Macs, iPhones und iPads gehören in vielen Unternehmen längst zur Standardausstattung.
Was dabei oft übersehen wird: Viele Daten aus diesen Arbeitsprozessen liegen längst nicht mehr nur lokal, sondern in der Cloud – in Microsoft 365, in Google Workspace, in CRM- und Buchhaltungssystemen, auf Plattformen wie AWS oder Azure. Damit ist Cloud-Sicherheit nicht mehr nur ein IT-Thema, sondern eine Aufgabe für die Geschäftsführung. Wie schnell eine Lücke nicht beim Anbieter, sondern beim einzelnen Konto entsteht, zeigte zuletzt ein Fall rund um iCloud-Konten: Bei einem großen Datenleck tauchten Hunderttausende iCloud-Zugangsdaten auf. Apple selbst wurde dabei nicht gehackt; problematisch waren gestohlene Logins, wiederverwendete Passwörter und Konten ohne zusätzlichen Schutz. Das Muster ist auch für Unternehmens-Clouds relevant: Oft liegt das Risiko nicht in der Plattform selbst, sondern bei Konten, Passwörtern und aktivierten Schutzfunktionen.
Dahinter steht ein Prinzip, das viele Entscheider unterschätzen: die geteilte Verantwortung. Der Anbieter sichert die Cloud selbst ab – Rechenzentren, Hardware, die grundlegende Infrastruktur. Für die eigenen Daten, Konten, Berechtigungen und Einstellungen bleibt das Unternehmen zuständig. Genau hier liegt der entscheidende Punkt der Cloud-Sicherheit: Die Infrastruktur schützt der Anbieter; die eigenen Inhalte und Zugänge muss das Unternehmen absichern. Viele Risiken entstehen genau dort, wo Unternehmen selbst entscheiden: bei Konten, Rechten, Konfigurationen, Datenflüssen und internen Prozessen.
Das ist kein Argument gegen Cloud-Dienste. Im Gegenteil: Große Anbieter investieren massiv in Infrastruktur, Verfügbarkeit und Basisschutz, meist auf einem Niveau, das ein einzelnes Unternehmen kaum selbst erreichen könnte. Problematisch wird es erst, wenn ein Unternehmen daraus schließt, dass damit auch die eigenen internen Entscheidungen abgesichert sind.
Die Cloud ist Standard – die Verantwortung wächst mit
Längst ist die Cloud kein Sonderfall mehr, sondern Normalzustand. Der Umsatz mit Cloud-Software soll in Deutschland 2026 laut aktuellen Bitkom-Zahlen auf 38,3 Milliarden Euro steigen. Für die Praxis heißt das: Je mehr Geschäftsprozesse in der Cloud laufen, desto wichtiger wird der Teil, den kein Anbieter für euch übernimmt. Mit jedem neuen Dienst, jedem zusätzlichen Konto und jeder Integration wächst der Teil, den das Unternehmen selbst steuern muss – meist, ohne dass jemand bewusst darüber entscheidet.
Nicht jede Cloud bedeutet dieselbe Verantwortung
Wie viel ein Unternehmen selbst absichern muss, hängt vom jeweiligen Cloud-Dienst ab. Die technischen Details müsst ihr nicht beherrschen. Den Grundsatz solltet ihr aber kennen.
Bei klassischen Anwendungen aus der Cloud – etwa Microsoft 365, Google Workspace, einem CRM oder einer Buchhaltung im Browser – übernimmt der Anbieter den Betrieb der Software. Auf Unternehmensseite bleiben vor allem die Konten und Rollen, die Daten selbst, die Verknüpfungen mit anderen Tools sowie die Freigabe-Einstellungen. Auch bei Sicherung und Aufbewahrung lohnt der genaue Blick: Je nach Dienst ist nicht automatisch geregelt, wie lange gelöschte Daten wiederherstellbar sind.
Anders sieht es aus, sobald ein Unternehmen eigene Anwendungen betreibt oder ganze Umgebungen bei Anbietern wie AWS oder Azure nutzt. Dann liegen deutlich mehr Entscheidungen beim Unternehmen: wie alles konfiguriert ist, wer administrative Zugänge erhält, wie einzelne Bausteine aktuell gehalten werden, wo Daten gespeichert sind und nach welchen Regeln sie sich wiederherstellen lassen. Für die Geschäftsführung heißt das nicht, jede technische Einzelheit zu kennen, sondern für jeden wichtigen Dienst zu wissen, wo die Verantwortung des Anbieters endet und die eigene beginnt.
Was der Cloud-Anbieter nicht für euch absichert
Die gute Nachricht: Es geht nicht um Dutzende technischer Spezialthemen, sondern um wenige, gut greifbare Bereiche. Eines haben sie gemeinsam: Die Verantwortung dafür liegt beim Unternehmen.
