup gemäß der 3-2-1-Regel.

5. Monitoring und Logging

Aktivieren Sie die Audit-Logs in allen Cloud-Diensten und konfigurieren Sie sie, damit sie Zugriffe, Datenänderungen, Konfigurationsänderungen und administrative Aktionen aufzeichnen. Prüfen Sie die Logs regelmäßig (oder implementieren Sie automatisierte Alarme), um verdächtige Aktivität wie Zugriffe von ungewöhnlichen Orten oder Massenänderungen von Daten zu erkennen.

6. DLP (Data Loss Prevention)

DLP-Werkzeuge überwachen und steuern den Fluss sensibler Daten, um Lecks zu verhindern. Microsoft 365 und Google Workspace enthalten grundlegende DLP-Funktionen, die Sie konfigurieren können, um den Versand sensibler Daten (Kartennummern, Gesundheitsdaten, Finanzinformationen) per E-Mail oder Dateifreigabe zu erkennen und zu blockieren.

7. Verwaltung von Secrets und Schlüsseln

API-Schlüssel, Tokens und Dienst-Zugangsdaten dürfen niemals im Code, in Git-Repositorys oder in Umgebungsvariablen im Klartext liegen. Nutzen Sie den Secrets-Manager des Anbieters (AWS Secrets Manager, Azure Key Vault, GCP Secret Manager) und rotieren Sie die Schlüssel automatisch. Implementieren Sie GitHub Secret Scanning oder gleichwertige Werkzeuge in Ihrer CI/CD, um Lecks frühzeitig zu erkennen.

8. Netzwerksegmentierung

Teilen Sie die Infrastruktur in isolierte VPCs/VNets mit klar getrennten öffentlichen und privaten Subnetzen, wenden Sie restriktive Sicherheitsgruppen oder NSGs an (Standardablehnung) und begrenzen Sie den Ost-West-Verkehr mit Mikrosegmentierung, wo nötig.

9. Patching und Schwachstellenmanagement

Obwohl der Cloud-Anbieter die zugrunde liegende Infrastruktur patcht, bleibt bei IaaS der Kunde verantwortlich für das Patchen des Betriebssystems und der Anwendungen. Implementieren Sie automatisiertes Patching (Azure Update Manager, AWS Systems Manager Patch Manager, GCP OS Config) und wöchentliches Schwachstellen-Scanning.

10. Vierteljährliche Überprüfung des Sicherheitszustands

Führen Sie formale vierteljährliche Überprüfungen mit den Dashboards des Anbieters durch (AWS Security Hub, Microsoft Defender Secure Score, GCP Security Command Center), um Konfigurations-Drift, neue Risiken und Verbesserungschancen zu identifizieren.

Normative Compliance in der Cloud

DSGVO und Datenlokalisierung

Die DSGVO verlangt, dass personenbezogene Daten europäischer Bürger mit angemessenen Garantien verarbeitet werden. Wenn Sie Cloud-Dienste mit Rechenzentren außerhalb der EU nutzen, müssen Sie prüfen, dass gültige Transfermechanismen bestehen (Standardvertragsklauseln, Angemessenheitsbeschlüsse). Die einfachste Option für KMU ist die Wahl von Anbietern, die Speicher in Rechenzentren innerhalb der EU bieten (Microsoft 365 EU Data Boundary, AWS eu-south-2 Aragon, GCP europe-southwest1 Madrid).

ENS und Cloud-Dienste

Unterliegt Ihre Organisation dem ENS (spanisches nationales Sicherheitsrahmenwerk), müssen die genutzten Cloud-Dienste die Sicherheitsanforderungen entsprechend der Kategorie Ihres Systems erfüllen. Das CCN hat spezifische Leitfäden zur Nutzung von Cloud-Diensten im ENS-Kontext veröffentlicht, und der CPSTIC-Katalog umfasst qualifizierte Cloud-Dienste. Für ENS Mittel oder Hoch prüfen Sie, ob der Anbieter eine spezifische ENS-Zertifizierung für die zu beauftragenden Dienste hat.

Bewertung von Cloud-Anbietern

Bevor Sie sensible Daten zu einem Cloud-Dienst migrieren, bewerten Sie den Anbieter hinsichtlich Sicherheitszertifizierungen (ISO 27001/27017/27018, SOC 2, ENS), Standort der Rechenzentren, vertraglicher Sicherheits- und Datenschutzklauseln, Verschlüsselungsfähigkeiten, Aufbewahrungs- und Löschrichtlinien und Mechanismen der Incident Response. Verwandt: Cybersicherheitsberatung Unternehmen: Leistungen und Kosten.

Reales Beispiel: TIK-KMU aus Las Palmas migriert mit vollständigem Hardening zu Azure

Ein TIK-KMU mit 25 Beschäftigten und Sitz in Las Palmas de Gran Canaria, tätig in Entwicklung und Betrieb eines SaaS für Tourismusmanagement, entschied 2024, seine On-Premises-Infrastruktur zu Microsoft Azure zu migrieren, angesichts des Wachstums seiner Kundenbasis (von 40 auf 180 kanarische und festlandspanische Hotels in 18 Monaten) und der Notwendigkeit, ENS Kategorie Basis als Lieferant des Cabildo von Gran Canaria zu erfüllen.

