Cloud Computing Grundlagen mit KI
5/8
Lektion 5 12 Min.

Cloud-Sicherheit und DSGVO

Cloud-Sicherheit verstehen: IAM, Least Privilege, Verschluesselung, Zero Trust — plus DSGVO-konforme Cloud-Nutzung und die haeufigsten Sicherheitsfehler.

🔄 Quick Recall: In der vorherigen Lektion hast du dein erstes Cloud-Deployment gemacht — Billing-Alerts eingerichtet, Free Tiers kennengelernt und KI als Cloud-Tutor entdeckt. Jetzt geht es um das Thema, das deutsche Unternehmen am meisten beschaeftigt: Sicherheit und Datenschutz.

Die haeufigsten Cloud-Sicherheitsprobleme

Die groessten Sicherheitsrisiken in der Cloud sind nicht technisch — sie sind menschlich:

FehlerWie es passiertKonsequenz
Oeffentlicher SpeicherS3-Bucket oder Blob Storage versehentlich auf „oeffentlich" gestelltKundendaten fuer jeden im Internet sichtbar
Zugangsdaten im CodeAWS-Keys oder Passwoerter direkt im Quellcode gespeichertAutomatisierte Bots scannen GitHub und missbrauchen die Keys innerhalb von Minuten
Zu viele Rechte„Admin fuer alle, dann laeuft es"Ein kompromittierter Account kann das gesamte System zerstoeren
Keine MFAMulti-Faktor-Authentifizierung nicht aktiviertEin gestohlenes Passwort reicht fuer vollen Zugang
Vergessene RessourcenTest-Server, die monatelang weiterlaufenKosten und potenzielle Angriffsflaeche

99% der Cloud-Sicherheitsvorfaelle gehen auf Fehlkonfigurationen zurueck — nicht auf raffinierte Hacker-Angriffe.

IAM: Wer darf was?

Identity and Access Management (IAM) ist das Herzsstueck der Cloud-Sicherheit. Es beantwortet drei Fragen:

  1. Wer bist du? (Authentifizierung — Login)
  2. Was darfst du? (Autorisierung — Berechtigungen)
  3. Was hast du getan? (Audit — Protokollierung)

Das Least-Privilege-Prinzip

Jeder Nutzer und jeder Dienst bekommt nur die minimalen Rechte, die fuer die konkrete Aufgabe noetig sind.

Schlecht: „Max braucht Zugang zur Cloud → Max bekommt Admin-Rechte" Gut: „Max muss Berichte in den Berichts-Bucket hochladen → Max bekommt Schreibzugriff nur auf den Berichts-Bucket"

KI-Prompt fuer IAM-Konfiguration:

„Erstelle eine IAM-Policy fuer [AWS/Azure/Google Cloud], die einem Nutzer erlaubt, Dateien in den Bucket ‘berichte-2026’ hochzuladen und zu lesen, aber nicht zu loeschen und keinen Zugriff auf andere Buckets hat. Erklaere jede Zeile der Policy."

Quick Check: Was bedeutet „Least Privilege" in einfachen Worten? (Antwort: Jeder bekommt nur die Rechte, die er fuer seine konkrete Aufgabe braucht — und nicht einen Rechte-Zugang mehr. Wie ein Hotelzimmer-Schluessel: Er oeffnet dein Zimmer, aber nicht alle anderen.)

Verschluesselung: Daten schuetzen

Verschluesselung schuetzt Daten an zwei Stellen:

TypWas es schuetztBeispiel
At Rest (ruhend)Gespeicherte DatenDateien im S3-Bucket sind verschluesselt — selbst bei physischem Diebstahl der Festplatte unlesbar
In Transit (unterwegs)Daten waehrend der UebertragungHTTPS verschluesselt die Verbindung zwischen Browser und Cloud-Server

Customer-Managed Keys (CMK): Du verwaltest den Verschluesselungsschluessel selbst. Vorteil: Selbst der Cloud-Anbieter kann deine Daten nicht entschluesseln. Besonders relevant fuer DSGVO-sensible Daten.

DSGVO und Cloud: Was du wissen musst

Die DSGVO ist der Grund, warum Cloud-Nutzung in Deutschland anders aussieht als in den USA. Drei Kernpunkte:

1. Datenresidenz

Personenbezogene Daten sollten in Europa verarbeitet werden. Alle grossen Anbieter haben Rechenzentren in Frankfurt und anderen EU-Standorten. Du musst aktiv die richtige Region waehlen.

