Cloud-Sicherheit im Mittelstand: Microsoft 365, Google Workspace & Co. richtig absichern

Veröffentlicht am 25. July 2025

Cloud-Sicherheit im Mittelstand: Microsoft 365, Google Workspace & Co. richtig absichern

Cloud-Dienste im Mittelstand – Wie sicher ist Microsoft 365, Google Workspace & Co.?

Cloud-Dienste wie Microsoft 365, Google Workspace oder Nextcloud sind aus der heutigen Arbeitswelt kaum noch wegzudenken. Auch kleine und mittlere Unternehmen (KMU) setzen verstärkt auf cloudbasierte Lösungen, um E-Mails, Dokumente, Kalender und Teamarbeit effizient zu organisieren. Doch mit der zunehmenden Nutzung wächst auch die Verantwortung – denn die Cloud ist kein rechtsfreier Raum. Die zentrale Frage lautet: Wie sicher sind diese Dienste wirklich – besonders für mittelständische Unternehmen mit begrenztem IT-Budget?

In diesem Artikel werfen wir einen detaillierten Blick auf die Sicherheits- und Datenschutzaspekte gängiger Cloud-Plattformen. Wir analysieren Schwachstellen, erläutern notwendige Konfigurationen, geben Handlungsempfehlungen für KMU und zeigen, warum der erste Schritt zu mehr Sicherheit oft ein externer CyberRisikoCheck ist – ganz ohne Panikmache, aber mit klarem Blick auf das Machbare.

1. Warum KMU auf Cloud-Dienste setzen – und warum das nicht risikofrei ist

Der Reiz der Cloud ist nachvollziehbar: keine eigene Server-Infrastruktur, skalierbare Nutzung, monatliche Abrechnung statt hoher Investitionskosten. Besonders Microsoft 365 und Google Workspace bieten alles, was KMU brauchen: E-Mail, Dateiablage, Zusammenarbeit in Echtzeit, Videokonferenzen und Zugriff von überall.

Laut Bitkom Cloud-Monitor 2024 nutzen bereits 85 % der deutschen Unternehmen Cloud-Dienste – bei KMU liegt die Quote bei rund 74 %. Doch diese Zahl darf nicht darüber hinwegtäuschen, dass viele Unternehmen die Sicherheitskonfigurationen nicht voll ausschöpfen. Oft wird „einfach gestartet“ – und genau darin liegt die Gefahr.

Viele Cloud-Anbieter bieten hervorragende Sicherheitsfunktionen – aber sie sind nicht immer standardmäßig aktiviert. Ohne gezielte Einstellungen können Angreifer mit wenig Aufwand Schwachstellen ausnutzen – und das sogar völlig automatisiert.

2. Microsoft 365 im Mittelstand – ein Alleskönner mit Tücken

Microsoft 365 (früher Office 365) ist der Platzhirsch unter den Business-Clouds. Word, Excel, Outlook, Teams und OneDrive – alles ist nahtlos integriert. Die Benutzerfreundlichkeit ist hoch, der Funktionsumfang beeindruckend.

Doch gerade weil Microsoft 365 so populär ist, gehört es auch zu den am häufigsten angegriffenen Plattformen. Laut Microsoft selbst erkennen ihre Systeme täglich über 100 Millionen Phishing-Versuche gegen M365-Konten weltweit (Microsoft Security Blog).

Typische Sicherheitsprobleme in KMU:

  • Kein aktiviertes Multi-Faktor-Login
  • Freigabe sensibler Dateien via OneDrive ohne Zugriffsbeschränkung
  • Unverschlüsselte E-Mail-Kommunikation
  • Unkontrollierte App-Zugriffe auf Benutzerkonten
  • Keine Protokollierung oder Alarmierung bei verdächtigen Anmeldungen

Best Practice für KMU:

  • 2FA verpflichtend aktivieren (z. B. über Authenticator-App)
  • Conditional Access-Regeln einrichten (Standort, Gerätetyp, Uhrzeit)
  • Sensibilisierung für MFA-Bombing und Business-E-Mail-Compromise (BEC)
  • Protokollierung in Microsoft Purview aktivieren
  • Externe Freigaben nur temporär und mit Passwortschutz erlauben

Ein Beispiel aus der Praxis: Ein Berliner Ingenieurbüro mit 20 Mitarbeitenden wurde Opfer einer gefälschten Microsoft-Loginseite. Ursache: fehlende 2FA. Folge: Datenabfluss und eine Woche Betriebsunterbrechung. Erst danach wurden ein MDM-System und Conditional Access eingeführt – mit geringem Aufwand, aber großer Wirkung.