Das Projekt wurde in 5 Monaten mit Gesamtkosten von 12.000 € umgesetzt (Erstaudit 1.800 € + Migrationsplan 1.500 € + Hardening nach CIS Benchmarks Azure Foundations 4.200 € + Einführung von Defender for Cloud + Sentinel 3.000 € + DLP und DSGVO-Richtlinien 1.500 €). Zentrale Maßnahmen:

Migration in die Azure-Region Spain Central mit souveränen Daten und Cross-Region-Replikation in West Europe.
Entra ID mit verpflichtender MFA für die 25 Beschäftigten, geolokalisierungsbasierter Conditional Access (Spanien + OECD-Länder) und JIT-Zugriff für Administratoren.
Hardening nach CIS Azure Foundations Benchmark v2.0: 142 Kontrollen angewendet, Secure Score von 38 % auf 87 % gestiegen.
Microsoft Defender for Cloud + Microsoft Sentinel mit 18 personalisierten Analyseregeln und virtualisiertem SOC mit von einem lokalen MSSP verwalteter Reaktion.
Purview DLP mit Richtlinien für Kartendaten (PCI) und besondere personenbezogene Daten (DSGVO Art. 9).
Unabhängiges Backup (Azure Backup + vierteljährliche Offline-Kopie) mit dokumentierten zweimonatlichen Wiederherstellungstests.
ENS-Basis-Zertifizierung in Monat 7 erlangt, mit günstiger Erneuerung 2025.

In den 18 Monaten nach der Migration gemessene Ergebnisse: null Sicherheitsdatenlecks, MTTD von 96 h (vor Sentinel) auf 6 h gesenkt, und das Unternehmen unterzeichnete 4 neue Verträge mit der öffentlichen Verwaltung im kombinierten Wert von 95.000 € dank des ENS-Siegels. Monatliche zusätzliche Cloud-Kosten: 1.800 €/Monat (Azure + Sentinel + Defender), geringer als die Ersparnis bei der On-Premises-Wartung.

Mini-Glossar zur Cloud-Sicherheit

IaaS / PaaS / SaaS: Infrastructure / Platform / Software as a Service · Cloud-Dienstebenen mit unterschiedlicher Verantwortungsverteilung.
CSPM: Cloud Security Posture Management · kontinuierliche Verwaltung des Cloud-Sicherheitszustands.
CIEM: Cloud Infrastructure Entitlement Management · Berechtigungsverwaltung in der Cloud.
CWPP: Cloud Workload Protection Platform · Schutz von Workloads (VMs, Container, Serverless).
SIEM: Security Information and Event Management · Korrelation und Analyse von Sicherheitslogs.
CASB: Cloud Access Security Broker · Vermittler, der Richtlinien zwischen Benutzern und SaaS durchsetzt.
CIS Benchmarks: Leitfäden für sichere Konfiguration des Center for Internet Security.
CPSTIC: Katalog der IKT-Sicherheitsprodukte und -dienste des CCN.
DLP: Data Loss Prevention · Verhinderung des Verlusts sensibler Daten.
JIT: Just-In-Time Access · temporärer, auf Anfrage genehmigter administrativer Zugriff.

Müssen Sie die Sicherheit Ihrer Cloud-Dienste bewerten oder sicher migrieren? Sprechen wir über eine Bewertung Ihrer Cloud-Umgebung und einen an Ihre Dienste und Regulierungen angepassten Sicherheitsplan.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU mit Sitz in Aranda de Duero (Burgos).

Häufig gestellte Fragen

Was ist das Modell der geteilten Verantwortung?

Es definiert, welche Sicherheitsteile der Anbieter schützt (Infrastruktur, Netzwerk, Virtualisierung) und welche der Kunde (Daten, Identitäten, Konfiguration, Anwendungen). Bei SaaS bleibt der Kunde verantwortlich für Daten, Zugriffe und Schulung.

Welche Ursachen für Cloud-Datenlecks sind am häufigsten?

99 % sind Kundenfehler: öffentliche Buckets, exponierte RDP/SSH, fehlende Admin-MFA, in Git geleakte Schlüssel, übermäßige IAM-Rechte, fehlendes Logging, fehlende DB-Verschlüsselung, öffentliche Freigabe in Drive/OneDrive.

Was kostet das Cloud-Security-Hardening in einem KMU?

Audit 2.500-5.000 €. Hardening CIS 4.000-8.000 €. Cloud-SIEM 6.000-12.000 €. Integratives Paket 10.000-18.000 € in einem KMU mit 15-40 Beschäftigten. Wartung 25-30 % jährlich.

Welche Norm gilt für Daten in der Cloud für ein spanisches KMU?

DSGVO bei personenbezogenen Daten (Standardvertragsklauseln außerhalb der EU). ENS bei Lieferanten der öffentlichen Verwaltung (qualifizierte Cloud-Dienste im CPSTIC). NIS2 bei wesentlichen Einrichtungen. DORA im Finanzsektor. PCI DSS bei Karten. ISO 27017/27018 als Best Practices.

Ist es sicher, Rechenzentren außerhalb der EU zu nutzen?

Möglich mit gültigen Mechanismen: Angemessenheitsbeschlüsse, Standardvertragsklauseln oder BCR. USA durch Data Privacy Framework (2023) abgedeckt. Einfach für KMU: EU-Rechenzentren (M365 EU Data Boundary, AWS eu-south-2 Aragon, GCP Madrid).

Was sind die CIS Benchmarks?

Leitfäden für sichere Konfiguration des Center for Internet Security für AWS, Azure, GCP, Microsoft 365, Kubernetes usw. Sie sind der anerkannte internationale Standard und lassen sich mit ISO 27001, ENS und NIST CSF abbilden.

Brauchen Sie Unterstützung dabei?

Arbeiten Sie mit mir an der Cloud-Sicherheit

Hardening AWS · Azure · GCP nach CIS Benchmarks und ENS-/DSGVO-Compliance für KMU. Erstgespräch kostenfrei.

Termin vereinbaren →