Die klassische Firewall versagt bei Cloud-Diensten. Identity & Access Management wird zur wichtigsten Sicherheitsebene und ist einfacher umzusetzen, als du denkst.
Es ist Freitagabend, 18:30 Uhr. Dein IT-Verantwortlicher ruft an: „Unser Microsoft-365-Tenant wurde übernommen. Alle Daten sind weg.“ Was ist passiert? Ein Ex-Praktikant, dessen Zugang niemand deaktiviert hatte, nutzte ein altes Passwort, das er noch kannte. Kein MFA, keine Beschränkung, volles Admin-Recht. Binnen einer Stunde waren alle Daten gelöscht.
Das klingt dramatisch – und ist leider realistisch. Die gute Nachricht: Mit strukturiertem Zugriffsmanagement wäre das nicht passiert. Die Cloud verändert, wie wir über Sicherheit denken müssen. Und nein, dafür brauchst du kein IT-Security-Studium.
Früher war die Sache klar: Alle wichtigen Daten lagen im eigenen Rechenzentrum, die Firewall stand am Netzwerkrand und entschied, wer rein durfte und wer nicht. Fertig. Sicher.
Heute liegen deine Daten bei Microsoft, Google, Dropbox, Slack, Asana und in zwanzig weiteren Cloud-Diensten, die dein Team täglich nutzt. Deine Firewall sieht davon nichts. Sie kann auch nichts dagegen tun. Der klassische „Perimeter“ – die Verteidigungslinie um dein Netzwerk – existiert schlicht nicht mehr.
Das Problem: Dein Mitarbeitender sitzt im Café in Lissabon, loggt sich mit dem Handy in Microsoft 365 ein und greift auf alle Unternehmensdaten zu. Deine Firewall weiß davon nichts. Die einzige Verteidigungslinie ist jetzt: Ist das wirklich er? Darf er das? Wie stellen wir das sicher?
Die Cloud hat die Spielregeln geändert. Sicherheit beginnt nicht mehr am Netzwerkrand – sondern bei der Frage: Wer darf eigentlich was?
Wenn die klassische Firewall nicht mehr hilft, was dann? Die Antwort heißt Identity & Access Management (IAM). Das klingt kompliziert, ist aber im Kern simpel: Du steuerst zentral, wer auf welche Ressourcen zugreifen darf. Nicht mehr das Netzwerk ist die Verteidigungslinie – sondern die Identität jedes einzelnen Nutzers.
Das Prinzip nennt sich Zero Trust: „Vertraue niemandem, verifiziere immer“ – selbst intern. Konkret bedeutet das drei Dinge:
Erstens: Least Privilege – jeder bekommt nur die Rechte, die er wirklich braucht. Deine Marketing-Mitarbeiterin braucht keine Admin-Rechte auf die Finanzsysteme. Dein Werkstudent braucht keinen Vollzugriff auf alle Kundendaten. Klingt selbstverständlich, wird aber in der Praxis selten konsequent umgesetzt.
Zweitens: Just-in-Time-Access – Admin-Rechte nicht dauerhaft vergeben, sondern nur bei Bedarf. Wenn dein IT-Verantwortlicher etwas einrichten muss, bekommt er für zwei Stunden Admin-Zugang. Danach ist Schluss. Das reduziert das Risiko massiv.
Drittens: Continuous Verification – selbst wenn jemand eingeloggt ist, wird laufend geprüft: Passt das Verhalten? Greift die Person plötzlich von einem ungewöhnlichen Ort zu? Lädt sie ungewöhnlich viele Daten herunter? Moderne Systeme erkennen solche Anomalien automatisch.
Der praktische Nutzen für dich: Du hast endlich Klarheit. Keine Admin-Rechte-Wildwuchs mehr. Strukturiertes Onboarding und Offboarding. Klare Verantwortlichkeiten. Und du schläfst ruhiger, weil du weißt: Selbst wenn ein Passwort kompromittiert wird, kommt niemand weit.
Bevor wir zu den Lösungen kommen, lass uns ehrlich sein: Die meisten KMU haben strukturelle Probleme beim Zugriffsmanagement. Drei davon kommen immer wieder vor – und alle drei sind gefährlich.
Jemand verlässt das Unternehmen. HR kümmert sich um die Abwicklung, die IT bekommt vielleicht Bescheid, dass der Laptop zurückgegeben werden soll. Aber die zwanzig Cloud-Dienste, die die Person genutzt hat? Vergessen. Die Zugänge bleiben aktiv – manchmal Monate oder Jahre.
