2026-03-08
By Emre SalmanogluCloud Security: Der vollständige Leitfaden für Compliance- und Sicherheitsteams
Erfahren Sie, wie Sie Cloud-Sicherheitskontrollen implementieren, die ISO 27001, SOC 2, NIS2 und DORA erfüllen. Umfasst Shared Responsibility, Cloud-native Sicherheit, CSPM, Workload-Schutz und Compliance-Nachweise.
Cloud Security
Cloud-Compliance
Shared Responsibility
CSPM
Compliance
Was ist Cloud Security?
Cloud Security ist die Disziplin des Schutzes von Cloud-Computing-Umgebungen — einschließlich Infrastruktur, Plattformen, Anwendungen und Daten — vor Bedrohungen, Fehlkonfigurationen und Compliance-Verstößen. Sie passt traditionelle Sicherheitsprinzipien an die dynamische, API-gesteuerte und geteilte Verantwortung von Cloud Computing an.
Für compliance-orientierte Organisationen ist Cloud Security unverzichtbar, da Regulierungsbehörden zunehmend prüfen, wie Organisationen Daten und Systeme in Cloud-Umgebungen gemäß ISO 27001, SOC 2, NIS2 und DORA schützen.
Shared-Responsibility-Modell
| Schicht | IaaS (z. B. AWS EC2) | PaaS (z. B. Azure App Service) | SaaS (z. B. Salesforce) |
|---|---|---|---|
| Physische Sicherheit | Anbieter | Anbieter | Anbieter |
| Netzwerkinfrastruktur | Anbieter | Anbieter | Anbieter |
| Virtualisierung | Anbieter | Anbieter | Anbieter |
| Betriebssystem | Kunde | Anbieter | Anbieter |
| Runtime/Middleware | Kunde | Anbieter | Anbieter |
| Anwendung | Kunde | Kunde | Anbieter |
| Daten | Kunde | Kunde | Kunde |
| Identität & Zugang | Kunde | Kunde | Kunde |
| Konfiguration | Kunde | Kunde | Kunde |
Cloud-Sicherheitsdomänen
| Domäne | Beschreibung | Wichtige Kontrollen |
|---|---|---|
| Identität & Zugang | Authentifizierung, Autorisierung, Berechtigungsmanagement | SSO, MFA, Least Privilege, JIT-Zugang |
| Datenschutz | Verschlüsselung, Klassifizierung, Data Loss Prevention | Verschlüsselung at rest/in transit, DLP, Key Management |
| Netzwerksicherheit | Segmentierung, Traffic-Filterung, DDoS-Schutz | Security Groups, WAF, Private Endpoints, VPN |
| Workload-Schutz | Absicherung von VMs, Containern, Serverless | CWPP, Schwachstellen-Scanning, Laufzeitschutz |
| Konfigurationsmanagement | Fehlkonfigurationen verhindern und erkennen | CSPM, Infrastructure as Code, Policy as Code |
| Logging & Monitoring | Sichtbarkeit in Cloud-Aktivitäten und Bedrohungen | Cloud-natives Logging, SIEM-Integration, Alerting |
| Incident Response | Erkennung und Reaktion auf Cloud-Vorfälle | Cloud-IR-Playbooks, forensische Bereitschaft |
Cloud-Sicherheitsarchitektur
| Komponente | Funktion | Beispiele |
|---|---|---|
| CSPM | Konfigurationskonformität und Risikobewertung | Wiz, Orca, Prisma Cloud, AWS Security Hub |
| CWPP | Workload-Schutz über Compute-Typen hinweg | CrowdStrike, Aqua, Sysdig |
| CNAPP | Einheitlicher Cloud-nativer Anwendungsschutz | Wiz, Palo Alto Prisma Cloud |
| CASB | Shadow-IT-Erkennung und SaaS-Sicherheit | Netskope, Zscaler, Microsoft Defender for Cloud Apps |
| CIEM | Cloud-Identitäts- und Berechtigungsmanagement | Ermetic (Tenable), CrowdStrike, Wiz |
| KMS | Verwaltung von Verschlüsselungsschlüsseln | AWS KMS, Azure Key Vault, HashiCorp Vault |
Cloud-Sicherheitskontrollen
| Kontrolle | Beschreibung | Implementierung |
|---|---|---|
| Verschlüsselung at rest | Alle gespeicherten Daten verschlüsseln | Anbieter- oder kundenverwaltete Schlüssel |
| Verschlüsselung in transit | Alle Daten in Bewegung verschlüsseln | TLS 1.2+, mutual TLS für Service-zu-Service |