Zugänge und Identitäten
Mechanismen wie die Zwei-Faktor-Authentifizierung stellt der Anbieter bereit. Aktivieren und durchsetzen müsst ihr sie selbst als Administrator. Schwache oder mehrfach verwendete Passwörter, alte Konten ausgeschiedener Mitarbeiter, ein fehlender zweiter Faktor: Das sind keine technischen Randthemen, sondern offene Türen. Ein typisches Beispiel: Ein Mitarbeiter verlässt das Unternehmen, sein Konto bleibt aber aktiv, weil niemand die Zugänge regelmäßig prüft. Monate später reicht ein altes Passwort, um wieder in ein System zu gelangen, das intern längst niemand mehr mit dieser Person verbindet. Im schlimmsten Fall bedeutet ein übernommenes Konto Zugriff auf Kundendaten, Finanzen und alle verknüpften Systeme – mit einem einzigen Login.
Konfiguration und Berechtigungen
Cloud-Dienste sind flexibel und damit leicht falsch einzustellen. Schon einfache Fehlkonfigurationen können sensible Daten unnötig offenlegen, etwa wenn ein Ordner versehentlich öffentlich freigegeben ist oder Mitarbeiter dauerhaft mehr Rechte behalten, als sie für ihre Arbeit brauchen. Der Anbieter korrigiert das nicht, denn aus seiner Sicht funktioniert alles wie eingestellt. Für die Geschäftsführung ist vor allem eine Frage wichtig: Weiß im Unternehmen jemand, wer worauf zugreifen darf – und wird das in festen Abständen überprüft?
Daten und Backups
Dass die Infrastruktur verfügbar ist, garantiert der Anbieter. Ob die Daten passend gesichert, sinnvoll aufbewahrt und im Ernstfall wiederherstellbar sind, müsst ihr je nach Dienst und Vertrag ausdrücklich klären. Ein versehentlich gelöschtes Postfach oder ein Angriff, der Daten verschlüsselt, trifft das Unternehmen, nicht das Rechenzentrum. Ohne geklärte und getestete Sicherungen bleibt im Ernstfall oft unklar, welche Daten sich tatsächlich wiederherstellen lassen. Erst im Schadensfall merken viele Unternehmen, dass „die Cloud“ und „ein funktionierendes Backup“ zwei verschiedene Dinge sind.
Mitarbeiter, SaaS und Schatten-IT
Fast jedes Team nutzt heute eigene Werkzeuge, oft schneller, als die IT sie freigeben kann. Diese „Schatten-IT“, unkontrollierte Verknüpfungen zwischen Diensten und schlicht menschliche Fehler gehören zu den typischen Risikofeldern in Cloud-Umgebungen. Für Entscheider zählt dabei weniger die einzelne App als die übergeordnete Frage: Haben wir überhaupt einen Überblick, welche Dienste mit unseren Daten arbeiten – und wer sie eingerichtet hat?
Die Checkliste für die neue Woche
Man muss dafür nicht gleich ein Großprojekt starten. Vieles lässt sich kurzfristig anstoßen oder zumindest abfragen. Acht Punkte, die ihr in der neuen Woche delegieren oder selbst prüfen könnt:
- Macht die Zwei-Faktor-Authentifizierung für alle geschäftlichen Konten verbindlich – und lasst euch bestätigen, dass sie wirklich überall aktiv ist.
- Fordert eine aktuelle Übersicht an, wer auf welche Systeme zugreifen darf, und schließt Konten ausgeschiedener Mitarbeiter.
- Führt einen Passwort-Manager ein oder macht ihn verbindlich, damit Passwörter einzigartig sind.
- Lasst prüfen, ob es funktionierende Backups gibt – und ob deren Wiederherstellung schon einmal ernsthaft getestet wurde.
- Klärt für die wichtigsten Cloud-Dienste, wo die Verantwortung des Anbieters endet: Wer sichert Daten, wer vergibt Adminrechte, wer testet die Wiederherstellung, wer reagiert bei einem kompromittierten Konto?
- Erfasst, welche Cloud- und SaaS-Dienste wirklich im Einsatz sind, auch jenseits der offiziell freigegebenen.
- Benennt klar, wer für Cloud-Sicherheit verantwortlich ist – eine konkrete Person oder Rolle, nicht pauschal „die IT“.
- Legt fest, was im Ernstfall passiert: Wen ruft ihr an, wenn ein Konto übernommen oder Daten gesperrt werden?
Fazit: Sicherheit ist eine Management-Aufgabe
Die Cloud ist nicht unsicherer als das eigene Serverzimmer – oft ist das Gegenteil der Fall. Die Lücke entsteht dort, wo ein Unternehmen annimmt, der Anbieter habe ohnehin an alles gedacht. Genau diese Annahme ist das eigentliche Risiko. Wer Cloud-Sicherheit als Management-Aufgabe begreift, mit klarer Verantwortung, festem Budget und regelmäßiger Routine statt einmaliger Aktion, schließt den Teil der Lücke, den kein Vertrag und kein Anbieter übernimmt. Es ist eine unternehmerische Entscheidung, und sie gehört auf die Führungsebene.
Hinweis: Artikel enthält Affiliate-Links. Was ist das? Grafik: iTopnews