Das Risiko: Ein frustrierter Ex-Mitarbeitender könnte auf Unternehmensdaten zugreifen, vertrauliche Informationen weitergeben oder im schlimmsten Fall aktiv Schaden anrichten. Und selbst wenn die Person kein böser Wille treibt: Ihr Account ist ein offenes Einfallstor für Angreifer.
„Ist halt praktisch“, „sonst muss ich jedes Mal helfen“ – so argumentieren viele IT-Verantwortliche. Das Ergebnis: Das halbe Team hat Admin-Rechte, obwohl es die im Alltag nie benötigt. Der Marketing-Manager kann theoretisch die gesamte Cloud-Infrastruktur löschen. Die Praktikantin könnte alle Sicherheitseinstellungen ändern.
Das Risiko: Ein einziges kompromittiertes Passwort bedeutet volle Kontrolle über alles. Ransomware-Gangs lieben solche Situationen – sie brauchen nur einen erfolgreichen Phishing-Angriff, und schon haben sie die Schlüssel zum Königreich.
„Wir nutzen alle das gleiche Passwort für Tool X“ – ein Satz, den du als Geschäftsführer nie hören willst, aber trotzdem erstaunlich oft hörst. Manchmal werden Passwörter per E-Mail verschickt, in Slack-Nachrichten geteilt oder auf Post-its neben den Monitor geklebt.
Das Risiko: keine Nachvollziehbarkeit. Du weißt nicht, wer wann was gemacht hat. Bei einem Sicherheitsvorfall kannst du nicht rekonstruieren, was vorgefallen ist. Und wenn ein geteiltes Passwort kompromittiert wird, musst du es überall ändern – und allen Beteiligten mitteilen.
Genug Probleme aufgezählt. Lass uns konkret werden. Was kannst du tun – heute, ohne Budget, ohne IT-Studium?
Das ist die wichtigste Einzelmaßnahme für Cloud-Security. Multi-Faktor-Authentifizierung bedeutet: Passwort allein reicht nicht. Du brauchst zusätzlich einen zweiten Faktor – meist einen Code aus einer Authenticator-App oder eine Push-Benachrichtigung auf dem Handy.
Warum das so wichtig ist: Selbst wenn ein Passwort gestohlen wird (durch Phishing, Datenlecks oder schlichte Rateversuche), kann niemand auf den Account zugreifen ohne den zweiten Faktor. Studien zeigen: MFA stoppt über 99 % aller automatisierten Angriffe.
Wo du anfangen solltest:
Aufwand: 10 Minuten pro Tool. Ernsthafte Sicherheitssteigerung: riesig.
→ Mehr zu verschiedenen Authentifizierungsmethoden erfährst du in unserem Wissensartikel zu Authentifizierungsmethoden im Überblick.
Schluss mit „Passwort123!“ und Post-its. Ein Passwort-Manager generiert für jeden Dienst ein einzigartiges, starkes Passwort und speichert es verschlüsselt. Du musst dir nur noch ein Master-Passwort merken.
Was dir das bringt:
Empfehlung: 1Password (für Teams perfekt) oder Bitwarden (Open Source, kostengünstig). Beide haben Business-Tarife mit zentraler Verwaltung und einer guten Sicherheitsbilanz.
Wichtig: Führe den Passwort-Manager nicht „nebenbei“ ein, sondern mit klarem Commitment. Das Team muss mitmachen – sonst entstehen Schattenlösungen.
Geh durch deine Cloud-Dienste und prüf ehrlich: Wer hat eigentlich Admin-Rechte? Und wer braucht sie wirklich?
Faustregel: Maximal 2–3 Personen im Unternehmen sollten Admin-Zugang haben. Alle anderen arbeiten mit Standard-Nutzerrechten. Klingt restriktiv? Ist es auch – und genau das ist der Punkt.
So gehst du vor:
Für Notfälle: Richte „Break-Glass-Accounts“ ein – Notfall-Zugänge mit Admin-Rechten, die nur im absoluten Ausnahmefall genutzt werden. Diese Accounts werden überwacht und jede Nutzung wird geloggt.
Einmal aufräumen reicht nicht. Du brauchst einen wiederkehrenden Prozess.
