theNet von CLOUDFLARE

Vorschriftenkonforme Nutzung mehrerer Clouds in unterschiedlichen Rechtsräumen

Undurchsichtige Cloud: Unklare Risiken mit schwerwiegenderen Folgen

Die Chancen, die die Cloud bietet, überwiegen die Risiken weiterhin bei Weitem. Ein Großteil des Risikos dreht sich um Vorschriften, da die Möglichkeit besteht, dass Daten so gespeichert, abgerufen, verändert oder weitergegeben werden, dass ein Unternehmen die immer komplexeren Datensicherheits- und Datenschutzbestimmungen nicht einhält.

Schlimmer noch haben viele IT- und Sicherheitsexperten nicht einmal einen Überblick darüber, wo die Risiken liegen. Die Transparenz nimmt zu, wenn Daten und Workloads auf Multicloud-Umgebungen verteilt sind. Die Cloud hat sich zu einem Nebel entwickelt, der lauernde Compliance-Risiken verschleiert. Gleichzeitig wächst die Zahl der rechtlichen Vorgaben für international tätige Organisationen und Unternehmen immer weiter.

Da sich traditionelle Sicherheitskonzepte für die Beseitigung dieser Compliance-Risiken als unzureichend erwiesen haben, benötigen IT-Abteilungen und Compliance-Verantwortliche einen neuen Ansatz, mit dem sie Verstöße in der Cloud erkennen und beheben können, noch bevor sie auftreten.

Die Herausforderung einer rechtssicheren Cloud-Nutzung

Wenn in der Cloud gehostete Daten offengelegt werden, verlieren Unternehmen das Vertrauen der Kunden, erleiden Reputationsschäden und unterliegen der behördlichen Aufsicht. Im schlimmsten Fall kann eine Datenschutzverletzung zu Bußgeldern führen, wenn die Aufsichtsbehörden der Ansicht sind, dass ein Unternehmen keine angemessenen Maßnahmen zum Schutz der Daten ergriffen hat.

Sicherheitslücken treten auf verschiedene Weise auf, von Social Engineering über unzureichende Zugriffskontrolle bis hin zu regelrechten Datenverstößen. Doch wer eine solche Datenpreisgabe vermeiden will, für den bietet die Cloud einzigartige Hürden und Herausforderungen. Insbesondere stellen Fehlkonfigurationen ein großes Risiko dar, wenn Cloud-Anbieter und Cloud-Kunde gemeinsam für die Sicherheit verantwortlich sind.

Unbeabsichtigte menschliche Fehler – insbesondere Fehlkonfigurationen – gehören zu den größten Risiken für Daten in der Cloud. Public Cloud-Bereitstellungen, die versehentlich dem öffentlichen Internet ausgesetzt oder anderweitig falsch konfiguriert sind, können zu schwerwiegenden Sicherheitsverletzungen führen.

Fehlkonfigurationen in der Cloud nehmen zu. Da immer mehr Unternehmen auf cloudbasierte Dienste umsteigen, vergrößert sich die Angriffsfläche, wodurch das Risiko einer Gefährdung durch falsch konfigurierte Ressourcen steigt.

Oft werden Probleme erst erkannt, wenn Fehlkonfigurationen bereits Auswirkungen gezeitigt haben. Das liegt daran, dass viele weit verbreitete Arten von Cloud-Sicherheitslösungen, wie z. B. Cloud Security Posture Management (CSPM) oder Cloud-Native Application Protection Platform (CNAPP)-Dienste, Symptome erst im Nachhinein erkennen.

Die nachträgliche Erkennung führt zu Warnmeldungen, deren Behebung einige Zeit in Anspruch nehmen kann, wodurch Cloud-Ressourcen vorübergehend exponiert sind. Bis einem Unternehmen bewusst wird, dass es unter Umständen die rechtlichen Vorgaben nicht einhält oder aufgrund von Fehlkonfigurationen Angriffen ausgesetzt sein könnte, ist es möglicherweise bereits zu spät.

Es existieren noch zahlreiche weitere Herausforderungen bei der Gewährleistung der Sicherheit, Integrität und Compliance von Daten in der Cloud, u. a.:

  • Datenausschleusung: Digitale Assets bieten eine Vielzahl von Angriffsvektoren für böswillige Akteure, unabhängig davon, ob sich ein Asset in der Cloud oder lokal befindet. Allerdings bergen Multi-Cloud-Bereitstellungen zusätzliche Gefahren, da die physische Infrastruktur außerhalb der direkten Zuständigkeit und Verantwortung eines Unternehmens liegt. Von einfachen Social-Engineering-Angriffen bis hin zu hochgradig maßgeschneiderten Sicherheitslücken-Exploits stehen Angreifern eine Vielzahl von Methoden zur Verfügung, um Daten aus der Cloud auszuschleusen.

  • Schatten-Cloud-Infrastruktur: Organisationen finden sich oft mit verwaisten oder vergessenen Cloud-Instanzen wieder. Das ist das Ergebnis eines natürlichen Prozesses im Zuge der Neuausrichtung, Veränderung oder des Wachstums von Unternehmen, welche die Anpassung beruflicher Funktionen und Verantwortungsbereiche mit sich bringen. Dies kann auch vorkommen, wenn wohlmeinende Mitarbeitende die Dinge selbst in die Hand nehmen, um ihre Arbeit zu erledigen, aber außerhalb der genehmigten IT-Verfahren agieren. Das Ergebnis kann eine Schatten-Cloud-Infrastruktur sein, die nicht berücksichtigt wird und nicht durch Sicherheitsrichtlinien geschützt ist.