3. Google Workspace – stark in Kollaboration, aber oft zu offen

Google Workspace (ehemals G Suite) ist besonders bei jungen, digitalen Unternehmen beliebt. Die Integration von Google Mail, Drive, Docs und Meet ist intuitiv, plattformübergreifend und flexibel.

Doch auch hier gilt: Die Voreinstellungen sind oft zu offen. Jeder Nutzer kann Ordner oder Dokumente freigeben – auch „öffentlich im Web“, ohne Einschränkung. Die Verwaltung erfolgt über die Admin-Konsole, die bei vielen KMU jedoch gar nicht genutzt wird.

Häufige Schwächen:

  • Keine Begrenzung von Weiterleitungen und Freigaben
  • Fehlende Einschränkungen für Drittanbieter-Apps (z. B. Zapier, Canva)
  • Keine Regeln zur Datenklassifizierung
  • Unklare Zuständigkeit für Adminrolle

Empfohlene Maßnahmen:

  • Rollenbasiertes Admin-Konzept einführen (Superadmin ≠ operativer Admin)
  • Drittanbieter-Zugriffe begrenzen und regelmäßig überprüfen
  • Freigaberichtlinien für sensible Daten definieren
  • Google Vault für Archivierung und eDiscovery aktivieren

In einem realen Fall wurde bei einem Werbeunternehmen mit 12 Mitarbeitenden ein vertrauliches Kundenkonzept versehentlich über einen öffentlichen Drive-Link geteilt – sichtbar für jeden. Ursache: Keine Freigaberichtlinien, fehlende Awareness. Die Folge war ein Vertragsverlust und erheblicher Reputationsschaden.

4. Datenschutz & DSGVO – wo liegen die Cloud-Daten wirklich?

Cloud ist nicht gleich Cloud – besonders beim Thema Datenschutz. Die DSGVO verlangt, dass personenbezogene Daten nur unter bestimmten Bedingungen außerhalb der EU verarbeitet werden dürfen. Microsoft und Google betreiben zwar auch Rechenzentren in Europa, leiten aber Metadaten oder Backup-Kopien teilweise in die USA weiter – je nach Vertrag und Produkt.

Wichtig: Unternehmen sind laut Art. 28 DSGVO verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abzuschließen und den Datenfluss transparent zu dokumentieren.

Fragen, die sich KMU stellen sollten:

  • Ist unser AVV mit Microsoft/Google vollständig und aktuell?
  • Welche Daten verlassen die EU – bewusst oder technisch?
  • Wie dokumentieren wir die Zulässigkeit der Verarbeitung?
  • Wer ist intern für die Datenschutzaufsicht zuständig?

Gerade bei sensiblen Branchen wie Gesundheit, Recht, Technik oder Bildung raten Datenschutzbeauftragte oft zu zusätzlicher Verschlüsselung oder zu europäischen Alternativen wie Nextcloud oder Tutanota.

5. Alternativen zu Big Tech – z. B. Nextcloud, IONOS HiDrive, Open-Xchange

Immer mehr KMU suchen nach datenschutzkonformen Alternativen zu Microsoft & Google. Anbieter wie Nextcloud ermöglichen die vollständige Kontrolle über die eigene Cloud – betrieben auf einem Server in Deutschland oder beim lokalen IT-Dienstleister.

