Auf der anderen Seite gibt es auch Standards, nach denen ein Cloud-Anbieter seine Cloud-Infrastruktur aufbauen soll. Diese Standards sind die Grundlage für Zertifizierungen, mit denen ein gewisser Grad an Sicherheit gegenüber Cloud-Nutzern nachgewiesen werden können.
Ein Beispiel für einen solchen Standard für Cloud-Anbieter ist der BSI-Kriterienkatalog Cloud Computing C5, der die Mindestanforderungen für einen sicheren Betrieb weiter spezifiziert. Er umfasst verschiedene Bereiche, darunter Datenschutz, Datensicherheit, Compliance, Verfügbarkeit, Integrität und Transparenz. Cloud-Nutzer wie Organisationen der öffentlichen Verwaltung können wiederum von einem solchen Standard bewährte Kriterien ableiten, um geeignete Anbieter zu finden, Dienste richtig zu konfigurieren und Sicherheitsmaßnahmen umzusetzen.
Nicht zuletzt beinhaltet auch die Datenschutz-Grundverordnung (DSGVO) der EU viele wichtige Prinzipien, die dabei helfen, eine Cloud-Umgebung sicherer zu gestalten. Von Zugriffskontrollen über Verschlüsselung bis hin zur Minimierung von Daten zahlen die meisten Vorgaben klar auf den Schutz der Infrastrukturen ein. Hierbei müssen sowohl Cloud-Nutzer als auch Cloud-Anbieter sich ihrer jeweiligen Verantwortung bewusst sein und entsprechende Maßnahmen umsetzen.
Datenkontrolle erhöhen
Weil Standards allein nicht genügen, um Risiken im Kontext der Cloud-Transformation vollständig zu mitigieren, müssen Organisationen der öffentlichen Verwaltung eine Reihe von Anforderungen mitdenken. Besonders wichtig: ein ganzheitliches Informationssicherheitsmanagementsystem (ISMS). Damit können Unternehmen die Sicherheit ihrer Cloud-Infrastruktur verbessern, indem sie klare Richtlinien und -verfahren festlegen, Risiken proaktiv identifizieren und behandeln sowie angemessene Sicherheitsmaßnahmen implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten in der Cloud zu gewährleisten.
Zugleich gilt es von Anfang an, ein hohes Maß an Souveränität im Zusammenhang mit der Cloud zu wahren. Das spielt eine entscheidende Rolle, um die volle Kontrolle über die Daten zu behalten – unabhängig von ihrem Standort oder dem Cloud-Anbieter. Für Unternehmen bedeutet Cloud-Souveränität, dass sie flexibel entscheiden können, wo und wie sie ihre Daten speichern, verarbeiten und verwalten. Dies ermöglicht es ihnen, ihre Datenstrategie entsprechend ihren spezifischen Bedürfnissen anzupassen und ihre Datenschutz- und Compliance-Anforderungen zu erfüllen. Um die Vorgaben aus der DSGVO auch in der Cloud einzuhalten, müssen Organisationen zudem auch ihr Datenschutzkonzept entsprechend ausrichten.
Systemhärtung im Fokus
Um die Cloud-Transformation im Sinne der geschilderten Standards und Anforderungen umzusetzen, braucht es eine Reihe konkreter Maßnahmen. Zentral dafür ist ein Sicherheitskonzept, das die Schutzmaßnahmen für Daten und Systeme in der Cloud definiert und gemäß relevanten Standards wie dem BSI-IT-Grundschutz aufgebaut ist. Mit einem Härtungsleitfaden, der einzelne Maßnahmen des Sicherheitskonzeptes konkretisiert und auf spezifische Konfigurationen abzielt, stellen Organisationen zudem sicher, dass ihre Cloud-Infrastruktur entsprechend der besten Sicherheitspraktiken konfiguriert ist. Dieser Leitfaden definiert spezifische Maßnahmen zur Absicherung von Cloud-Ressourcen, einschließlich Netzwerkkonfigurationen, Zugriffskontrollen, Patch-Management und Logging. Damit können Organisationen sicherstellen, dass ihre Infrastruktur gegen bekannte Schwachstellen und Angriffsvektoren geschützt ist. Die Vorgaben für die Härtung bilden eine wichtige Ergänzung zum Sicherheitskonzept und unterstützen Unternehmen dabei, die Sicherheit ihrer Cloud-Umgebung kontinuierlich zu verbessern.
