Die Cloud: Man kann sie weder anfassen noch sehen. Und doch nutzt sie fast jeder – oft ohne es zu wissen. Ihre Mitarbeitenden verwenden wahrscheinlich Software-as-a-Service-(SaaS)-Anwendungen für Gehaltsabrechnung oder Finanzmanagement, und Ihre Kundschaft greift ganz selbstverständlich auf cloudbasierte Services zurück. Die Cloud ist allgegenwärtig. Doch beim Thema Cloud Security sollten Sie keinesfalls „mit dem Kopf in den Wolken“ sein.
Die Realität ist: Auch Angreifende sind in der Cloud unterwegs. Sie folgen den Daten – und die befinden sich heute nun einmal dort. Sie agieren intelligent und hochentwickelt, ihre Angriffsmethoden entwickeln sich oft schneller, als herkömmliche Abwehrmechanismen reagieren können. Gleichzeitig verlassen sich viele Organisationen noch immer auf klassische, lokal betriebene Sicherheitsprozesse und -technologien – und öffnen damit gefährliche Lücken.
Kein Wunder also, dass Cloud Security heute ganz oben auf der Agenda von CISOs steht – und das auf absehbare Zeit auch bleiben wird.
Wer trägt die Verantwortung für Sicherheit, wenn jeder einen Service starten kann?
Die Cloud hat alles verändert. Vor ihrer Einführung dauerte es oft Monate, bis ein neues System bereitgestellt war – umgesetzt von einem Team mit klar verteilten Aufgaben in Beschaffung, Installation, Konfiguration und Sicherheit. Das war zwar langsam und prozesslastig, bedeutete aber auch, dass jeder Schritt sorgfältig überwacht und geprüft wurde.
Mit der Cloud lassen sich neue Ressourcen in Sekundenschnelle bereitstellen. Das ist großartig für die Geschwindigkeit – aber problematisch für die Sicherheit. Wer die strukturierten Abläufe traditioneller IT umgeht, schafft blinde Flecken für das Security-Team. Und wenn diese nicht wissen, dass eine neue Ressource existiert – gilt: Was man nicht sieht, kann man nicht schützen.
Deshalb ist Transparenz die Grundlage von Sicherheit in der Cloud-Ära. Wenn Sie Sichtbarkeitslücken schließen, reduzieren Sie Risiken und gewinnen Kontrolle zurück – für eine sichere, regelkonforme und widerstandsfähige Cloud-Umgebung.
Sichtbarkeit zur Priorität machen
Der erste Schritt ist eine einheitliche, aktuelle Sicht auf alle Cloud-Ressourcen – über verschiedene Anbieter, Workloads und Services hinweg –, damit nichts unbemerkt bleibt. Automatisierte Erkennung und kontinuierliches Monitoring sind dabei entscheidend: Sie helfen dem Security-Team, Shadow IT, unverwaltete Assets und Fehlkonfigurationen zu identifizieren, bevor es Angreifende tun.
Cloud Security Posture Management (CSPM)-Tools spielen dabei eine zentrale Rolle. Plattformen wie Palo Alto Networks Prisma Cloud, Wiz, Cisco Cloud Protection, FortiCNAPP und andere bieten eine zentrale Übersicht über komplexe Multi-Cloud-Umgebungen und erkennen Risiken wie frei zugängliche Speicher-Buckets oder zu großzügige Zugriffsrechte. Außerdem unterstützen sie die Einhaltung von Branchenstandards und internen Richtlinien – viele sogar mit automatischer Korrektur, um Probleme in großem Umfang zu beheben.
Mit den richtigen Tools wird Sichtbarkeit von einer reaktiven Maßnahme zu einer proaktiven Verteidigung: Sie stärkt Governance, reduziert operative Risiken und ermöglicht sicheres Innovieren in der Cloud – insbesondere in Kombination mit automatisierten Prüfungen, die Fehlkonfigurationen und blinde Flecken erkennen, bevor sie in Betrieb gehen und Schaden anrichten. Daher sollten CISOs Sichtbarkeit sowie automatisierte Erkennung und Behebung als unverzichtbar betrachten.
Wenn Geopolitik die Cloud lahmlegt: Die Fragen, die wir stellen müssen
Selbst die beste Konfiguration schützt nicht vor globalen Störungen. Und leider gibt es keine einfache Antwort auf den Umgang mit geopolitischen Risiken.
Das Beste, was Sie tun können, ist, diese Risiken aktiv zu managen. Halten Sie Notfallpläne bereit, beobachten Sie internationale Entwicklungen und stellen Sie sicher, dass Ihre Daten und Workloads portabel sind. Mit Portabilität können Sie Workloads bei Bedarf zwischen Anbietern verschieben – von einem Hyperscaler zu kleineren, lokalen Providern oder zurück in die eigene Infrastruktur. So bleiben Sie flexibel, wenn sich Kosten, Risiken oder regulatorische Anforderungen ändern. Es ist keine perfekte Lösung, aber sie stärkt Ihre Widerstandsfähigkeit.
Digitale Souveränität
Genau deshalb ist digitale Souveränität so wichtig. Sie umfasst zwei zentrale Aspekte: den Geschäftsbetrieb auch bei Service-Unterbrechungen aufrechtzuerhalten und die Kontrolle über die eigenen Daten zu behalten. Viele gehen davon aus, dass Cloud-Daten automatisch gesichert werden – das ist jedoch nicht der Fall. Die Verfügbarkeit bleibt Ihre Verantwortung. Und wenn Daten außerhalb Ihrer Rechtsordnung gespeichert werden, entstehen zusätzliche Compliance-Pflichten. Am sichersten ist es, Ihre Backups regelmäßig zu testen und Bring-your-own-Key-(BYOK)-Verschlüsselung zu nutzen, damit Sie den Zugriff steuern und die tatsächliche Hoheit über Ihre Daten behalten.
