Willkommen in Woche 1 unseres Sommer-Sprints. Wir beginnen mit dem Schritt, der allen anderen vorausgeht: Sie können nichts schützen, von dessen Existenz Sie nichts wissen. Deshalb steht am Anfang das Cloud-Inventar.
Warum das der erste Schritt sein muss
Fragt man in einem mittelständischen Unternehmen, welche Cloud-Dienste im Einsatz sind, lautet die Antwort meist: „Microsoft 365 und unser CRM.” Die Realität sieht regelmäßig anders aus. Eine Marketing-Abteilung nutzt ein Canva-Abo, die Buchhaltung ein Cloud-Tool für Belege, ein Projektteam hat sich spontan ein Trello-Board angelegt, und irgendwo läuft noch ein Dropbox-Ordner aus dem Jahr 2019. Diese Schatten-IT ist nicht böswillig — sie entsteht, weil Menschen ihre Arbeit erledigen wollen. Aber sie ist unsichtbar, und Unsichtbares lässt sich nicht absichern.
Der C5:2026-Katalog beginnt nicht ohne Grund mit Themen wie Asset- und Konfigurationsmanagement: Ein vollständiges Verzeichnis der eingesetzten Dienste ist die Grundlage jeder weiteren Maßnahme.
So machen Sie mit
Nehmen Sie sich eine Tabelle (Excel, Google Sheets, egal) und legen Sie diese Spalten an:
- Dienst (z. B. Microsoft 365, DATEV Unternehmen online, Slack)
- Zweck (wofür wird er genutzt?)
- Verantwortliche Person / Abteilung
- Welche Daten liegen dort? (öffentlich, intern, personenbezogen, vertraulich)
- Wer hat Zugriff? (grob: nur intern / auch externe Partner)
- Zahlungsweg (Firmenvertrag, Kreditkarte, kostenlos)
So kommen Sie an die Einträge:
- Werten Sie die Kreditkarten- und Rechnungsbelege der letzten 12 Monate auf wiederkehrende Abos aus.
- Fragen Sie in jeder Abteilung kurz nach: „Welche Online-Tools nutzt ihr?” — ohne erhobenen Zeigefinger.
- Schauen Sie in die Anmelde-Protokolle Ihres zentralen Logins (Microsoft Entra, Google Workspace), falls Single Sign-on genutzt wird.
- Prüfen Sie den Browser-Verlauf bzw. die Lesezeichen typischer Arbeitsplätze auf wiederkehrende Login-Seiten.
Stolpersteine
- Vollständigkeit vor Schönheit. Lieber eine grobe, aber komplette Liste als eine perfekte, die die Hälfte vergisst.
- Kein Tribunal. Wenn Mitarbeitende fürchten, für ihre Tools abgestraft zu werden, melden sie nichts. Machen Sie klar: Es geht um Schutz, nicht um Schuld.
- Kostenlose Dienste zählen auch. Gerade Gratis-Tools ohne Vertrag sind oft die größte Lücke — niemand hat je auf die Datenschutzbedingungen geschaut.
Bezug zu C5:2026
Sie bauen hier die Datenbasis für mehrere spätere Quick Wins: Ohne Inventar können Sie weder Testate einfordern (Woche 4), noch die geteilte Verantwortung dokumentieren (Woche 5), noch Freigaben aufräumen (Woche 7). Diese eine Stunde zahlt sich zehnfach aus.
Fazit
Ein Cloud-Inventar ist unspektakulär — und der wirksamste erste Schritt überhaupt. Am Ende dieser Woche wissen Sie schwarz auf weiß, welche Dienste Ihr Unternehmen nutzt und welche Daten dort liegen. Nächsten Montag sichern wir diese Konten ab: Quick Win 2 macht Multi-Faktor-Authentifizierung zur Pflicht.
Unsicher, wie Sie Schatten-IT systematisch aufspüren? Kontaktieren Sie uns — wir unterstützen Sie bei der Bestandsaufnahme.