2. Auftragsverarbeitung (AVV)

Wenn ein Cloud-Anbieter deine Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag. AWS, Azure und Google Cloud bieten Standard-AVVs an — aber du musst sie pruefen und akzeptieren.

3. US-CLOUD-Act vs. DSGVO

Der Konflikt: US-Behoerden koennen von US-Unternehmen (AWS, Azure, Google) Herausgabe von Daten verlangen — auch wenn die Daten in Europa liegen. Loesungsansaetze:

  • Verschluesselung mit CMK: Anbieter kann die Daten nicht entschluesseln
  • European Sovereign Cloud: Physisch und logisch getrennte Infrastruktur, nur europaeisches Personal
  • Europaeische Anbieter: IONOS, T-Systems, Hetzner unterliegen nicht dem CLOUD Act

KI-Prompt fuer DSGVO-Check:

„Pruefe mein Cloud-Setup auf DSGVO-Konformitaet: Ich nutze [Anbieter] in der Region [Region] fuer [Art der Daten]. Welche DSGVO-Anforderungen muss ich erfuellen? Gibt es Risiken durch den US-CLOUD-Act? Was sollte ich aendern?"

Quick Check: Was ist der Hauptkonflikt zwischen DSGVO und US-CLOUD-Act? (Antwort: Die DSGVO verbietet die Weitergabe personenbezogener Daten ausserhalb der EU ohne Rechtsgrundlage. Der US-CLOUD-Act erlaubt US-Behoerden, von US-Unternehmen Daten zu verlangen — auch aus EU-Rechenzentren. Verschluesselung mit eigenen Schluesseln ist der gaengigste Loesungsansatz.)

Zero Trust: Vertraue niemandem

Das alte Sicherheitsmodell: Innerhalb der Firmenfirewall ist sicher, ausserhalb ist gefaehrlich.

Das Problem: In der Cloud gibt es kein „innerhalb." Mitarbeiter arbeiten von ueberall, Dienste kommunizieren ueber das Internet, und eine einzige kompromittierte Identitaet kann alles erreichen.

Zero Trust loest das: Jeder Zugriff wird einzeln geprueft — egal woher er kommt.

PruefenWas wird verifiziert
IdentitaetBist du wirklich Max? (MFA, Biometrie)
GeraetIst dein Laptop aktuell und sicher?
KontextZugriff um 3 Uhr morgens aus einem fremden Land? Verdaechtig.
BerechtigungDarfst du auf DIESE Ressource zugreifen?

Key Takeaways

  • 99% der Cloud-Sicherheitsvorfaelle entstehen durch Fehlkonfigurationen, nicht durch Hacker — oeffentliche Buckets, zu viele Rechte, fehlende MFA
  • Least Privilege: Jeder Nutzer bekommt nur die minimalen Rechte fuer seine konkrete Aufgabe
  • Verschluesselung schuetzt Daten at rest (gespeichert) und in transit (uebertragen) — Customer-Managed Keys geben dir die volle Kontrolle
  • DSGVO erfordert Datenresidenz in Europa, AVV mit dem Anbieter und Loesungen fuer den US-CLOUD-Act-Konflikt
  • Zero Trust ersetzt die alte Firewall-Mentalitaet: Jeder Zugriff wird einzeln geprueft, egal ob aus dem Buero oder von unterwegs

Up Next

In der naechsten Lektion geht es ums Geld: Cloud-Kostenmanagement und FinOps. Du lernst, warum 30% der Cloud-Ausgaben verschwendet werden — und wie du das vermeidest.

Wissenscheck

1. Ein neuer Mitarbeiter braucht Zugriff auf einen Cloud-Speicher, um Berichte hochzuladen. Welche IAM-Konfiguration ist richtig?

2. Dein Unternehmen will Kundendaten in AWS speichern, aber die Rechtsabteilung hat DSGVO-Bedenken wegen des US-CLOUD-Acts. Welche Loesung adressiert das Problem?

3. Welches Sicherheitskonzept geht davon aus, dass KEIN Nutzer und KEIN Geraet automatisch vertrauenswuerdig ist — auch nicht innerhalb des Firmennetzwerks?

Beantworte alle Fragen zum Prüfen

Erst das Quiz oben abschließen

Passende Skills

AI Basics Explainer