Cloud-Dienste sind für Schweizer KMU unverzichtbar geworden — aber sie bringen spezifische Sicherheitsrisiken mit sich, die viele Unternehmen unterschätzen: Laut dem Cloud Security Report 2024 von Cybersecurity Insiders haben 95% aller Cloud-Sicherheitsvorfälle menschliches Versagen als Ursache — meist in Form von Fehlkonfigurationen. In der Schweiz nutzen laut einer gfs-zürich-Studie bereits 78% der KMU mindestens einen Cloud-Dienst für geschäftskritische Prozesse, aber nur 34% haben eine dedizierte Cloud-Sicherheitsstrategie implementiert. Diese Lücke ist ein gefundenes Fressen für Angreifer.

Warum Cloud-Sicherheit für KMU anders ist

Der Wechsel in die Cloud ändert das Sicherheitsmodell fundamental. Im klassischen “On-Premises”-Betrieb kontrolliert das Unternehmen alles: Hardware, Netzwerk, Betriebssystem, Anwendungen und Daten. In der Cloud gilt das Shared Responsibility Model: Die Sicherheitsverantwortung wird zwischen Cloud-Anbieter und Kunde aufgeteilt.

Was der Cloud-Anbieter absichert: Physische Infrastruktur, Hypervisoren, Netzwerkinfrastruktur, Betriebssystem-Patches (bei PaaS/SaaS)

Was der Kunde absichert: Daten, Zugriffsmanagement (IAM), Netzwerkkonfiguration, Anwendungssicherheit, Compliance

Das fundamentale Problem: Viele KMU gehen davon aus, dass der Cloud-Anbieter alles absichert. Ein weit verbreiteter Irrglaube, der zu gefährlichen Sicherheitslücken führt.

Die 10 grössten Cloud-Security-Risiken für KMU

Risiko 1: Fehlkonfigurationen

Fehlkonfigurationen sind mit Abstand das häufigste Cloud-Sicherheitsproblem. Laut Gartner werden bis 2025 mehr als 99% aller Cloud-Sicherheitsvorfälle durch Kundenfehler verursacht — und Fehlkonfigurationen sind der häufigste Fehlertyp.

Typische Fehlkonfigurationen:

  • Öffentliche S3-Buckets (AWS): Datenspeicher werden versehentlich für das gesamte Internet zugänglich gemacht. Tausende von Unternehmen haben so sensible Daten offengelegt.
  • Zu permissive Sicherheitsgruppen: Firewall-Regeln erlauben zu breiten Netzwerkzugang
  • Deaktivierte Verschlüsselung: Datenspeicher werden ohne Verschlüsselung betrieben
  • Nicht konfiguriertes Logging: Angriffe hinterlassen keine Spuren, weil Logs deaktiviert sind
  • Default-Passwörter: Standardpasswörter werden nicht geändert

Schutzmassnahme: Cloud Security Posture Management (CSPM) Tools wie AWS Security Hub, Microsoft Defender for Cloud oder Prisma Cloud scannen kontinuierlich auf Fehlkonfigurationen. Dies ist für jedes KMU, das Cloud-Dienste nutzt, unverzichtbar.

Risiko 2: Unzureichendes Identitäts- und Zugriffsmanagement (IAM)

Identität ist in der Cloud die neue Firewall. Wer in der Cloud die richtigen Credentials hat, hat oft Zugang zu allem. Typische IAM-Probleme:

  • Zu breite Zugriffsrechte: Nutzer und Dienste haben mehr Rechte als benötigt
  • Nicht verwendete Zugangsdaten: Ehemalige Mitarbeitende behalten Cloud-Zugang
  • Fehlende MFA: Administrative Zugänge ohne Zwei-Faktor-Authentifizierung
  • Langlebige API-Schlüssel: Zugangsdaten mit unbegrenzter Gültigkeitsdauer
  • Kompromittierte Zugangsdaten: Durch Phishing gestohlene Cloud-Passwörter

In Kombination mit Phishing-Angriffen sind schwaches IAM und die mangelnde MFA-Nutzung für einen Grossteil der Cloud-Kompromittierungen verantwortlich. Gründliche Empfehlungen zum Passwort- und Zugangsdatenmanagement finden Sie in unserem Beitrag zur Passwort-Sicherheit für Unternehmen.