Wie die Härtung im Detail gelingt, ist wiederum stark von der bevorzugten Cloud-Architektur abhängig. Während Unternehmen mit einer souveränen Cloud die volle Kontrolle über Daten, Funktionen und Ressourcen behalten, sind die Möglichkeit der Konfiguration bei Public-Cloud-Modellen deutlich eingeschränkter. Bestimmte Funktionalitäten zwecks Härtung einzuschränken, ist dort nicht immer möglich. Mittelwege bieten Private-Cloud-Lösungen oder die hybride Kombination verschiedener Modelle.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Vertrauen stärken
Um die Sicherheit und Compliance von Cloud-Umgebungen in der öffentlichen Verwaltung sicherzustellen, sollten Organisationen im ersten Schritt ein Multi-Compliance-Management-System aufbauen. Das hilft nicht nur dabei, Vorgaben und Anforderungen richtig umzusetzen und zu steuern, sondern auch, eine enge Verbindung mit bestehenden Systemen wie dem ISMS zu gewährleisten. Zusätzlich können Check- und Mängellisten für verschiedene Standards und Anforderungen als nützliche Werkzeuge dienen, um sicherzustellen, dass keine wesentlichen Aspekte übersehen werden.
Greifen sämtliche Maßnahmen wirksam ineinander, können öffentliche Organisationen und Unternehmen von den Vorteilen der Cloud profitieren, ohne neue Risiken einzugehen. Damit stärken sie nicht zuletzt auch das Vertrauen der Bürger:innen in die Transformation des öffentlichen Sektors – neben den digitalen Fähigkeiten ebenfalls ein wichtiger Faktor, um im zunehmenden Standortwettbewerb die Nase vorne zu haben.
Die Autoren
Aleksei Resetko und André Glenzer, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland.
:quality(80)/p7i.vogel.de/wcms/98/87/988732bee4abe6b030e7bf5032466063/0129321130v1.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/09/d709274b4d04d731d9eeff36717a7481/0129059328v2.jpeg "Oliver Lehner, stellvertretender Leiter der IT-Abteilung in der Stadtverwaltung Schwäbisch Gmünd. (Bild: © Stadtverwaltung Schwäbisch Gmünd)")
:quality(80)/p7i.vogel.de/wcms/a6/14/a6144da5d2add93ce08bf89eb83f768f/0129185103v2.jpeg "Schon vor dem hessenweiten Handyverbot gab es klare Regeln – viele Schülerinnen und Schüler nahmen ihr Handy trotzdem mit in die Schule. (Bild: © Drazen – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/64/d06462771f7723c7b1142d6edf71947e/0129303818v2.jpeg "(v. r.) Jutta Horstmann (Co-CEO Heinlein Gruppe), Dr. Dirk Gernhardt (OS- Beauftragter der Stadt München), Dr. Martin Hagen (Staatssekretär Finanzen Bremen), Felix Kronlage (Sovereign Cloud Stack) und Leonhard Kugler (ZenDiS & openCode) tauschten sich zu „Anforderungen an den Deutschland-Stack“ aus – moderiert von Ann Cathrin Riedel (NExT e. V.). (Bild: Christian Augustin)")
:quality(80)/p7i.vogel.de/wcms/db/21/db212fe29bdc3f7282eef666d310c607/0129318820v1.jpeg "World Government Summit 2026: Bundesdigitalminister Dr. Karsten Wildberger nimmt die Auszeichnung für den Einsatz von KI in der Verwaltung stellvertretend für Deutschland entgegen. (Bild: © Woithe)")
