Cloud-Sicherheit für Unternehmen – Risiken und Schutzmaßnahmen

Inhalt in Kürze

• 90 % der deutschen Unternehmen nutzen Cloud-Dienste, doch nur wenige haben ihre Cloud-Sicherheit systematisch geprüft.
• Fehlkonfigurationen sind die häufigste Ursache für Cloud-Datenpannen – nicht Hackerangriffe.
• Art. 32 DSGVO fordert technische und organisatorische Maßnahmen für Vertraulichkeit, Integrität und Verfügbarkeit – auch in der Cloud.
• Die Verantwortung für den Datenschutz bleibt immer beim Unternehmen, nicht beim Cloud-Anbieter.

Microsoft 365, Google Workspace, Lexoffice, HubSpot – die meisten KMU arbeiten längst in der Cloud. Oft ohne es bewusst entschieden zu haben. Die Buchhaltung läuft über ein SaaS-Tool, die E-Mails über Exchange Online, die Dateien liegen auf SharePoint.

Das Problem: Viele Geschäftsführer gehen davon aus, dass Microsoft oder Google sich um die Sicherheit kümmern. Stimmt – aber nur für die Infrastruktur. Für Ihre Daten, Ihre Konfiguration und Ihre Zugriffsrechte sind Sie verantwortlich. Dieses Prinzip heißt Shared Responsibility Model. Und genau hier entstehen die meisten Cloud-Sicherheitsprobleme.

Cloud-Sicherheit im Unternehmen: Die größten Risiken

Fehlkonfigurationen

Die Nummer eins. Ein öffentlich zugänglicher Azure Blob Storage, eine SharePoint-Freigabe ohne Einschränkung, ein S3-Bucket ohne Zugriffskontrolle. 2022 standen durch eine einzige Fehlkonfiguration bei Microsoft 2,4 Terabyte Kundendaten offen im Internet – betroffen: über 65.000 Unternehmen.

Zu viele Berechtigungen

Neue Mitarbeiter bekommen Vollzugriff. Ehemalige behalten ihre Konten. Ohne Berechtigungskonzept nach dem Least-Privilege-Prinzip öffnen Sie die Tür für Datenverlust.

Schatten-IT

Mitarbeiter nutzen Dropbox, WhatsApp oder ChatGPT ohne Freigabe der IT. Ihre Daten landen auf Servern, von denen Sie nichts wissen – ohne Auftragsverarbeitungsvertrag, ohne Löschkonzept.

Mangelnde Authentifizierung

Kein MFA auf Cloud-Konten ist wie eine offene Haustür. Laut BSI-Lagebericht 2025 beginnen über 80 % der erfolgreichen Angriffe mit kompromittierten Zugangsdaten.

Was DSGVO und BDSG von Ihnen verlangen

Art. 32 DSGVO ist eindeutig: Sie müssen technische und organisatorische Maßnahmen treffen, die dem Risiko angemessen sind. Konkret:

• Vertraulichkeit – nur befugte Personen dürfen auf Daten zugreifen
• Integrität – Daten dürfen nicht unbemerkt verändert werden
• Verfügbarkeit – Systeme müssen zugänglich sein, wenn Sie sie brauchen
• Belastbarkeit – Systeme müssen auch unter Last stabil bleiben

Zusätzlich verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) mit jedem Cloud-Anbieter. Ohne AVV ist die Cloud-Nutzung ein DSGVO-Verstoß – egal wie gut die Technik ist.

Das BDSG ergänzt die DSGVO um nationale Regelungen, etwa zur Bestellung eines Datenschutzbeauftragten ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten. Auch Cloud-Arbeitsplätze zählen.

Aus der Praxis

Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.

Nils OehmichenDatenschutzberater bei frag.hugo

Was Sie konkret tun sollten

1. Cloud-Inventur durchführen: Listen Sie alle Cloud-Dienste auf – auch die inoffiziellen. Prüfen Sie für jeden Dienst, ob ein AVV vorliegt.
2. MFA aktivieren: Für alle Cloud-Konten. Sofort. Ohne Ausnahme. Das ist die einzelne Maßnahme mit dem größten Schutzeffekt.
3. Berechtigungen prüfen: Wer hat Zugriff auf was? Least Privilege durchsetzen, Offboarding-Prozess einführen.
4. Cloud-Backup einrichten: Unabhängig vom Cloud-Anbieter. 3-2-1-Regel: drei Kopien, zwei Medien, eine extern.
5. Konfiguration härten: Conditional Access Policies, SPF/DKIM/DMARC für E-Mail, Freigabe-Einstellungen in SharePoint und OneDrive prüfen.
6. Mitarbeiter schulen: Security Awareness Training mit Phishing-Simulationen – die beste Konfiguration hilft nicht gegen einen Klick auf den falschen Link.

Häufige Fragen (FAQ)

Wer trägt die Verantwortung für Datenschutz in der Cloud?

Immer das Unternehmen selbst. Der Cloud-Anbieter sichert die Infrastruktur, aber für Konfiguration, Zugriffsrechte und den Schutz personenbezogener Daten sind Sie als Verantwortlicher nach Art. 24 DSGVO zuständig.

Brauche ich einen AVV mit meinem Cloud-Anbieter?

Ja. Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet – auch mit Microsoft, Google oder Dropbox.

Reicht die Standardkonfiguration von Microsoft 365 für die DSGVO?

Nein. MFA ist nicht überall aktiv, Freigabe-Links sind oft zu großzügig, Conditional Access Policies fehlen. Eine professionelle Härtung ist für DSGVO-Konformität unverzichtbar.

Was kostet ein Cloud-Sicherheitscheck für KMU?

Für KMU mit 20 bis 100 Mitarbeitenden liegt eine Cloud-Sicherheitsanalyse inklusive M365-Review und AVV-Prüfung typischerweise bei 1.500 bis 3.000 Euro. Gemessen an einem durchschnittlichen Schaden von 200.000 Euro pro Cybervorfall eine überschaubare Investition.

Welche Cloud-Zertifizierungen sollte mein Anbieter haben?

Achten Sie auf ISO 27001, SOC 2 Type II und den C5-Katalog des BSI. Diese bestätigen angemessene Sicherheitsmaßnahmen – entbinden Sie aber nicht von Ihrer eigenen Verantwortung nach Art. 32 DSGVO.

Cloud-Sicherheit für Hamburger KMU

Hamburger KMU aus Handel, Logistik und Dienstleistung setzen zunehmend auf Cloud-Services – oft ohne die datenschutzrechtlichen Implikationen vollständig zu überblicken. Der HmbBfDI hat in seinem Jahresbericht die Verantwortung von Unternehmen bei der Cloud-Nutzung hervorgehoben. Als IT-Sicherheitsberatung in Hamburg unterstützen wir Sie bei einer sicheren Cloud-Strategie.