| Least-Privilege-IAM | Minimal erforderliche Berechtigungen | Rollenbasierte Richtlinien, regelmäßige Zugriffsüberprüfungen |
| Netzwerksegmentierung | Workloads und Umgebungen isolieren | VPCs, Security Groups, private Subnetze |
| Logging | Alle API-Aufrufe und Änderungen aufzeichnen | CloudTrail, Azure Activity Log, GCP Audit Logs |
| MFA-Pflicht | Multifaktor für allen Cloud-Zugang | FIDO2 für Admins, Conditional Access Policies |
| Infrastructure as Code | Infrastruktur in versionierten Templates definieren | Terraform, CloudFormation, Pulumi |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Cloud-Service-Sicherheit | A.5.23 | CC6.1 | Art. 21(2)(d) | Art. 28-30 |
| Datenschutz | A.8.24 | CC6.1 | Art. 21(2)(d) | Art. 9(2) |
| Zugangskontrolle | A.8.2 | CC6.3 | Art. 21(2)(i) | Art. 9(4) |
| Logging & Monitoring | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Lieferantenmanagement | A.5.21 | CC9.2 | Art. 21(2)(d) | Art. 28 |
| Incident Response | A.5.26 | CC7.4 | Art. 23 | Art. 17 |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Cloud-Sicherheitsrichtlinie | Dokumentierte Richtlinie für alle Cloud-Umgebungen | Alle Frameworks |
| Shared-Responsibility-Matrix | Dokumentierte Verantwortlichkeiten pro Cloud-Anbieter/-Dienst | Alle Frameworks |
| CSPM-Scan-Berichte | Ergebnisse der Konfigurationskonformitätsscans | Alle Frameworks |
| IAM-Zugriffsüberprüfungen | Nachweis der Überprüfung von Cloud-Zugriffsrechten | Alle Frameworks |
| Verschlüsselungskonfiguration | Dokumentation der Verschlüsselung at rest und in transit | Alle Frameworks |
| Cloud-Anbieterverträge | Vereinbarungen über Sicherheitsverpflichtungen | NIS2, DORA |
| Incident-Response-Playbooks | Cloud-spezifische Incident-Response-Verfahren | Alle Frameworks |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Shared Responsibility nicht verstanden | Sicherheitslücken, die keine Partei verwaltet | Verantwortlichkeiten pro Cloud-Service dokumentieren |
| Zu permissive IAM-Richtlinien | Credential-Kompromittierung führt zur Account-Übernahme | Least Privilege implementieren, IAM Access Analyzer nutzen |
| Öffentliche Storage-Buckets | Datenexposition und regulatorische Strafen | Bucket-Richtlinien aktivieren, öffentlichen Zugang standardmäßig blockieren |
| Kein zentrales Logging | Vorfälle können nicht erkannt oder untersucht werden | Alle Cloud-Logs in SIEM aggregieren |
| Einzelkonto-Architektur | Kompromittierung betrifft alles | Multi-Account-Strategie mit Isolationsgrenzen |
| Cloud-Anbieteränderungen ignorieren | Neue Features erzeugen unkontrolliertes Risiko | Anbieter-Changelogs überwachen, Kontrollen vierteljährlich aktualisieren |
Wie Orbiq Cloud-Security-Compliance unterstützt
Orbiq hilft Ihnen, Cloud-Sicherheitskontrollen nachzuweisen:
- Nachweissammlung — Zentralisieren Sie Cloud-Sicherheitsrichtlinien, CSPM-Berichte und Zugriffsüberprüfungen
- Kontinuierliches Monitoring — Verfolgen Sie die Cloud-Sicherheitslage über Anbieter hinweg
- Trust Center — Teilen Sie Ihre Cloud-Sicherheitskontrollen über Ihr Trust Center
- Compliance-Mapping — Ordnen Sie Cloud-Kontrollen ISO 27001, SOC 2, NIS2 und DORA zu
- Audit-Bereitschaft — Vorgefertigte Nachweispakete für Auditorenprüfungen
Weiterführende Informationen
- Cloud Security Posture Management — Automatisierte Cloud-Konfigurationskonformität
- Zero Trust — Identitätszentrierte Sicherheit für Cloud-Umgebungen
- Verschlüsselung — Datenschutz in Cloud-Umgebungen
- Identity and Access Management — Cloud-IAM-Best-Practices
- Datensouveränität — Anforderungen an den Datenstandort in der Cloud