Auf einen Blick: Cloud-Dienste bieten KMU enorme Vorteile – aber wer die Verantwortung für Datenschutz und Sicherheit verkennt, geht hohe Risiken ein. Dieser Leitfaden zeigt, worauf du wirklich achten musst.
Das Modell der geteilten Verantwortung
Der wichtigste Grundsatz bei der Cloud-Nutzung: Cloud-Anbieter schützen die Infrastruktur – für deine Daten bist du selbst verantwortlich.
| Bereich | Wer ist verantwortlich? |
|---|---|
| Physische Sicherheit der Server | Cloud-Anbieter |
| Verfügbarkeit der Infrastruktur | Cloud-Anbieter |
| Verschlüsselung der Infrastruktur | Cloud-Anbieter |
| Konfiguration deiner Dienste | DU |
| Zugriffsrechte und Benutzer | DU |
| Sicherung deiner Daten | DU |
| DSGVO-Konformität deiner Nutzung | DU |
⚠️ Wichtig: “Der Cloud-Anbieter macht das” ist ein gefährlicher Irrglaube. Fehlkonfigurationen durch Kunden sind eine der häufigsten Ursachen von Cloud-Datenpannen.
Die häufigsten Sicherheitsfehler in der Cloud
- Offene S3-Buckets / öffentlich zugängliche Speicher → Millionen von Kundendaten weltweit schon betroffen
- Zu weit gefasste Berechtigungen → “Admins für alles” statt Least Privilege
- Keine MFA für Cloud-Admin-Konten → Ein gestohlenes Passwort = vollständiger Zugriff
- Keine Backups (weil man denkt, die Cloud sichert automatisch) → Falsch!
- Veraltete APIs und unsichere Konfigurationen → Angreifer scannen automatisch danach
Identitäten und Zugriffsrechte absichern
Prinzip der geringsten Privilegien (Least Privilege)
Jeder Benutzer und jede Anwendung bekommt nur die Rechte, die sie wirklich braucht:
- Keine “God Mode”-Accounts für alltägliche Aufgaben
- Rollen statt direkter Zuweisungen (Role-Based Access Control)
- Regelmäßige Überprüfung: Wer hat was und braucht er es noch?
Checkliste Zugriffsmanagement
☐ MFA für ALLE Cloud-Konten aktiviert (besonders Admins)
☐ Separate Admin-Konten (nicht mit Arbeits-E-Mail verbunden)
☐ Berechtigungen nach Least-Privilege-Prinzip vergeben
☐ Beim Mitarbeiteraustritt: Zugänge sofort deaktivieren
☐ Service-Accounts mit minimalen Rechten konfiguriert
☐ Notfall-Admin-Konto sicher gespeichert (nicht im Clouddienst selbst)
DSGVO und Cloud: Was du wissen musst
Die DSGVO gilt unabhängig davon, wo die Daten physisch liegen. Bei Cloud-Diensten musst du:
| Pflicht | Was das bedeutet |
|---|---|
| Auftragsverarbeitungsvertrag (AV-Vertrag) | Mit dem Cloud-Anbieter abschließen (§ 28 DSGVO) |
| Drittlands-Transfer | Daten außerhalb EU/EWR: Angemessenheitsbeschluss oder SCCs prüfen |
| Löschpflichten | Auch in der Cloud: Daten nach Aufbewahrungsfrist löschen |
| Datenpannen melden | Auch Cloud-Vorfälle müssen der Behörde gemeldet werden |
Empfehlung: Europäische Anbieter oder Anbieter mit EU-Rechenzentren bevorzugen.
Sichere Cloud-Dienste für KMU – Auswahl
| Bereich | Empfehlung | Bemerkung |
|---|---|---|
| E-Mail & Produktivität | Microsoft 365 Business, Google Workspace | AV-Vertrag verfügbar |
| Dateispeicher | Nextcloud (self-hosted), SharePoint, Tresorit | Tresorit verschlüsselt Ende-zu-Ende |
| Backup (Cloud) | Hetzner Storage Box, Backblaze B2 | EU-Rechenzentren verfügbar |
| Video-Konferenzen | Teams, Zoom (EU-Region), Whereby | DSGVO-konforme Konfiguration nötig |
| Passwortmanager | Bitwarden (self-hosted/EU) | Open Source, auditiert |
Backups in der Cloud
Viele glauben: “Ich nutze die Cloud, da passiert schon nichts.” Falsch:
- Versehentliche Löschung: Google Drive / OneDrive löscht Dateien, wenn du sie löschst
- Ransomware synchronisiert sich: Wenn lokale Dateien verschlüsselt werden, synchronisiert die Cloud die verschlüsselten Versionen
- Anbieterausfall: Selten, aber passiert
Lösung: Separates Cloud-Backup (von deiner primären Cloud getrennt) nach 3-2-1-Regel.
Monitoring und Sicherheitsüberwachung
Was überwacht werden sollte:
| Was | Wie | Warum |
|---|---|---|
| Login-Versuche | Login-Logs des Anbieters aktivieren | Erkennt Brute-Force und unbekannte Zugriffe |
| Fehlgeschlagene MFA | Alert-Einstellung im Cloud-Portal | Hinweis auf kompromittierte Zugangsdaten |
| Berechtigungsänderungen | Audit-Log | Insider-Bedrohungen, Konfigurationsfehler |
| Große Daten-Downloads | DLP/Monitoring | Dateiabfluss erkennen |
Sicherheits-Check für Cloud-Konfiguration
☐ Öffentliche Freigaben von Dateien/Ordnern auf Minimum beschränkt
☐ Keine Daten in öffentlichen Containern/Buckets
☐ AV-Verträge mit allen Cloud-Anbietern abgeschlossen
☐ MFA aktiviert für alle Nutzer
☐ Separate Backups eingerichtet (nicht nur Cloud→Cloud)
☐ Login-Monitoring und Alerts aktiviert
☐ Offboarding-Prozess für Mitarbeiter definiert
☐ Daten-Klassifizierung: Welche Daten gehören in die Cloud?
Fazit
Cloud-Dienste können für KMU sicherer sein als eigene Server – aber nur, wenn man die eigene Verantwortung ernst nimmt. MFA, sorgfältige Berechtigungsvergabe, DSGVO-konforme Konfiguration und separate Backups sind keine optionalen Extras, sondern Mindestanforderungen. Wer diese Punkte konsequent umsetzt, kann die Effizienzvorteile der Cloud voll nutzen und gleichzeitig Compliance und Sicherheit gewährleisten.
💡 Empfehlung: Verschlüsselte Festplatte auf Amazon*
*Als Amazon-Partner verdiene ich an qualifizierten Käufen. Für dich entstehen keine Mehrkosten.