  • Mehrmandantenfähigkeit: Public Clouds werden von vielen Organisationen gemeinsam genutzt, und die Verantwortung für ihre Absicherung liegt sowohl beim Cloud-Provider als auch bei den Cloud-Kunden. Cloud-gehostete Daten können versehentlich für andere Cloud-Mandanten freigegeben werden, wenn Sicherheitsperimeter nicht durchgesetzt werden.

Diese Cloud-Sicherheitsprobleme können weiterhin bestehen und Unternehmen Risiken aussetzen. In Bezug auf die Einhaltung gesetzlicher Vorschriften, die finanzielle Stabilität und die allgemeine Sicherheit des Unternehmens steht enorm viel auf dem Spiel. Die Bußgelder, die allein aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verhängt werden, können sich entweder auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens belaufen – je nachdem, welcher Betrag höher ausfällt.

Unterschiedlichen Rechtsräumen gerecht werden

Dabei hat jeder Rechtsraum seine eigenen Vorschriften, was Sicherheit und Compliance noch deutlich erschweren. Sicherheits- und Datenschutzmaßnahmen sind weltweit unterschiedlich. Hier einige der wichtigsten Regelwerke:

  • Die DSGVO und die NIS-2-Richtlinie regeln den Umgang mit Daten von EU-Bürgern

  • Der Digital Personal Data Protection Act (DPDP) regelt den Schutz personenbezogener Daten in Indien

  • Nationale Vorschriften oder branchenspezifische Vorschriften in den Vereinigten Staaten (etwa CCPA, HIPAA)

  • Branchenvorschriften wie PCI DSS regeln, wie mit persönlichen Zahlungsdaten umgegangen wird.

Es ist nahezu unmöglich, allein durch manuellen Aufwand sicherzustellen, dass alle Cloud-Instanzen die relevanten regulatorischen Rahmenbedingungen erfüllen. Zudem ist es schwierig, die Einhaltung der Vorschriften ohne regelmäßige Überprüfungen aller Daten und Systeme nachzuweisen. Dies wird noch schwieriger, wenn Unternehmen auf Multicloud-Bereitstellungen über mehrere Cloud-Anbieter angewiesen sind. Diese zeitaufwendige Arbeit kann auch die Expansion und Geschäftsentwicklung behindern, wenn Unternehmen versuchen, in neue Märkte einzutreten.

Die Cloud-Sicherheitslösung

Um das Risiko kostspieliger Fehlkonfigurationen zu verringern, müssen Unternehmen einen vorbeugenden Ansatz verfolgen, indem sie den Kontrollpunkt absichern, an dem nahezu alle Cloud- und SaaS-Aktivitäten stattfinden: API-Aufrufe. Obwohl es unmöglich ist, alle Konfigurationsfehler im Voraus zu verhindern, müssen Unternehmen in der Lage sein, jeden API-Aufruf inline zu überprüfen, sobald neue Cloud-Instanzen bereitgestellt werden – und nicht erst, nachdem der Schaden entstanden ist. Darüber hinaus benötigen Teams Möglichkeiten, Fehler automatisch zu finden und zu beheben sowie die Einhaltung von Vorschriften durchzusetzen, um zusätzliche manuelle Schritte zu vermeiden.

Eine cloudbasierte Sicherheitsplattform kann Ihnen helfen, diesen präventiven Ansatz zu implementieren, vorausgesetzt, sie kann Regeln festlegen und Kontrollen an der Edge einrichten.

Wir optimieren die Einhaltung von Cloud-Sicherheitsvorschriften für Kunden, indem wir sichere Konfigurationen automatisch bewerten und durchsetzen. So können robuste Sicherheit und die Einhaltung der gängigsten rechtlichen Rahmenvorschriften gewährleistet werden. Cloudflare nimmt den Cloud-API-Datenverkehr unter die Lupe. Das bietet Unternehmen einen besseren Überblick und präzisere Kontrollen und erlaubt ihnen einen proaktiven Ansatz zur Risikoabwehr und Verwaltung ihres Cloud-Sicherheitsniveaus.

Durch die Bereitstellung von Kontrollen und Schutzmaßnahmen an jedem regionalen Standort hilft Ihnen Cloudflare, viele Cloud-Fehlkonfigurationen zu verhindern, die Sie anfällig machen und die Compliance gefährden könnten. Und durch die Inline-Platzierung dieser Funktionen (zwischen Ihrem Unternehmen und den von Ihnen genutzten Clouds) zentralisiert die Cloudflare-Plattform die Verwaltung von Sicherheits- und Performancekontrollen. So können Sie weiterhin das Beste aus Multi-Cloud-Umgebungen machen – über verschiedene Rechtsräume hinweg – und gleichzeitig die Effizienz steigern und Risiken reduzieren.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Die Risiken in puncto Sicherheit und Compliance beim Cloud-Computing

  • Wie die Nutzung einer Multi-Cloud-Infrastruktur zu Fehlkonfigurationen führen kann

  • Mögliche Lösungen zur Datenschutzkonformität bei mehreren Clouds und Rechtsräumen

Verwandte Ressourcen

Vertiefung des Themas:

Erfahren Sie mehr über die Absicherung von cloudbasierten Anwendungsdiensten im Whitepaper 3 Herausforderungen bei der Absicherung und Vernetzung von Anwendungsdiensten .

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!

theNET abonnieren

ERSTE SCHRITTE

LÖSUNGEN

SUPPORT

COMPLIANCE

ÖFFENTLICHES INTERESSE

UNTERNEHMEN

© 2025 Cloudflare, Inc.DatenschutzrichtlinieNutzungsbedingungenSicherheitsprobleme berichtenVertrauen und SicherheitMarkenzeichenImpressum