Quartalsweise Zugriffs-Review:
Erstelle eine Checkliste:
Mach jemanden verantwortlich: Idealerweise deine IT-Leitung oder, falls vorhanden, deinen Datenschutzbeauftragten. Wichtig ist: Es passiert regelmäßig, nicht „wenn wir mal Zeit haben“.
ChatGPT, Claude, Copilot – dein Team nutzt AI-Tools. Wahrscheinlich mehr, als du denkst. Und das ist erst der Anfang. Das Problem: Viele dieser Tools laufen außerhalb deiner Kontrolle. Mitarbeitende laden Kundenlisten hoch, fügen vertrauliche Dokumente ein oder teilen sensible Unternehmensinformationen – ohne zu wissen, dass das DSGVO-kritisch sein kann.
Warum das relevant ist: AI-Tools sind Cloud-Dienste wie alle anderen auch. Aber sie haben eine Besonderheit: Sie verarbeiten Daten, lernen daraus und geben sie möglicherweise weiter. Einige Anbieter nutzen Eingaben für das Training ihrer Modelle. Andere speichern Chatverläufe länger, als dir lieb ist.
Was das für dein Zugriffsmanagement bedeutet:
Erstens: Du musst wissen, welche AI-Tools dein Team nutzt. Eine Schatten-IT mit AI-Diensten ist gefährlicher als eine Schatten-IT mit Projektmanagement-Tools. Nutze dein Identity-Management, um zu sehen: Welche Tools werden verwendet? Wer hat Zugang? Sind es die offiziellen Business-Accounts oder private Accounts, die „nebenbei“ genutzt werden?
Zweitens: Definiere klare Regeln. Nicht „AI ist verboten“ – das funktioniert nicht und ist auch kontraproduktiv. Sondern: „Diese AI-Tools sind erlaubt, diese nicht. Diese Daten dürfen verarbeitet werden, diese nicht.“ Und dann setz das durch – mit technischen Mitteln, nicht nur mit Policies.
Drittens: Nutze AI-Tools mit eingebauten Sicherheitsmechanismen. Microsoft Copilot for Business, Google Gemini Enterprise, Claude for Work – alle großen Anbieter haben mittlerweile Business-Tarife, die DSGVO-konform sind, keine Daten für Training nutzen und klare Datenlöschungsregeln haben.
Ein praktisches Beispiel: Dein Marketing-Team nutzt ein externes AI-Tool und lädt Kundenlisten hoch, um personalisierte E-Mail-Kampagnen zu erstellen. Ohne zentrale Kontrolle merkst du das nicht. Mit Identity Management siehst du: Da läuft ein Tool, das wir nicht kennen. Du kannst reagieren, bevor ein Datenschutzproblem entsteht.
Fassen wir zusammen: Die Firewall-Denke funktioniert in der Cloud nicht mehr. Deine Daten liegen nicht mehr hinter einem kontrollierten Netzwerkrand, sondern verteilt über Dutzende Cloud-Dienste. Die wichtigste Sicherheitsebene ist deshalb nicht mehr das Netzwerk – sondern die Identität jedes einzelnen Nutzers.
Die gute Nachricht: Identity & Access Management klingt kompliziert, ist aber im Kern simpel. Es beginnt mit vier Schritten, die du heute umsetzen kannst:
Der praktische Nutzen ist nicht „Compliance“ oder „weil ISO 27001 das fordert“ – sondern Klarheit, Effizienz und Kontrolle. Du weißt, wer auf was zugreifen kann. Du kannst neue Mitarbeitende strukturiert onboarden und ehemalige sauber offboarden. Du schläfst ruhiger, weil du weißt: Selbst wenn ein Passwort kompromittiert wird, kommt niemand weit.
Und nebenbei erfüllst du auch Anforderungen aus ISO 27001 (Kontrolle A.9 – Zugriffssteuerung), NIS2 (Identity & Access Management) und TISAX. Aber das ist nicht der Hauptgrund. Der Hauptgrund ist: Cloud-Security beginnt nicht mit einem teuren SIEM-System oder einem Security-Operations-Center. Sie beginnt mit der simplen Frage: Wer darf eigentlich was – und warum?
Möchtest du das Thema für dein Unternehmen konkret durchdenken? In einem ersten Strategiegespräch schauen wir gemeinsam, wo du stehst und was als Nächstes sinnvoll ist. Hier kannst du einen Termin vereinbaren.
