Cloud-Si­cher­heit mit ISO 27001

Wie verbreitet ist Cloud-Computing in deutschen Unternehmen?

Laut Bitkom „Cloud Report 2025“ (11. Juni 2025) nutzen inzwischen 90 Prozent der Unternehmen in Deutschland Cloud-Anwendungen, im Jahr zuvor waren es noch 81 Prozent. Weitere 10 Prozent planen den Einsatz oder diskutieren darüber, sodass Cloud-Computing inzwischen für praktisch alle Unternehmen ein Thema ist.

Cloud-Computing ist für Unternehmen längst zur zentralen Infrastruktur geworden. Gleichzeitig ist die Cloud für viele Unternehmen geschäftskritisch geworden: 62 Prozent der Unternehmen würden ohne Cloud-Dienste nicht mehr arbeitsfähig sein. Parallel wächst die Sorge über internationale Abhängigkeiten: 78 Prozent der Unternehmen sehen Deutschland als zu abhängig von US-Cloud-Anbietern, während 82 Prozent sich starke Hyperscaler aus Deutschland oder Europa wünschen.

Ohne angemessene Maßnahmen zur Steigerung der Sicherheit in der Cloud sind Unternehmen bei der Verwaltung ihrer Kundendaten erheblichen Sicherheitsrisiken ausgesetzt, und das erst einmal ganz unabhängig vom nationalen oder internationalen Speicherort. Mögliche Sicherheitsmaßnahmen beschreibt das Control 5.23 „Informationssicherheit für die Nutzung von Cloud-Diensten“ in ISO 27001, der bekannten Norm für Informationssicherheitsmanagement.

Was genau umfasst diese Sicherheitsmaßnahme und welche Aspekte müssen für die erfolgreiche (Re-)Zertifizierung beachtet werden?

Warum ist Cloud-Sicherheit wichtig?

Cloud-Sicherheit ist wichtig, weil immer mehr geschäftskritische Daten, Anwendungen und Prozesse in der Cloud betrieben werden. Sicherheitslücken oder Schwachstellen dort können zu erheblichem Datenverlust, Betriebsunterbrechungen, Compliance-Verstößen und erheblichen finanziellen sowie reputativen Schäden führen.

Von Private bis Public Cloud, ob IaaS, PaaS oder SaaS: Cloud-Strukturen und Cloud-Dienste bestimmen weite Teile der heutigen Informations- und Kommunikationstechnologien (IKT) von Unternehmen, Organisationen oder Behörden. Cloud Computing ist längst Realität geworden und es verändert grundlegend die Art und Weise, wie IT-Dienste erbracht und genutzt werden.

Die Sicherheitsrisiken, die mit der zunehmenden Nutzung einhergehen, sind jedoch vielschichtig und begrenzen sich nicht nur auf die organisierte Kriminalität. Auch unzureichendes Identity & Access Management sowie Fehlkonfigurationen oder die versehentliche Offenlegung von Cloud-Daten durch eigene Mitarbeitende gehören zu den größten Bedrohungen der Cloud Sicherheit im Unternehmen.

Zudem kann ein Mangel an Sicherheit die Verfügbarkeit von Diensten beeinträchtigen und die Compliance mit verschiedenen Vorschriften und Standards gefährden, die den Schutz von kunden- und personenbezogenen Daten vorschreiben. Diese Bedrohungslage veranlasste die ISO (Internationale Organisation für Normung) und die IEC (Internationale Elektrotechnische Kommission) dazu, die Informationssicherheit für die Nutzung von Cloud-Diensten in der überarbeiteten ISO 27001:2022 als separaten Punkt aufzulisten.

Wie kann man Cloud-Sicherheit verbessern?

Control 5.23 fördert Sicherheitslösungen und stärkt die Cloud-Sicherheit, indem es klare Regeln und Prozesse für Auswahl, Nutzung und Steuerung von Cloud-Diensten definiert und so Risiken systematisch reduziert und wirksame Sicherheitslösungen bedient.

