Cybersecurity Myth #1
Warum die Cloud kein automatischer Sicherheitsgarant ist und welche Fehlkonfigurationen dein Unternehmen wirklich gefährden.
Post Datum
13.08.2025
Categorie
Insights
Lesezeit
5 min
Cybersecurity Myth #1: „Wir sind in der Cloud, also sind wir sicher"
Spoiler: This myth just got busted.
Viele Unternehmen, besonders im KMU-Bereich, setzen heute auf „Cloud-First"-Strategien. Microsoft 365, Google Workspace, AWS – die Liste ist lang. Und mit der Migration in die Cloud kommt oft eine gefährliche Annahme: „Wenn alles in der Cloud liegt, ist es automatisch sicher."
Doch was sagt die Praxis?
Die unbequeme Wahrheit
Die Realität sieht anders aus: Die meisten erfolgreichen Cloud-Incidents entstehen nicht, weil AWS, Azure oder Google Cloud unsicher sind. Diese Plattformen investieren Millionen in ihre Sicherheitsarchitektur. Das Problem liegt woanders.
Der Großteil erfolgreicher Cloud-Sicherheitsvorfälle entsteht durch Kunden-Fehlkonfigurationen. (Gartner, 2023)
Mit anderen Worten: Nicht die Cloud ist das Problem. Sondern das, was Unternehmen daraus machen.
Die typischen Fallen
In meiner Arbeit als Cybersecurity Advisor sehe ich regelmäßig die gleichen Probleme:
1. Übermäßige Berechtigungen Nutzer haben oft deutlich mehr Rechte, als sie für ihre tägliche Arbeit benötigen. Nach dem Motto: "Im Zweifel lieber zu viel als zu wenig" werden Zugriffsrechte vergeben – und dann nie wieder überprüft.
2. Keine Dokumentenklassifizierung Welche Daten sind eigentlich sensibel? Welche Dokumente dürfen öffentlich sein, welche nur intern, welche sind vertraulich? In vielen Unternehmen gibt es keine klare Klassifizierung. Ergebnis: Alles ist für alle zugänglich.
3. Öffentlich zugängliche Daten SharePoint-Ordner, die "aus Versehen" für die gesamte Organisation freigegeben sind. Cloud-Speicher mit zu lockeren Berechtigungen. Teams-Kanäle, in denen sensible Informationen ungeschützt liegen.
Das eigentliche Risiko
Hier wird es kritisch: Wenn alles in der Cloud liegt, ist auch alles nur einen kompromittierten Account entfernt.
Stellt euch folgendes Szenario vor:
Ein Mitarbeiter-Account wird durch Phishing kompromittiert
Der Angreifer hat nun Zugriff auf die Cloud-Umgebung
Durch übermäßige Berechtigungen kann er sich lateral bewegen
Unklassifizierte Dokumente zeigen ihm, wo die wirklich sensiblen Daten liegen
In wenigen Stunden kann er sich Zugriff auf kritische Systeme verschaffen
Ein einziger Zugriff reicht oft aus, um sich intern weiterzubewegen und sensible Daten abzuziehen.
Was ihr wirklich braucht
Die gute Nachricht: Diese Probleme sind lösbar. Ihr braucht keine teuren Tools, sondern vor allem Struktur und Disziplin.
1. Berechtigungen prüfen
Führt regelmäßige Reviews durch: Wer hat Zugriff auf was? Braucht diese Person die Berechtigung wirklich noch? Nutzt das Prinzip der minimalen Rechtevergabe (Least Privilege).
2. Dokumentenklassifizierung einführen
Etabliert ein klares System:
Öffentlich: Kann ohne Bedenken geteilt werden
Intern: Nur für Mitarbeiter
Vertraulich: Nur für bestimmte Teams
Streng vertraulich: Nur für definierte Personen
3. Regelmäßige Berechtigungsaudits
Nicht "Set and Forget". Berechtigungen müssen kontinuierlich überprüft werden. Besonders bei Rollenwechseln, Austritten oder Projektwechseln.
4. User Lifecycle automatisieren
Stellt sicher, dass Berechtigungen automatisch entzogen werden, wenn jemand das Unternehmen verlässt oder die Rolle wechselt.
5. Meldewesen einführen
Ungewöhnliches Verhalten muss erkannt und auf klaren Wegen gemeldet werden können. Eure Mitarbeiter sind oft die erste Verteidigungslinie.
Das Fazit
Die Cloud ist kein Zauberschutz. Sie ist ein Werkzeug.
Und wie bei jedem Werkzeug kommt es darauf an, wie man es verwendet. Cloud-Provider sichern ihre Infrastruktur ab – aber die Verantwortung für eure Daten, eure Konfigurationen und eure Berechtigungen liegt bei euch.
Das nennt sich Shared Responsibility Model. Und das "Shared" wird oft übersehen.
Die unbequeme Frage
Habt ihr eure Cloud-Berechtigungen im Griff? Wisst ihr, wer auf welche Daten zugreifen kann? Oder steht das noch auf der "machen wir irgendwann mal"-Liste?
Falls Letzteres: Ihr seid nicht allein. Aber ihr solltet das ändern. Denn im Incident ist es zu spät für Klarheit.
Cybersecurity entscheidet sich nicht im Incident. Sondern davor.
Cybersecurity Myth #1: „Wir sind in der Cloud, also sind wir sicher"
Spoiler: This myth just got busted.