Schutzmassnahme: Implementieren Sie das Prinzip der minimalen Rechte (Least Privilege) für alle Nutzer und Dienste. Erzwingen Sie MFA für alle Cloud-Zugänge. Überprüfen und bereinigen Sie regelmässig Zugriffsrechte und deaktivieren Sie nicht mehr benötigte Zugänge sofort.

Risiko 3: Unsichere APIs

Cloud-Dienste kommunizieren über APIs (Application Programming Interfaces). Diese APIs sind oft der einzige Angriffspunkt, den Angreifer aus dem Internet sehen. Unsichere APIs können es Angreifern ermöglichen:

  • Daten auszulesen ohne Autorisierung
  • Aktionen im Namen anderer Nutzer auszuführen
  • Auf administrative Funktionen zuzugreifen
  • Denial-of-Service-Angriffe durchzuführen

Laut OWASP API Security Top 10 sind “Broken Object Level Authorization” und “Broken Authentication” die häufigsten API-Sicherheitsprobleme.

Schutzmassnahme: Implementieren Sie ein API Gateway für alle exponierten APIs. Erzwingen Sie starke Authentifizierung (OAuth 2.0, API-Keys mit kurzer Gültigkeitsdauer). Führen Sie regelmässige API-Sicherheitstests durch. Implementieren Sie Rate Limiting gegen Missbrauch.

Risiko 4: Datenverlust und unzureichende Datensicherung

Cloud-Dienste sind nicht automatisch vor Datenverlust geschützt. Typische Szenarien:

  • Versehentliches Löschen: Nutzer löschen Daten irrtümlich — und Cloud-Anbieter-Backups greifen nicht immer
  • Ransomware in der Cloud: Moderne Ransomware verschlüsselt auch synchronisierte Cloud-Dateien (z.B. OneDrive, SharePoint)
  • Konto-Löschung: Ein deaktiviertes Cloud-Konto kann alle assoziierten Daten löschen
  • Anbieter-Insolvenz oder -Einstellung: Kleinere Cloud-Anbieter können den Betrieb einstellen

Schutzmassnahme: Implementieren Sie die 3-2-1-Backup-Regel auch für Cloud-Daten: 3 Kopien, auf 2 verschiedenen Medien, 1 davon ausserhalb (z.B. ein anderer Cloud-Anbieter oder lokales Backup). Testen Sie regelmässig die Wiederherstellung.

Risiko 5: Insider-Bedrohungen

Böswillige oder fahrlässige Mitarbeitende mit Cloud-Zugang können erheblichen Schaden anrichten:

  • Exfiltration von Kundendaten in persönliche Cloud-Speicher
  • Sabotage von Cloud-Ressourcen (Löschen von Daten, Deaktivierung von Diensten)
  • Verkauf von Cloud-Zugangsdaten an Angreifer
  • Fahrlässige Fehlkonfigurationen

Laut Verizon DBIR 2024 beinhalten 68% aller Datenpannen ein menschliches Element (Human Element) — darunter auch Insider-Bedrohungen, die weiterhin ein wachsendes Risiko darstellen.

Schutzmassnahme: Implementieren Sie Cloud-DLP (Data Loss Prevention) um ungewöhnliche Datenabflüsse zu erkennen. Protokollieren Sie alle administrativen Aktionen. Implementieren Sie das Vier-Augen-Prinzip für kritische Operationen.

Risiko 6: Compliance und Datenschutz bei Cloud-Nutzung

Das Schweizer nDSG stellt klare Anforderungen an die Verarbeitung personenbezogener Daten durch Dritte. Bei Cloud-Diensten bedeutet das:

  • Datenlokalität: Wo befinden sich die Daten physisch? EU/Schweiz oder USA?
  • Auftragsverarbeitungsvertrag: Gibt es einen nDSG-konformen AVV mit dem Cloud-Anbieter?
  • Drittland-Transfers: Werden Daten in Länder ohne angemessenes Datenschutzniveau übermittelt?
  • Löschpflichten: Können Sie sicherstellen, dass Daten auf Anfrage vollständig gelöscht werden?