Missverständnisse rund um „Shared Responsibility“ aufklären
Immer wieder herrscht Unklarheit darüber, wer die Verantwortung für Sicherheit trägt, sobald Workloads in die Cloud verlagert werden. Genau hier setzt das Konzept der Shared-Responsibility-Modelle an: Die Verantwortung wird zwischen Cloud-Anbieter und Ihnen als Kunden aufgeteilt. Man kann es sich vorstellen wie im Straßenverkehr – der Anbieter sorgt dafür, dass die Straße sicher und gut instand gehalten ist, aber für Ihr Fahrzeug und Ihre Fahrweise sind Sie selbst verantwortlich. In der Cloud bedeutet das: Sie tragen die Verantwortung für Anwendungen, Benutzeridentitäten, Zugriffsrechte und – am wichtigsten – Ihre Daten.
Diese Aufteilung der Verantwortung zu verstehen, ist entscheidend. Allzu oft wissen Organisationen nicht genau, wofür sie zuständig sind – und lassen dadurch Workloads ungeschützt, bis es zu spät ist.
CISOs müssen diese Verantwortungsteilung eindeutig gegenüber dem Management kommunizieren. Missverständnisse darüber, wer wofür verantwortlich ist, führen schnell zu gefährlichen Fehleinschätzungen – und in der Cloud Security können solche Annahmen leicht zu Sicherheitsvorfällen führen.
Den verborgenen Wert von Cloud Security erkennen
Sicherheit bedeutet in gewisser Weise Überlebensfähigkeit. Da die Cloud heute allgegenwärtig ist, kann ein schwerwiegender Sicherheitsvorfall Ihr Unternehmen lahmlegen und den Ruf dauerhaft beschädigen – mit potenziellen Kosten in Millionenhöhe.
Doch Sicherheit ist weit mehr als nur Schutz: Sie ist ein Enabler. Mit wirksamen Kontrollen können Sie neue Anwendungen schneller bereitstellen, innovative Technologien sicher nutzen und neue Märkte erschließen – ohne Kundschaft oder Daten zu gefährden. So schützt Cloud Security nicht nur Umsatz und Reputation, sondern ermöglicht genau die Agilität, für die die Cloud geschaffen wurde.
Richtig umgesetzt wird sie zum Motor für Innovation, Wachstum und Widerstandsfähigkeit – und damit zu einer echten Investition, nicht zu einer bloßen Kostenstelle. Die Herausforderung für CISOs besteht darin, Cloud Security in diesem Sinne zu positionieren: als Investition in Wachstum und Resilienz. Wenn der Vorstand Sicherheit als Umsatztreiber und strategischen Erfolgsfaktor begreift, wird sie zu einem zentralen Bestandteil der Unternehmensstrategie.
Schützen Sie Ihre Daten – mit NTT DATA
Die Nutzung von Cloud-Technologien wird weiter zunehmen – und damit auch die damit verbundenen Risiken. Indem CISOs Sichtbarkeitslücken schließen, Automatisierung nutzen, ein Zero-Trust-Mindset verankern und digitale Souveränität strategisch planen, können sie ihre Organisationen schützen und gleichzeitig Innovation und Wachstum fördern.
Wir bei NTT DATA machen diese Komplexität beherrschbar – mit einem integrierten Cloud-Native-Application-Protection-Platform-(CNAPP)-Ansatz, der Sichtbarkeit, Workload-Schutz, Identitäts- und Zugriffssteuerung, SaaS-Sicherheit und kontinuierliches Monitoring zusammenführt. Automatisierung wirkt dabei als echter Multiplikator: Sie entlastet überlastete Teams und verkürzt die Zeit zwischen Erkennung und Behebung von Sicherheitsvorfällen erheblich.
Ein zentraler Bestandteil unseres Ansatzes ist Zero Trust Security – mit einer klaren Philosophie: „Trust no one, trust nothing, verify everything“. Wir gehen davon aus, dass Angriffe unvermeidlich sind. Entscheidend ist, dass Angreifende, selbst wenn sie Zugriff erlangen, sich nicht weiter im System bewegen können. Zero Trust erschwert laterale Bewegungen, begrenzt Bedrohungen und schützt sensible Daten selbst dann, wenn eine Sicherheitsschicht kompromittiert wird.
Für CISOs sollte „Trust no one, trust nothing, verify everything“ zur täglichen Leitlinie werden. Identitätsprüfungen müssen fest in Prozesse integriert, das Prinzip der minimalen Rechte konsequent durchgesetzt und Zero Trust als Teil der Unternehmenskultur verankert werden – nicht nur als technologische Maßnahme.
So verfügen CISOs über weniger Tools, profitieren von stärkerem Schutz über hybride und Multi-Cloud-Umgebungen hinweg und gewinnen mehr Zeit, sich auf Strategie statt auf Krisenmanagement zu konzentrieren.
Sind Sie bereit, Sicherheit zu Ihrem Wachstumsvorteil zu machen? Lassen Sie es uns gemeinsam umsetzen.
Dieser Artikel wurde gemeinsam verfasst von Renjith Philip, Capability Lead: Cloud Security and Endpoint bei NTT DATA.