← Alle Beiträge
· Claus Lindemann

Sommer-Sprint Cloud-Sicherheit: 10 Quick Wins nach C5:2026 zum Mitmachen

Cloud-ComputingC5CybersicherheitKMUQuick WinsSommer-Sprint

Cloud-Sicherheit klingt nach großem Projekt, dickem Budget und externem Beratungshaus. Muss es aber nicht. Viele der wirksamsten Maßnahmen sind klein, kostenlos und in einer Stunde erledigt — sie werden nur selten angegangen, weil sie im Tagesgeschäft untergehen. Genau hier setzt unser Sommer-Sprint an.

Die Idee: zehn Wochen, zehn Quick Wins

Anfang April 2026 hat das BSI seinen Cloud Computing Compliance Criteria Catalogue in der Version C5:2026 veröffentlicht — 168 Kriterien in 17 Themenbereichen, von Zugriffsmanagement über Lieferkettensicherheit bis Post-Quantum-Kryptografie. Der Katalog richtet sich formal an Cloud-Anbieter, die sich gegen ihn prüfen lassen. Aber er beschreibt für jedes Kriterium auch, welche Verantwortung beim Kunden verbleibt.

Wir übersetzen diese Kunden-Verantwortung in zehn handfeste Schritte. Jeden Montag erscheint ein neuer Quick Win — mit Anleitung, Checkliste und ehrlichem Hinweis auf die typischen Stolpersteine. Sie können mitmachen, ohne ein einziges Werkzeug zu kaufen.

Cloud-Sicherheit folgt dem Prinzip der geteilten Verantwortung: Der Anbieter sichert die Plattform, Sie verantworten Konfiguration, Konten, Daten und Zugriffe. Dieser Sprint kümmert sich um Ihre Hälfte.

Für wen dieser Sprint gedacht ist

Wir richten uns ausdrücklich an Unternehmen, die Cloud-Dienste nutzen — Microsoft 365, Google Workspace, eine Buchhaltung in der Cloud, ein CRM als SaaS, Server bei einem Hyperscaler. Nicht an die Anbieter dieser Dienste. Und wir denken dabei an den Mittelstand: Organisationen ohne eigene Security-Abteilung, in denen IT-Sicherheit oft Nebenaufgabe der Geschäftsführung oder eines einzelnen Admins ist.

Wenn das nach Ihnen klingt, sind Sie hier richtig.

Das sind die zehn Quick Wins

  1. Cloud-Inventar — sichtbar machen, welche Dienste überhaupt im Einsatz sind.
  2. MFA überall — Zwei-Faktor-Schutz für alle Konten aktivieren.
  3. Privilegierte Konten absichern — Administratorrechte auf das Nötige reduzieren.
  4. C5-Testate einfordern — Sicherheitsnachweise der Anbieter prüfen statt glauben.
  5. Geteilte Verantwortung dokumentieren — pro Dienst festhalten, wer was sichert.
  6. Backup & Wiederherstellung — Cloud-Daten sichern und den Notfall einmal proben.
  7. Freigaben aufräumen — offene Sharing-Links und externe Gäste zurückholen.
  8. Logging & Monitoring — Protokolle einschalten, bevor man sie braucht.
  9. Verwaiste Konten — Zugänge ausgeschiedener Personen konsequent schließen.
  10. Notfallplan — wissen, wen man wann anruft, wenn es brennt.

So machen Sie mit

  • Blocken Sie sich jede Woche eine Stunde. Ein Quick Win pro Woche, nicht alle auf einmal.
  • Holen Sie eine zweite Person dazu. Vier Augen finden mehr — und Wissen verteilt sich.
  • Dokumentieren Sie, was Sie tun. Eine schlichte Tabelle reicht; am Ende des Sommers haben Sie eine echte Bestandsaufnahme.
  • Feiern Sie kleine Fortschritte. Jeder geschlossene Zugang, jede aktivierte MFA ist ein realer Sicherheitsgewinn.

Fazit

Zehn Wochen, zehn Schritte, kein Großprojekt. Am Ende dieses Sommers haben Sie Ihre Cloud-Landschaft besser im Griff als die meisten vergleichbaren Unternehmen — und eine Dokumentation, die bei der nächsten Auditfrage, der Cyberversicherung oder einem ISO-27001-Vorhaben Gold wert ist. Nächsten Montag geht es los mit Quick Win 1: dem Cloud-Inventar.

Sie möchten den Sommer-Sprint mit fachlicher Begleitung gehen? Kontaktieren Sie uns für eine unverbindliche Ersteinschätzung Ihrer Cloud-Landschaft.

Haben Sie Fragen zu diesem Thema?

Kontakt aufnehmen