:quality(80)/p7i.vogel.de/wcms/96/f9/96f97508883e030cac8f2a3827040b3d/0129108367v3.jpeg "Start-ups haben immer noch den Nimbus, chaotisch und chronisch unterfinanziert zu sein. Insbesondere im Public Sector könnte dies nicht weiter von der Realität entfernt liegen. Aufgrund cleverer Ideen sind GovTech-Start-ups für externe Investoren durchaus interessant. (Bild: © Vasyl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/be/49bece5be9ab23d2562a68946cbf2829/0129124933v2.jpeg "KI-Systeme gelten gemäß NIS-2-Richtlinie oft als kritische Infrastruktur. Secure-by-Design hilft, diese Anforderungen praktisch umzusetzen. (© Maxim - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/c9/a8c959f32cc4ebba6cf1531d77785a4b/0129094039v2.jpeg "Start-ups als Impulsgeber treffen oft auf geringe Fehlertoleranz und hohe Risikoaversion. (Bild: © ANMZAKARIA – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/d5/60d512f641b780e22bf926fa7b7e9662/0129092381v2.jpeg "Bereits im vergangenen Jahr waren bekannte Speaker vertreten. CPT bietet neben dem Bühnenprogramm auch eine Plattform für Austausch und Networking. (Bild: © FTAPI)")
:quality(80)/p7i.vogel.de/wcms/71/ae/71aeab856e1def738378eb2203cf1a03/0129192734v2.jpeg "Mönchengladbach arbeitet als Modellkommune an mehreren Smart-City-Projekten, darunter urbane Datenplattformen, eine Smart-City-App, LoRaWAN und Mobility-as-a-Service. Einige dieser Lösungen wurden im vergangenen Jahr auf der SCS vorgestellt. (Bild: © Katrin Chodor)")
:quality(80)/p7i.vogel.de/wcms/e3/df/e3df2d6cab8d3fea553fa397b6d73d8a/0129271243v2.jpeg "(v. l.) Peter Janze, Felix Appel, Lisa Froschhammer, Lena Elgert, Lena Krampitz, Viola Borsche, Jana Janze. (Bild: Public Sector and Friends)")
:quality(80)/p7i.vogel.de/wcms/47/cf/47cf85cb05c20ffc5f8bdb06e18f96f1/0128870274v1.jpeg "(Bild: Auvaria)")
:quality(80)/p7i.vogel.de/wcms/a4/ed/a4edd26c3f9be221cda55c459182f3e2/0129236742v2.jpeg "(Bild: Moritz Leick, Stadt Essen)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/9c/679c90e925450/materna-square-logo-rgb.jpeg "materna-square-logo-rgb (www.materna.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/fe/67fe4f075bc20/logo-ibykus-ag.png "logo-ibykus-ag (IBYKUS AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/ab/66ab44afc2a68/secunet-logo-rgb-schwarzrot-100mm.jpeg "secunet-logo-rgb-schwarzrot-100mm (secunet Security Networks AG)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bd/0c/bd0cd9248bc72abf089255188b9e7db2/0118762988v2.jpeg "Flexibel und skalierbar – auch für die Öffentliche Hand bietet der Umstieg auf Cloud-Dienste einige Vorteile. (Bild: Photobank – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/52/4e5203251db3821ae1005fb7342199cb/0119155069v2.jpeg "Souveräne Cloud-Lösungen sind ein wichtiger Schritt zur Wahrung nationaler Interessen. (© Aliaksandr Marko – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/0e/190ead19debd6c1edb9859b5b075ed17/0122921440v2.jpeg "GenAI kann die spezifischen lokalen Gegebenheiten berücksichtigen, Sicherheitsrisiken der einzelnen Hard- und Softwarelösungen bewerten und Vorlagen für darauf abgestimmte Sicherheitskonzepte erstellen. (©KOTL - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/61/4b6128445cc51b2cd6dc24bc016a4c8e/0124125671v2.jpeg "Das C5-Testat ist für die öffentliche Hand eine wichtige Orientierung, um Cloud-Dienste sicher und rechtskonform einzusetzen. (Bild: Dall-E / KI-generiert)")