Ein Umzug in die Cloud stellt Unternehmen oft vor komplexe Sicherheitsherausforderungen. Es geht um Technik, aber auch um rechtliche Themen, Fragen der Verantwortlichkeit und IT-Governance.

Von Heinrich Vaske

Es macht einen großen Unterschied, ob man es mit einem US-Hyperscaler oder einem europäischen Anbieter zu tun hat. Immerhin führt eine Cloud-Migration – bei allen Vorteilen hinsichtlich Flexibilität, Innovation und vielleicht auch Kosten – zu neuen Abhängigkeiten, mehr Komplexität und zu Risiken, die kaum absehbar sind.

Die Rollen von CIO und CISO im Cloud-Kontext

Wenn es in die Cloud geht, ist der CIO derjenige, der den Kurs setzt. In seinen Händen liegt meistens die gesamte digitale Transformation und damit auch die Neugestaltung der IT-Infrastruktur. Gemeinsam mit seinem Team wählt er typischerweise den Provider aus, setzt Architekturrichtlinien und verantwortet das Management der IT-Ressourcen.

Der CISO setzt die Informationssicherheits-Strategie. Seine Aufgabe besteht darin, Risiken zu beurteilen, Security-Policies festzulegen und für die Compliance (z.B. DSGVO, NIS2, SOC 2) zu sorgen. Meistens kontrolliert er auch das Security Operations Center (SOC) oder steuert den Dienstleister, wenn es ausgelagert wurde.

In der Cloud verkomplizieren sich die Zuständigkeiten, da sich beide Rollen überlappen. IT, Security und auch das Management müssen die Köpfe zusammenstecken, damit Risikoprofile definiert, Cloud-Sicherheitsvorfälle verhindert und im Krisenfall schnell steuernd eingegriffen wird.

Cloud-Risiken: Szenarien und Ursachen

Zu den größten Cloud-Risiken zählen Datenlecks, also der Verlust von Daten. Dazu kann es kommen, wenn Fehlkonfigurationen neue Sicherheitslücken eröffnen, Schnittstellen unsicher gestaltet werden oder die Verschlüsselung zu schwach ist. Unbefugte Zugriffe und die Exfiltration oder das versehentliche Löschen von Daten werden dann wahrscheinlicher.

Altbekannt, aber noch immer viel diskutiert sind die Compliance-Probleme: Wer seine Daten US-Anbietern anvertraut, kann Verstöße gegen den europäischen Datenschutz nicht zu hundert Prozent ausschließen, da US-Behörden mit dem „Cloud Act“ immer noch extraterritoriale Zugriffsrechte haben.

Ein potenzielles Risiko im Zusammenhang mit der Cloud ist auch die Verfügbarkeit. Erst am 12. Juni 2025 machten weltweit spürbare Probleme bei Google Cloud Schlagzeilen. Ein technischer Fehler im Quota-Management (Service Control) hatte zu fehlerhaften Metadaten und Crash-Loops zahlreicher zentraler Binaries geführt.

Praktisch alle Google-Cloud-Regionen und die meisten Dienste (Google Workspace, Compute Engine, BigQuery, Cloud Storage und Vertex AI) waren für bis zu drei Stunden nicht verfügbar. Drittanbieter wie Spotify, Discord, OpenAI, Shopify und Twitch verzeichneten ebenfalls Ausfälle oder schwere Leistungseinbußen.

Am gleichen Tag fielen auch die Dienste von Cloudflare aus – durch einen Fehler in der Speicherinfrastruktur des zentralen Dienstes „Workers KV“. Services wie Access, Gateway oder Workers AI und die darauf angewiesenen Anwendungen waren für etwa zweieinhalb Stunden nicht erreichbar. Die Fälle zeigten: Auch die Hyperscaler sind vor Ausfällen nicht gefeit. Kunden sind also gut beraten, über Disaster Recovery in Multi-Cloud-Architekturen nachzudenken.

Cyberangriffe und Insider-Bedrohungen sind ebenfalls weiter eine Herausforderung – für Cloud-Nutzer genauso wie für Betreiber eigener Rechenzentren. Die Art und das Ausmaß der Risiken unterscheiden sich allerdings. Cloud-Umgebungen sind stärker exponiert gegenüber Angriffen auf APIs, Service-Schnittstellen oder das Identity and Access Management (IAM), da sie über das Internet zugänglich sind.