Die präventive Sicherheitsmaßnahme dient der Informationssicherheit bei der Nutzung von Cloud-Diensten. Sie unterstützt – in Übereinstimmung mit den jeweiligen Sicherheitsanforderungen einer Organisation – bei der systematischen Festlegung der Prozesse für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg. Angesichts der Vielfalt der angebotenen Services verlangt das neue Control 5.23 im Anhang A von ISO 27001 die Einhaltung eines „themenspezifischen Ansatzes“.

Dies soll Unternehmen ermutigen, auf einzelne Geschäftsfunktionen zugeschnittene Cloud-Service-Richtlinien zu erstellen. Im Vergleich zu einer pauschalen Richtlinie, die auf breiter Front für die sichere Nutzung von Cloud-Diensten gilt, können Compliance-Anforderungen so wesentlich feingranularer adressiert werden.

Die Informationssicherheit für die Nutzung von Cloud-Diensten ist in dieser Cloud-spezifischen Form eine Maßnahme im Anhang A der aktuellen ISO 27001:2022. In der vorherigen Version aus dem Jahr 2013 waren Cloud-Dienste allgemein im Bereich der Lieferantenbeziehungen angesiedelt.

Durch die steigende Verwendung und die enormen Weiterentwicklungen im Cloud-Bereich ist es sinnvoll, Cloud Services mit einer eigenständigen Informationssicherheitsmaßnahme systematisch abzusichern und Systeme zu schützen. Dennoch sollte das Control A.5.23 eng mit den Maßnahmen A.5.21 und A.5.22 abgestimmt werden, die sich mit der Informationssicherheit in der IKT-Lieferkette und dem Management von Lieferantendienstleistungen befassen.

Wie wird Control 5.23 zur Erhöhung der Cloud Security umgesetzt?

Sie Sicherheitsmaßnahme 5.23 wird umgesetzt, indem Unternehmen klare Anforderungen, Rollen, Verantwortlichkeiten und Prozesse für Auswahl, Nutzung, Überwachung und Ausstieg aus Cloud-Diensten definieren und diese mit den Sicherheitsmaßnahmen der Cloud-Anbieter abstimmen.

Mit Blick auf die Informationssicherheit müssen Unternehmen für die Umsetzung des Controls 5.23 eine Reihe von Aspekten definieren. Dazu gehören alle relevanten Anforderungen, die Auswahlkriterien und Anwendungsbereiche, die mit der Nutzung eines Cloud-Dienstes verbunden sind. Eine detaillierte Beschreibung der Rollen und relevanten Verantwortlichkeiten bestimmt, wie diese Dienste innerhalb einer Organisation genutzt und verwaltet werden.

Auf externer Seite ist dies mit dem Service-Provider abzustimmen:

• Welche Informationssicherheitsmaßnahmen verwaltet der Dienstleister?
• Welche fallen in den Zuständigkeitsbereich des eigenen Unternehmens?

Auch gilt es zu klären, wie die vom Anbieter bereitgestellten Security-Maßnahmen zur Verfügung gestellt, ideal genutzt und vertrauenswürdig überprüft werden können. Insbesondere bei der Nutzung mehrerer Cloud-Dienste unterschiedlicher Anbieter unterstützen fest definierte Prozesse bei der Handhabung von Steuerungen, Schnittstellen und Änderungen der Dienste und ergo Minimierung von Schwachstellen und Bedrohungen.

Aufgrund der multiplen Sicherheitsrisiken, denen Unternehmen heutzutage ausgesetzt sind, können Sicherheitsvorfälle jedoch nie gänzlich ausgeschlossen werden. In solchen Fällen helfen Service-spezifische Incident-Management-Verfahren, um bestmöglich mit der Herausforderung umzugehen.

Zur Verwaltung derartiger Risiken müssen Cloud-Dienste gemäß der aktuellen ISO 27001 per systematisch festgelegtem Ansatz überwacht, überprüft und bewertet werden. Darüber hinaus enthält die Norm die Anforderung, dass Prozesse für die Änderung oder Einstellung der Nutzung eines Dienstes festgelegt werden müssen. Diese müssen auch explizite Ausstiegsstrategien für Cloud Services enthalten.

