Cloud-Sicherheit für KMU: 7 Risiken und was Sie dagegen tun

Inhalt in Kürze

• 90 % der deutschen Unternehmen nutzen Cloud-Dienste — aber nur wenige haben ihre Cloud-Sicherheit systematisch geprüft (Bitkom Cloud Report 2025).
• Art. 32 DSGVO fordert technische und organisatorische Maßnahmen für Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit — auch in der Cloud.
• Fehlkonfigurationen sind die häufigste Ursache für Cloud-Datenpannen. 2022 standen durch eine einzige Azure-Fehlkonfiguration Daten von über 65.000 Kunden offen im Netz (heise online).
• Die Verantwortung für den Datenschutz bleibt immer beim Unternehmen — nicht beim Cloud-Anbieter.

Sie nutzen die Cloud. Aber wissen Sie, wer Ihre Daten schützt?

Microsoft 365, Google Workspace, Dropbox, Lexoffice, HubSpot — die meisten KMU arbeiten längst in der Cloud. Oft ohne es bewusst entschieden zu haben. Die Buchhaltung läuft über ein SaaS-Tool, die E-Mails über Exchange Online, die Dateien liegen auf SharePoint.

Das Problem: Viele Geschäftsführer gehen davon aus, dass Microsoft oder Google sich um die Sicherheit kümmern. Das stimmt — aber nur für die Infrastruktur. Für Ihre Daten, Ihre Konfiguration und Ihre Zugriffsrechte sind Sie verantwortlich. Das nennt sich Shared Responsibility Model, und es ist der Punkt, an dem die meisten Cloud-Sicherheitsprobleme entstehen.

Die 7 größten Cloud-Risiken für KMU

1. Fehlkonfigurationen

Die Nummer eins. Ein öffentlich zugänglicher Azure Blob Storage, eine SharePoint-Freigabe ohne Einschränkung, ein S3-Bucket ohne Zugriffskontrolle. Im Oktober 2022 standen durch eine einzige Fehlkonfiguration bei Microsoft 2,4 Terabyte Kundendaten offen im Internet — betroffen: über 65.000 Unternehmen in 111 Ländern.

2. Zu viele Berechtigungen

Neue Mitarbeiter bekommen Vollzugriff. Ehemalige Mitarbeiter behalten ihre Konten. Praktikanten sehen dieselben Daten wie die Geschäftsführung. Ohne ein Berechtigungskonzept nach dem Least-Privilege-Prinzip öffnen Sie die Tür für Datenverlust — absichtlich oder versehentlich.

3. Fehlende Verschlüsselung

Daten "at rest" und "in transit" müssen verschlüsselt sein. Klingt selbstverständlich, ist es nicht. Viele KMU verlassen sich auf die Standardeinstellungen ihres Cloud-Anbieters — ohne zu prüfen, ob diese für ihre Daten ausreichend sind.

4. Kein Backup der Cloud-Daten

Microsoft garantiert die Verfügbarkeit seiner Infrastruktur — nicht die Wiederherstellung Ihrer gelöschten Dateien. Ein Mitarbeiter löscht einen SharePoint-Ordner, die Aufbewahrungsfrist läuft ab, die Daten sind weg. Ohne separates Cloud-Backup stehen Sie im Regen.

5. Schatten-IT

Mitarbeiter nutzen Dropbox, WhatsApp, ChatGPT oder andere Tools ohne Freigabe der IT. Ihre Daten landen auf Servern, von denen Sie nichts wissen — ohne Auftragsverarbeitungsvertrag, ohne Kontrolle, ohne Löschkonzept.

6. Mangelnde Authentifizierung

Kein MFA auf Cloud-Konten ist wie eine offene Haustür. Laut BSI-Lagebericht 2025 beginnen über 80 % der erfolgreichen Angriffe mit kompromittierten Zugangsdaten — oft per Phishing erbeutet.

7. Unklare Verantwortlichkeiten

Wer prüft die Cloud-Konfiguration? Wer überwacht die Zugriffsrechte? Wer reagiert bei einem Vorfall? In vielen KMU: niemand. Die IT macht das "nebenbei". Bis es knallt.

Was die DSGVO von Ihnen verlangt

Art. 32 DSGVO ist eindeutig: Sie müssen technische und organisatorische Maßnahmen treffen, die dem Risiko angemessen sind. Konkret fordert die Verordnung:

• Vertraulichkeit — Nur befugte Personen dürfen auf Daten zugreifen
• Integrität — Daten dürfen nicht unbemerkt verändert werden
• Verfügbarkeit — Systeme und Daten müssen zugänglich sein, wenn Sie sie brauchen
• Belastbarkeit — Systeme müssen auch unter Last oder bei Teilausfällen stabil bleiben

Zusätzlich verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) mit jedem Cloud-Anbieter. Ohne AVV ist die Cloud-Nutzung ein DSGVO-Verstoß — egal wie gut die Technik ist.