Andererseits verfügen Cloud-Provider über hochspezialisierte, zentral organisierte Security-Teams. Sie beherrschen automatisiertes Monitoring und eine schnelle Verteilung von Patches, so dass sie Bedrohungen meist schneller und effizienter abwehren können als On-Premises-Teams.

Wenn Unternehmen also auf eine eigene IT-Infrastruktur setzen, weil sie glauben, so die volle Kontrolle zu haben und externe Zugriffe besser steuern zu können, liegen sie nicht immer richtig. Eigene Sicherheitsmaßnahmen leiden oft unter begrenzten Ressourcen und auch der Betriebsblindheit altgedienter Mitarbeiter. Wenn aber das Monitoring nicht funktioniert und der Incident Response langsam und schlecht automatisiert ist, sinkt die Reaktionsgeschwindigkeit und die Angriffsfläche wächst.

Es wäre aber wohl zu einfach, den Cloud-Providern pauschal mehr Kompetenz in Sachen IT- und Cybersicherheit zuzubilligen. Oft entstehen im Zusammenspiel mit großen Kunden ungeahnte Komplexität und ein Verlust an Transparenz, der sich in Multicloud-Konstellationen nochmal deutlich verschärft. Es kommt dann oft zu Steuerungsproblemen und zu höheren Kosten. Unternehmen können dann ihre Datenflüsse nur noch bedingt nachvollziehen, die Schatten-IT blüht auf.

US-Cloud vs. EU-Cloud

Wie bereits erwähnt, erlaubt der „Cloud Act“ amerikanischen Geheimdiensten und Ermittlungsbehörden in bestimmten Fällen Zugriff auf die Daten von US-Unternehmen, auch wenn diese in EU-Ländern vorgehalten werden. Das steht im Widerspruch zur EU-Datenschutz-Grundverordnung (EU-DSGVO), die diesbezüglich strenge Regeln setzt.

Angesicht der aggressiven America-First-Politik von US-Präsident Donald Trump, die sich zuletzt in den überzogenen Zöllen zeigte, ist dieses Problem bedrohlich groß geworden. Zwar gibt es das „EU-US Data Privacy Framework“, das Rechtssicherheit für den Datenverkehr zwischen alter und neuer Welt bringen sollte. Es ist aber bereits mehrfach von europäischen Gerichten angefochten worden.

Auch die von Microsoft angebotene und durchaus lobenswerte „regionale Speicherung“ (EU Boundary) kann unerwünschte Zugriffe nicht komplett ausschließen. Sie gewährleistet, dass Kundendaten, pseudonymisierte personenbezogene Daten sowie technische Support-Daten standardmäßig innerhalb der EU und EFTA-Region gespeichert und verarbeitet werden.

Zusätzlich bietet Microsoft erweiterte Verschlüsselungsoptionen an und überlässt den Kunden die Kontrolle über die Keys. Trotz dieser Fortschritte bestehen weiterhin Unsicherheiten, etwa wenn die USA globale Cybersicherheitsbedrohungen wittern oder eine Ausnahmesituation sehen. Wie schnell Donald Trump mit neuen Dekreten bei der Hand ist, muss hier nicht weiter ausgeführt werden.

Unsicherheiten können aber auch durch technische Support-Eskalationen in die USA entstehen oder durch den Einsatz KI-gestützter Analysen, bei denen Kundendaten vereinzelt außerhalb der EU verarbeitet werden könnten. Für solche Situationen sind immer sorgfältige Dokumentationen und Einzelfallprüfungen notwendig.

Viele europäische Cloud-Anbieter wittern angesichts dieser schwierigen Situation Morgenluft und hoffen, in die Bresche springen zu können. Doch es ist wohl unumstritten, dass die großen US-Anbieter einen nahezu uneinholbaren Innovationsvorsprung haben. Sie profitieren zudem von enormen Skaleneffekten und bieten viel mehr Services.

Anwender müssen also genau überlegen, welche Daten und Workloads sie wohin verlagern und wo das Argument Sicherheit das der Innovation, der funktionalen Vielfalt oder des Skalenvorteils sticht. Es wird kein Weg drum herumführen, das systemische Compliance-Risiko genauestens abzuwägen. Immerhin können EU-Anbieter stark regulierten Branchen mehr Rechtssicherheit bieten, wenn auch zum Preis eingeschränkter Features und einer schlechteren globalen Integration.