Cloud-Sicherheit: Welche Bedeutung haben vertragliche Sicherheitsaspekte?

Vertragliche Sicherheitsaspekte sind bei Cloud-Diensten entscheidend, weil sie verbindlich festlegen, wie Vertraulichkeit, Integrität und Verfügbarkeit von Informationen geschützt werden, welche Sicherheitsmaßnahmen der Anbieter erbringt und wie Themen wie Datenstandorte, Vorfälle, Unterauftragnehmer und ein sicherer Ausstieg geregelt sind.

Die vertragliche Ausgestaltung von Cloud-Diensten sind also für das Kundenunternehmen essenziell, um wichtige Rahmenparameter festzuhalten und rechtlich abzusichern. Cloud-Service-Vereinbarungen sind jedoch oft vordefiniert und nicht verhandelbar. Vor diesem Hintergrund sollten Unternehmen diesen Vereinbarungen besondere Beachtung schenken und sie genau unter die Lupe nehmen. So stellen sie sicher, dass die wesentlichen betrieblichen Anforderungen an die Schutzziele der Informationssicherheit "Vertraulichkeit, Integrität, Verfügbarkeit" und die Informationsverarbeitung erfüllt werden.

Um dies zu gewähren, sollte ein Cloud-Dienst Lösungen bereitstellen, die auf branchenweit anerkannten Normen für Architektur und Infrastruktur basieren. Er sollte über Zugangssteuerungen verfügen, die den Sicherheitsanforderungen entsprechen und Lösungen zur Überwachung und zum Schutz vor Schadsoftware enthalten. Es gilt vertraglich festzuhalten, dass Verarbeitung und Speicherung sensibler Informationen nur an zugelassenen Orten beziehungsweise innerhalb einer bestimmten Gerichtsbarkeit erlaubt ist. Dies ist zum Beispiel bei kritischen Infrastrukturen wichtig.

Umgang mit Sicherheitsvorfällen und Dienstleistern

Der Dienstleister muss gezielte Unterstützung im Falle eines Sicherheitsvorfalls in der Cloud-Dienstumgebung leisten und generelle Unterstützung bei der Sammlung digitaler Beweise bieten. Auch bei der Weitergabe eines Dienstes an externe Dienstleister müssen die Sicherheitsanforderungen erfüllt werden.

Ausstieg und Änderungen im Cloud-Service

Möchte ein Unternehmen einen Dienst verlassen, sollte sich der Provider für einen angemessenen Zeitraum weiterhin zu Support und Service-Verfügbarkeit bekennen. Daher muss er auch Sicherungskopien von Daten und Konfigurationsinformationen bereitstellen und diese gegebenenfalls sicher verwalten. Informationen wie Konfigurationsdateien, Quellcode und sensible Daten, die Eigentum der Organisation sind, müssen bei Anforderung bereitgestellt oder bei Dienstbeendigung zurückgegeben werden.

Ein Cloud-Dienstleistungskunde sollte im Einklang mit seinen eigenen Sicherheitsanforderungen berücksichtigen, ob die Vereinbarung eine Informationspflicht beinhalten sollte, sofern ein Cloud-Anbieter wesentliche Änderungen vornimmt. Dazu gehören:

• Änderungen an der technischen Infrastruktur, die sich auf das Dienstleistungsangebot auswirken
• Verarbeitung oder Speicherung von Informationen in einem neuen, geografischen oder rechtlichen Zuständigkeitsbereich
• Nutzung oder Wechsel von Peer-Cloud-Dienstleistern oder anderen Unterauftragnehmern

Exkurs: Cybersicherheit in der Verantwortung des Geschäftsführers

Mit dem Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes (NIS2UmsuCG) wird die europäische NIS-2-Richtlinie in nationales Recht überführt und der regulatorische Rahmen für Cybersicherheit deutlich verschärft. Die neuen Anforderungen erweitern den Kreis der betroffenen Organisationen erheblich. Sie verpflichten zahlreiche Unternehmen und Einrichtungen zu strukturierten Maßnahmen zur Sicherstellung der Informationssicherheit, zum Management von Cyberrisiken sowie zu klar definierten Meldepflichten bei Sicherheitsvorfällen.