Viele Unternehmen, besonders im KMU-Bereich, setzen heute auf „Cloud-First"-Strategien. Microsoft 365, Google Workspace, AWS – die Liste ist lang. Und mit der Migration in die Cloud kommt oft eine gefährliche Annahme: „Wenn alles in der Cloud liegt, ist es automatisch sicher."
Doch was sagt die Praxis?
Die unbequeme Wahrheit
Die Realität sieht anders aus: Die meisten erfolgreichen Cloud-Incidents entstehen nicht, weil AWS, Azure oder Google Cloud unsicher sind. Diese Plattformen investieren Millionen in ihre Sicherheitsarchitektur. Das Problem liegt woanders.
Der Großteil erfolgreicher Cloud-Sicherheitsvorfälle entsteht durch Kunden-Fehlkonfigurationen. (Gartner, 2023)
Mit anderen Worten: Nicht die Cloud ist das Problem. Sondern das, was Unternehmen daraus machen.
Die typischen Fallen
In meiner Arbeit als Cybersecurity Advisor sehe ich regelmäßig die gleichen Probleme:
1. Übermäßige Berechtigungen Nutzer haben oft deutlich mehr Rechte, als sie für ihre tägliche Arbeit benötigen. Nach dem Motto: "Im Zweifel lieber zu viel als zu wenig" werden Zugriffsrechte vergeben – und dann nie wieder überprüft.
2. Keine Dokumentenklassifizierung Welche Daten sind eigentlich sensibel? Welche Dokumente dürfen öffentlich sein, welche nur intern, welche sind vertraulich? In vielen Unternehmen gibt es keine klare Klassifizierung. Ergebnis: Alles ist für alle zugänglich.
3. Öffentlich zugängliche Daten SharePoint-Ordner, die "aus Versehen" für die gesamte Organisation freigegeben sind. Cloud-Speicher mit zu lockeren Berechtigungen. Teams-Kanäle, in denen sensible Informationen ungeschützt liegen.
Das eigentliche Risiko
Hier wird es kritisch: Wenn alles in der Cloud liegt, ist auch alles nur einen kompromittierten Account entfernt.
Stellt euch folgendes Szenario vor:
Ein Mitarbeiter-Account wird durch Phishing kompromittiert
Der Angreifer hat nun Zugriff auf die Cloud-Umgebung
Durch übermäßige Berechtigungen kann er sich lateral bewegen
Unklassifizierte Dokumente zeigen ihm, wo die wirklich sensiblen Daten liegen
In wenigen Stunden kann er sich Zugriff auf kritische Systeme verschaffen
Ein einziger Zugriff reicht oft aus, um sich intern weiterzubewegen und sensible Daten abzuziehen.
Was ihr wirklich braucht
Die gute Nachricht: Diese Probleme sind lösbar. Ihr braucht keine teuren Tools, sondern vor allem Struktur und Disziplin.
1. Berechtigungen prüfen
Führt regelmäßige Reviews durch: Wer hat Zugriff auf was? Braucht diese Person die Berechtigung wirklich noch? Nutzt das Prinzip der minimalen Rechtevergabe (Least Privilege).
2. Dokumentenklassifizierung einführen
Etabliert ein klares System:
Öffentlich: Kann ohne Bedenken geteilt werden
Intern: Nur für Mitarbeiter
Vertraulich: Nur für bestimmte Teams
Streng vertraulich: Nur für definierte Personen
3. Regelmäßige Berechtigungsaudits
Nicht "Set and Forget". Berechtigungen müssen kontinuierlich überprüft werden. Besonders bei Rollenwechseln, Austritten oder Projektwechseln.
4. User Lifecycle automatisieren
Stellt sicher, dass Berechtigungen automatisch entzogen werden, wenn jemand das Unternehmen verlässt oder die Rolle wechselt.
5. Meldewesen einführen
Ungewöhnliches Verhalten muss erkannt und auf klaren Wegen gemeldet werden können. Eure Mitarbeiter sind oft die erste Verteidigungslinie.
Das Fazit
Die Cloud ist kein Zauberschutz. Sie ist ein Werkzeug.
Und wie bei jedem Werkzeug kommt es darauf an, wie man es verwendet. Cloud-Provider sichern ihre Infrastruktur ab – aber die Verantwortung für eure Daten, eure Konfigurationen und eure Berechtigungen liegt bei euch.
Das nennt sich Shared Responsibility Model. Und das "Shared" wird oft übersehen.
Die unbequeme Frage
Habt ihr eure Cloud-Berechtigungen im Griff? Wisst ihr, wer auf welche Daten zugreifen kann? Oder steht das noch auf der "machen wir irgendwann mal"-Liste?
Falls Letzteres: Ihr seid nicht allein. Aber ihr solltet das ändern. Denn im Incident ist es zu spät für Klarheit.
Cybersecurity entscheidet sich nicht im Incident. Sondern davor.
Dein kostenloser Cybersecurity Reality Check.
Finde in 5 Minuten heraus, wo dein Unternehmen im Security-Zyklus steht – und welcher nächste Schritt wirklich Sinn macht.
Dein kostenloser Cybersecurity Reality Check.
Finde in 5 Minuten heraus, wo dein Unternehmen im Security-Zyklus steht – und welcher nächste Schritt wirklich Sinn macht.
Dein kostenloser Cybersecurity Reality Check.
Finde in 5 Minuten heraus, wo dein Unternehmen im Security-Zyklus steht – und welcher nächste Schritt wirklich Sinn macht.