Cloud Security Strategie: Best Practices für regulierte Branchen
Cloud Computing hat die IT-Landschaft transformiert — aber mit der Migration in die Cloud verlagern sich auch Sicherheitsanforderungen. Für regulierte Branchen wie den Finanzsektor ist Cloud Security besonders anspruchsvoll: DORA, NIS2, MaRisk und BAIT stellen spezifische Anforderungen an die Auslagerung von IT-Diensten in die Cloud.
Was ist Cloud Security?
Cloud Security umfasst alle technischen und organisatorischen Maßnahmen zum Schutz von Daten, Anwendungen und Infrastruktur in Cloud-Umgebungen. Sie ergänzt traditionelle IT-Sicherheit um cloud-spezifische Aspekte wie Shared Responsibility, Multi-Tenancy, API-Sicherheit und Identity Federation.
Shared Responsibility: Wer ist wofür verantwortlich?
Das Shared-Responsibility-Modell teilt die Sicherheitsverantwortung zwischen Cloud-Provider und Kunde:
- IaaS (z.B. AWS EC2): Provider sichert die Infrastruktur. Kunde verantwortet OS, Anwendungen, Daten und Zugriffsmanagement.
- PaaS (z.B. Azure App Service): Provider sichert Infrastruktur und Plattform. Kunde verantwortet Anwendungen und Daten.
- SaaS (z.B. Microsoft 365): Provider sichert fast alles. Kunde verantwortet Zugriffsmanagement, Datenklassifizierung und Konfiguration.
Kritisch: Regulatorisch bleibt die Verantwortung immer beim Auftraggeber. DORA und MaRisk schreiben explizit vor, dass die Auslagerung von IT-Diensten die eigene Verantwortung nicht mindert.
Cloud Security Best Practices für regulierte Branchen
- Cloud Security Posture Management (CSPM): Automatisierte Überwachung der Cloud-Konfiguration gegen Sicherheitsrichtlinien. Erkennt Fehlkonfigurationen (offene S3-Buckets, zu breite Sicherheitsgruppen) bevor sie ausgenutzt werden.
- Identity-First Security: IAM als zentraler Sicherheitsanker. MFA für alle Cloud-Zugänge, Least Privilege für Service Accounts, Just-in-Time-Zugriffserteilung für privilegierte Operationen.
- Datenverschlüsselung: Data-at-Rest und Data-in-Transit verschlüsseln. Customer-Managed Keys (CMK) für regulierte Daten. Key Management über dedizierte HSMs oder Cloud KMS.
- Netzwerk-Segmentierung: Virtual Private Clouds (VPCs), Security Groups und Network ACLs für Mikrosegmentierung. Private Endpoints statt öffentlicher Zugänge für kritische Dienste.
- Logging und Monitoring: Zentrales Logging aller Cloud-Aktivitäten (CloudTrail, Azure Monitor, GCP Audit Logs). SIEM-Integration für Echtzeit-Alerting. Aufbewahrung gemäß regulatorischer Anforderungen.
- Disaster Recovery: Multi-Region-Deployment für kritische Workloads. Automatisierte Failover-Mechanismen. Regelmäßige DR-Tests.
Cloud unter DORA und MaRisk
DORA und MaRisk stellen spezifische Anforderungen an die Cloud-Nutzung:
- Due Diligence: Umfassende Prüfung des Cloud-Providers vor Vertragsabschluss (Sicherheitszertifizierungen, Standorte, Subcontracting)
- Vertragliche Anforderungen: Audit-Rechte, Meldepflichten bei Vorfällen, Datenportabilität, Exit-Strategien
- Konzentrationsrisiko: Keine übermäßige Abhängigkeit von einem einzigen Cloud-Provider
- Datenstandort: Daten dürfen nur in genehmigten Jurisdiktionen gespeichert werden (EU-Datenresidenz)
Häufig gestellte Fragen zur Cloud Security
Ist Cloud sicherer als On-Premise?
Grundsätzlich investieren große Cloud-Provider (AWS, Azure, GCP) mehr in Sicherheit als die meisten Unternehmen für ihre On-Premise-Umgebung aufwenden können. Die häufigsten Cloud-Sicherheitsprobleme entstehen durch Fehlkonfigurationen des Kunden, nicht durch Schwächen der Provider-Infrastruktur. Cloud ist sicher, wenn sie richtig konfiguriert ist.
Dürfen Banken in die Cloud migrieren?
Ja. BaFin und EBA erlauben Cloud-Nutzung, stellen aber strenge Anforderungen: umfassende Risikoanalyse, vertragliche Sicherung von Audit-Rechten, Einhaltung der DORA-Anforderungen an IKT-Drittanbieter, Datenresidenz in der EU und dokumentierte Exit-Strategie. Cloud-Migrationen im Bankensektor erfordern sorgfältige regulatorische Vorbereitung.
Was kostet Cloud Security?
Cloud Security Tools (CSPM, CWPP, CASB) kosten typischerweise 3-10% des Cloud-Spend. Für ein Unternehmen mit 500.000 Euro jährlichen Cloud-Kosten sind das 15.000-50.000 Euro für Security-Tools. Hinzu kommen die Kosten für IAM-Implementierung, Logging-Infrastruktur und externes Consulting für die initiale Architekturprüfung.
Was ist CSPM?
Cloud Security Posture Management (CSPM) ist eine Kategorie von Security-Tools, die Cloud-Konfigurationen automatisiert gegen Best Practices und Compliance-Anforderungen prüft. CSPM-Lösungen erkennen Fehlkonfigurationen, übermäßige Berechtigungen und Compliance-Verstöße in Echtzeit. Anbieter: Wiz, Prisma Cloud, Microsoft Defender for Cloud, AWS Security Hub.
Weitere relevante Beiträge
IT-Sicherheitskonzept erstellen: Vorlage & Anleitung für KMU
Ein IT-Sicherheitskonzept dokumentiert alle Maßnahmen, die Ihr Unternehmen zum Schutz seiner IT-Systeme und Daten ergreift. Dieser Leitfaden zeigt KMU, wie sie ein praxistaugliches Sicherheitskonzept erstellen — mit Vorlage, Gliederung und konkreten Inhalten.
Vulnerability Management: Schwachstellen finden, priorisieren, beheben
Vulnerability Management ist der systematische Prozess zur Identifikation, Bewertung und Behebung von Sicherheitslücken in IT-Systemen. Dieser Leitfaden erklärt den VM-Lebenszyklus, CVSS-Scoring, risikobasierte Priorisierung und die Integration in bestehende Sicherheitsprozesse.
CRA September 2026: Meldepflicht startet — der letzte Check für Hersteller
Am 11. September 2026 beginnt die CRA-Meldepflicht: Hersteller vernetzter Produkte müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden. Dieser Artikel ist der letzte Compliance-Check vor dem Stichtag.