Ein zentrales Element der NIS2-Regulierung ist die klare Verantwortung der obersten Leitung für Cybersicherheit. Geschäftsführung und Vorstand müssen sicherstellen, dass geeignete Maßnahmen zum Management von Cyberrisiken implementiert und wirksam überwacht werden. Cybersicherheit wird damit ausdrücklich zur Führungsaufgabe: Die Unternehmensleitung trägt die Verantwortung für die Einhaltung der gesetzlichen Anforderungen und für eine angemessene organisatorische Verankerung der Informationssicherheit im Unternehmen.

Welchen Nutzen hat Control 5.23 für Unternehmen? Ein Fazit.

Die neue ISO 27001:2022 schließt mit A.5.23 eine zentrale Sicherheitslücke in modernen Cloud-Umgebungen. Sie bietet damit Organisationen ein strukturiertes Rahmenwerk, um Cloud-Dienste systematisch abzusichern, Compliance zu gewährleisten und die Zusammenarbeit mit Cloud-Anbietern sicher zu steuern.

Mit dieser neuen Sicherheitsmaßnahme schließen ISO und IEC eine wichtige Lücke im Schutz moderner ITK-Architekturen und sensiblen Daten von Unternehmen, Organisationen und Behörden. Mit ihr trägt die Informationssicherheitsnorm ISO 27001 als weltweit gesetzter Standard nun auch zur konsistenten, systematischen Cloud-Sicherheit bei.

Unabhängig davon, ob Ihr Unternehmen in einer öffentlichen Cloud, privaten Cloud oder hybriden Cloud-Umgebung agiert, sind Lösungen für Cloud Security und bewährte Methoden hinsichtlich der Informationssicherheit unerlässlich. Nur so lässt sich die Geschäftskontinuität und Compliance gewährleisten. Gerade in Zeiten von Fachkräftemangel und dezentralen Unternehmensnetzwerken wird die Datensicherheit in der Cloud in den kommenden Jahren weiter an Bedeutung zunehmen.

Mit dem neuen Control 5.23 aus dem Anhang A bekommen Anwender von Cloud-Diensten ein Rahmenwerk an die Hand. Sie können damit ihre bisherigen Informationssicherheitsmaßnahmen auf den Prüfstand stellen und im Bedarfsfall nachjustieren.

Neben einer Vielzahl grundlegender organisatorischer Anforderungen, unterstreicht die neue Sicherheitsmaßnahme auch die Bedeutung einer engen Zusammenarbeit mit dem Cloud Service Provider, um den gegenseitigen Informationsaustausch stets aufrecht zu erhalten. Dies fördert wechselseitige Mechanismen, um festgelegte Dienstmerkmale zu überwachen und Verstöße gegen die vereinbarten Pflichten zu erkennen und melden zu können.

Geballtes Audit-Know-how: Ihre DQS

Die DQS wurde im Jahr 1985 als erste Zertifizierungsgesellschaft Deutschlands gegründet. Seit dieser Zeit zählen wir zu den führenden Audit- und Zertifizierungsexperten weltweit. Die Gründungsgesellschafter DGQ (Deutsche Gesellschaft für Qualität e. V.) und DIN (Deutsches Institut für Normung e. V.) sind wichtige Partner für die Aus- und Weiterbildung sowie die Normungsarbeit. So arbeiten wir aktiv für unsere Kunden in Ausschüssen und Gremien mit und bringen unser Expertenwissen in unsere Audits mit ein. Dabei beginnt unser Anspruch dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort!

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, freuen wir uns auf Ihre Kontaktaufnahme.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.