Besonders problematisch: Einige US-basierte Cloud-Anbieter unterliegen dem US CLOUD Act, der US-Behörden unter bestimmten Umständen Zugang zu Daten gewähren kann — auch wenn diese physisch in der Schweiz oder EU gespeichert sind.

Schutzmassnahme: Wählen Sie für sensitive Daten bevorzugt Schweizer oder europäische Cloud-Anbieter (z.B. Exoscale, cloudscale.ch, Nine, Infomaniak). Schliessen Sie nDSG-konforme Auftragsverarbeitungsverträge ab. Führen Sie ein Verzeichnis aller Cloud-Datenflüsse. Details in unserer nDSG-Checkliste für KMU.

Risiko 7: Mangelnde Sichtbarkeit und unzureichendes Logging

“You can’t protect what you can’t see.” In der Cloud wissen viele KMU nicht:

  • Welche Cloud-Dienste überhaupt genutzt werden (Shadow IT)
  • Wer auf welche Ressourcen zugreift
  • Welche API-Aufrufe gemacht werden
  • Ob Anomalien vorliegen, die auf einen Angriff hinweisen

Fehlende Logs sind auch ein Compliance-Problem: Das BACS empfiehlt, Sicherheitslogs mindestens 12 Monate aufzubewahren.

Schutzmassnahme: Aktivieren Sie Cloud-Logging auf allen genutzten Diensten (AWS CloudTrail, Azure Monitor, Google Cloud Audit Logs). Leiten Sie Logs in ein zentrales SIEM weiter. Implementieren Sie Alerting für anomale Aktivitäten. Führen Sie ein Inventar aller genutzten Cloud-Dienste (CASB-Tools helfen dabei).

Risiko 8: Unsichere Drittanbieter und Supply-Chain-Risiken

Cloud-Dienste sind selbst Teil einer Lieferkette. Wenn ein Cloud-Anbieter oder ein SaaS-Tool kompromittiert wird, sind alle Kunden betroffen. Dieses Risiko ist direkt verwandt mit Supply Chain Angriffen.

Ein konkretes Beispiel: Ein populäres SaaS-Tool für HR-Management wird kompromittiert. Angreifer exfiltrieren die Mitarbeiterdaten aller Kunden — darunter Ihr KMU.

Schutzmassnahme: Führen Sie eine Due Diligence bei der Auswahl von Cloud-Diensten durch. Überprüfen Sie Sicherheitszertifizierungen (ISO 27001, SOC 2, Cloud Security Alliance STAR). Minimieren Sie die Anzahl der genutzten Drittanbieter-Integrations.

Risiko 9: Kontenhijacking durch Credential Stuffing

Cloud-Accounts sind ein beliebtes Ziel für Credential-Stuffing-Angriffe: Angreifer verwenden gestohlene Nutzername/Passwort-Kombinationen aus anderen Datenpannen, um sich in Cloud-Accounts einzuloggen.

Da viele Nutzer dasselbe Passwort für mehrere Dienste verwenden, führen Datenpannen bei anderen Diensten direkt zu Kompromittierungen Ihrer Cloud-Accounts. Laut Have I Been Pwned sind Milliarden von E-Mail/Passwort-Kombinationen öffentlich zugänglich.

Schutzmassnahme: Erzwingen Sie MFA für alle Cloud-Accounts ohne Ausnahme. Verwenden Sie für jeden Dienst ein einzigartiges, starkes Passwort (Passwort-Manager). Aktivieren Sie Impossible Travel und Anomalie-Erkennung in Ihren Cloud-Diensten. Gründliche Strategien finden Sie in unserem Beitrag zur Passwort-Sicherheit für Unternehmen.