Und mit NIS2 kommen seit Oktober 2024 weitere Pflichten hinzu: Risikomanagement, Meldepflichten und persönliche Haftung der Geschäftsführung für Cybersicherheitsmaßnahmen.

Was Sie konkret tun sollten

1. Cloud-Inventur: Listen Sie alle Cloud-Dienste auf, die Ihr Unternehmen nutzt — auch die inoffiziellen. Prüfen Sie für jeden Dienst, ob ein AVV vorliegt.
2. MFA aktivieren: Für alle Cloud-Konten. Sofort. Ohne Ausnahme. Das ist die einzelne Maßnahme mit dem größten Schutzeffekt.
3. Berechtigungen prüfen: Wer hat Zugriff auf was? Braucht er das noch? Least Privilege durchsetzen, Offboarding-Prozess einführen.
4. Cloud-Backup einrichten: Unabhängig vom Cloud-Anbieter. 3-2-1-Regel: Drei Kopien, zwei Medien, eine extern.
5. Konfiguration härten: Conditional Access Policies, E-Mail-Authentifizierung (SPF/DKIM/DMARC), Freigabe-Einstellungen in SharePoint und OneDrive prüfen.
6. Mitarbeiter schulen: Security Awareness Training mit Phishing-Simulationen — denn die beste Konfiguration hilft nicht gegen einen Klick auf den falschen Link.

Warum Ihr Systemhaus dafür nicht reicht

Ihr Systemhaus betreibt Ihre Server, richtet Arbeitsplätze ein und kümmert sich um Updates. Das ist wichtig. Aber Cloud-Sicherheit erfordert eine andere Perspektive: Wer prüft, ob Ihre Microsoft-365-Konfiguration den DSGVO-Anforderungen entspricht? Wer stellt sicher, dass Conditional Access Policies korrekt gesetzt sind? Wer führt Penetrationstests auf Ihre Cloud-Umgebung durch?

Dafür brauchen Sie einen spezialisierten IT-Sicherheitsberater — jemanden, der die Brücke zwischen Technik, Datenschutz und Compliance schlägt.

Häufige Fragen zur Cloud-Sicherheit für KMU

Wer ist für die Sicherheit meiner Daten in der Cloud verantwortlich?

Sie. Der Cloud-Anbieter sichert die Infrastruktur (Server, Netzwerk, physische Sicherheit). Aber die Konfiguration, Zugriffsrechte, Verschlüsselung und das Backup Ihrer Daten liegen in Ihrer Verantwortung. Das ist das Shared Responsibility Model, das jeder große Cloud-Anbieter (Microsoft, AWS, Google) in seinen Verträgen definiert.

Brauche ich einen AVV mit meinem Cloud-Anbieter?

Ja, immer. Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet. Das gilt für Microsoft 365 genauso wie für Ihr CRM, Ihr Buchhaltungstool oder Ihren Newsletter-Dienst. Ohne AVV riskieren Sie Bußgelder.

Reicht die Standardkonfiguration von Microsoft 365 für die DSGVO?

Nein. Die Standardkonfiguration ist ein Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit. MFA ist nicht überall aktiviert, Freigabe-Links sind oft zu großzügig, Aufbewahrungsrichtlinien fehlen, und Conditional Access Policies sind nicht konfiguriert. Eine professionelle M365-Härtung ist für DSGVO-Konformität unverzichtbar.

Was kostet ein Cloud-Sicherheitscheck?

Für KMU mit 20–100 Mitarbeitenden liegt eine Cloud-Sicherheitsanalyse inklusive M365-Konfigurationsreview und AVV-Prüfung typischerweise bei 1.500–3.000 €. Gemessen an einem durchschnittlichen Schaden von 200.000 € pro Cybervorfall eine überschaubare Investition.

Welche Cloud-Zertifizierungen sollte mein Anbieter haben?

Achten Sie auf ISO 27001, SOC 2 Type II und C5 (Cloud Computing Compliance Criteria Catalogue des BSI). Diese Zertifizierungen bestätigen, dass der Anbieter angemessene Sicherheitsmaßnahmen implementiert hat. Aber: Die Zertifizierung des Anbieters entbindet Sie nicht von Ihrer eigenen Verantwortung nach Art. 32 DSGVO.