Risiko 10: Denial-of-Service und Ressourcenmissbrauch

Cloud-Dienste können missbraucht werden, um finanzielle Schäden zu verursachen:

  • Cryptojacking: Angreifer nutzen Ihre Cloud-Ressourcen zum Mining von Kryptowährungen — auf Ihre Kosten. Eine hohe Cloud-Rechnung kann das erste Anzeichen sein.
  • API-Missbrauch: Unkontrollierte API-Nutzung kann zu unerwartet hohen Kosten führen
  • DDoS auf Cloud-Ressourcen: Angriffe auf Ihre Cloud-basierten Dienste können erhebliche Traffic-Kosten verursachen

Cryptojacking in AWS oder Azure kann sehr schnell zu Rechnungen im fünfstelligen Bereich führen, wenn nicht sofort erkannt.

Mehr zum Thema DDoS und dessen Zusammenhang mit Cloud-Diensten finden Sie in unserem Beitrag zu DDoS-Angriffen auf Schweizer KMU.

Schutzmassnahme: Implementieren Sie Cloud-Kostenüberwachung mit Alerting bei ungewöhnlichen Ausgaben. Aktivieren Sie Ressourcen-Limits. Überprüfen Sie regelmässig aktive Cloud-Ressourcen auf unbekannte oder nicht autorisierte Instanzen.

Cloud-Sicherheit für Schweizer KMU: Checkliste

Eine Kurzcheckliste der wichtigsten Massnahmen:

Identität und Zugang:

  • MFA für alle Cloud-Accounts aktiviert
  • Least-Privilege-Prinzip umgesetzt
  • Nicht mehr benötigte Accounts deaktiviert
  • Regelmässige Zugriffsrechte-Review durchgeführt

Daten und Datenschutz:

  • Verschlüsselung aktiviert (at rest und in transit)
  • nDSG-konformer Auftragsverarbeitungsvertrag vorhanden
  • Backup-Strategie für Cloud-Daten implementiert
  • Datenlokalität bekannt und dokumentiert

Netzwerk und Konfiguration:

  • CSPM-Tool aktiviert und konfiguriert
  • Keine öffentlich zugänglichen Datenspeicher ohne Autorisierung
  • Netzwerksicherheitsgruppen restriktiv konfiguriert
  • Alle nicht benötigten Dienste deaktiviert

Überwachung und Reaktion:

  • Cloud-Logging aktiviert und zentralisiert
  • Anomalie-Alerting konfiguriert
  • Incident Response Plan für Cloud-Vorfälle vorhanden
  • Regelmässige Sicherheitsüberprüfungen durchgeführt

Eine umfassendere Sicherheitscheckliste finden Sie in unserem Beitrag Cybersecurity-Checkliste für KMU.

Schweizer Cloud-Anbieter: Datensouveränität als Argument

Für viele Schweizer KMU ist die Frage der Datensouveränität ein wichtiges Entscheidungskriterium bei der Cloud-Auswahl. Schweizer Cloud-Anbieter bieten spezifische Vorteile:

Exoscale (Swiss Cloud): Schweizer Cloud-Infrastruktur mit Rechenzentren in Genf und Wien. GDPR- und nDSG-konform, kein US CLOUD Act-Risiko.

cloudscale.ch: Rein schweizerischer Cloud-Anbieter mit Rechenzentren in Zürich und Luzern. ISO 27001 zertifiziert.

Infomaniak: Westschweizer Anbieter mit starkem Fokus auf Datenschutz und Nachhaltigkeit. Europäische Infrastruktur, kein US-Bezug.

Nine (Switzerland): Managed Hosting und Cloud-Dienste mit Fokus auf Geschäftskunden und compliance-sensitive Branchen.

Für Unternehmen in regulierten Branchen — insbesondere im Finanzsektor — können Schweizer oder EU-basierte Cloud-Anbieter nicht nur aus Datenschutzgründen, sondern auch aufgrund regulatorischer Anforderungen verpflichtend sein. Details dazu in unserem Beitrag zur Cybersecurity im Finanzsektor Schweiz.

“Die Frage ist nicht, ob die Cloud sicher ist. Die Frage ist, ob Ihr Unternehmen die Cloud sicher nutzt. Viele KMU migrieren in die Cloud ohne die notwendigen Sicherheitsmassnahmen anzupassen — und wundern sich, wenn es zu Vorfällen kommt.”

— Cloud Security Expertin, ISACA Switzerland Chapter

Red Teaming für Cloud-Sicherheit

Klassische Sicherheitsüberprüfungen testen oft nur On-Premises-Systeme oder einzelne Anwendungen. Cloud-Umgebungen erfordern einen spezifischen Testansatz.

Cloud Penetration Testing ist ein Teilbereich des Red Teamings, der sich auf Cloud-Infrastrukturen konzentriert. Es unterscheidet sich wesentlich vom klassischen Penetrationstest, wie unser Vergleich Red Teaming vs. Penetrationstest zeigt.

Ein Cloud-Red-Team-Engagement umfasst typischerweise:

Cloud Configuration Review: Systematische Überprüfung aller Cloud-Konfigurationen auf Schwachstellen — insbesondere Fehlkonfigurationen, die zu ungewolltem Datenzugriff führen könnten.

IAM-Privilege-Escalation: Das Red Team versucht, mit einem Niedrigrechtekonto administrative Rechte zu erlangen — eine häufig unterschätzte Angriffstechnik.

Lateral Movement in der Cloud: Kann ein Angreifer, der einen Cloud-Dienst kompromittiert hat, auf andere Dienste und Ressourcen zugreifen?

Data Exfiltration Testing: Wie einfach ist es, grosse Datenmengen aus Ihren Cloud-Umgebungen zu exfiltrieren — und wird es bemerkt?

API Security Testing: Systematischer Test aller exponierten APIs auf Authentifizierungs- und Autorisierungsschwachstellen.

Mehr zum Ablauf eines solchen Engagements erklärt unser Leitfaden Was ist Red Teaming?.

“Cloud-Sicherheitstests zeigen regelmässig dasselbe Muster: Einmal drin, bewegt man sich fast ungehindert — weil Netzwerksegmentierung und Monitoring in Cloud-Umgebungen noch nicht mit dem Tempo der Cloud-Adoption mitgewachsen sind.”

— Red Team Lead, Schweizer Cybersecurity-Unternehmen

Fazit

Cloud-Dienste bieten Schweizer KMU enorme Vorteile: Skalierbarkeit, Flexibilität, niedrigere IT-Kosten und Zugang zu Enterprise-Grade-Technologie. Aber diese Vorteile kommen mit spezifischen Sicherheitsrisiken, die viele Unternehmen unterschätzen.

Die zehn grössten Cloud-Security-Risiken — von Fehlkonfigurationen über unzureichendes IAM bis hin zu Compliance-Problemen — lassen sich mit den richtigen Massnahmen erheblich reduzieren. Der Schlüssel ist ein systematischer, mehrschichtiger Ansatz: Technische Schutzmassnahmen, kontinuierliches Monitoring, regelmässige Sicherheitsüberprüfungen und Mitarbeiter-Sensibilisierung.

Die Frage ist nicht, ob Ihre Cloud-Umgebung Sicherheitslücken hat — sie hat sie. Die Frage ist, ob Sie sie finden, bevor ein Angreifer es tut.

Wie sicher sind Ihre Cloud-Umgebungen wirklich? Ein professionelles Red Teaming deckt Fehlkonfigurationen, IAM-Schwachstellen und Angriffsvektoren auf, die automatische Scanner übersehen — und zeigt, welche Massnahmen den grössten Sicherheitsgewinn bringen. Fordern Sie jetzt eine unverbindliche Erstberatung an.

Quellen

  1. Verizon DBIR 2024 – 68% aller Datenpannen beinhalten ein menschliches Element
  2. Gartner: Why Cloud Security Is Everyone’s Business – 99% der Cloud-Sicherheitsvorfälle durch Kundenfehler bis 2025