Vorteile von Nextcloud:

  • Datenstandort frei wählbar (z. B. Frankfurt, Nürnberg, lokal)
  • Open Source, auditierbar, modular erweiterbar
  • Starke Datenschutzfunktionen (Ende-zu-Ende-Verschlüsselung, DLP)

Weitere Alternativen:

  • IONOS HiDrive Business: TÜV-zertifizierter Cloudspeicher aus Deutschland
  • Tresorit: Zero-Knowledge-Verschlüsselung, Schweizer Datenschutzrecht
  • Open-Xchange: E-Mail & Groupware aus Europa, z. B. bei Mailbox.org

Nachteile: Weniger Integration mit anderen Tools, teilweise höherer Administrationsaufwand, geringere Bekanntheit. Doch wer auf Datenschutz setzt, sollte diese Optionen prüfen – gerade für interne Daten, Backups oder besonders schützenswerte Inhalte.

6. Was tun bei Cyberangriffen auf Cloud-Konten?

Ein erfolgreicher Angriff auf ein Cloud-Konto kann massive Folgen haben: Datenverlust, Verschlüsselung durch Ransomware, Weiterleitung sensibler Informationen oder Identitätsdiebstahl. Besonders perfide sind Angriffe über kompromittierte OAuth-Tokens oder verknüpfte Apps.

Notfallmaßnahmen:

  • Sofortiger Entzug von Tokens & aktiven Sessions
  • Passwort zurücksetzen und 2FA erzwingen
  • Überprüfung der Freigaben (OneDrive/Drive)
  • Audit-Logs analysieren (Microsoft Purview / Google Admin)

Danach sollte eine umfassende Sicherheitsanalyse erfolgen – idealerweise mit Unterstützung eines externen IT-Sicherheitspartners.

7. Der CyberRisikoCheck – Einstieg in die Cloud-Sicherheitsstrategie

Viele KMU setzen Cloud-Dienste ein, ohne ein wirkliches Sicherheitskonzept zu haben. Hier hilft der CyberRisikoCheck – ein strukturierter Sicherheits- und Compliance-Check, der speziell auf die Situation mittelständischer Unternehmen zugeschnitten ist.

Was wird geprüft?

  • Aktuelle Cloud-Nutzung (M365, GWS, Nextcloud etc.)
  • Sicherheitskonfigurationen & Schwachstellen
  • DSGVO-Konformität (AVV, Datenstandorte, Zugriff)
  • Zugriffsrechte, Admin-Rollen, MFA
  • Verwendete Drittanbieter & Risiken (OAuth)

Vorteile:

  • Klares Bild der IST-Situation
  • Konkrete Empfehlungen – priorisiert & umsetzbar
  • Verständlich für Nicht-Techniker:innen
  • Schnelle Umsetzung – auch ohne internes IT-Team

Praxisbeispiel: Ein mittelständischer Fachverlag nutzte Google Workspace mit 37 Nutzerkonten. Der CyberRisikoCheck zeigte: 22 Konten hatten keine 2FA, 7 Nutzer waren „Super Admin“. Eine Stunde später war die neue Admin-Policy aktiv, 2FA verpflichtend und sensible Daten verschlüsselt. Der Aufwand war gering, der Sicherheitsgewinn enorm.

Fazit: Cloud-Sicherheit braucht Aufmerksamkeit, kein Bauchgefühl

Cloud-Dienste sind mächtige Werkzeuge – aber auch komplexe Systeme mit vielen Konfigurationsmöglichkeiten. Wer als KMU die Vorteile nutzen will, muss auch die Risiken kennen – und aktiv steuern. Sicherheitsfunktionen wie 2FA, Protokollierung, rollenbasierte Zugriffe oder Auftragsverarbeitungsverträge sind kein Luxus, sondern Standard.

Ob Microsoft 365, Google Workspace oder Nextcloud: Die Cloud kann sicher sein, wenn man weiß, wo man hinschauen muss. Ein strukturierter CyberRisikoCheck hilft dabei, Schwachstellen zu erkennen und klare Maßnahmen zu ergreifen – ohne Panik, aber mit System. So wird die Cloud vom Risiko zur echten Chance.

Mit einem fundierten Cloud-Sicherheitskonzept und einem gezielten CyberRisikoCheck wird Dein Unternehmen in die Lage versetzt, sicher, effizient und datenschutzkonform mit Cloud-Diensten zu arbeiten – auch ohne eigene IT-Abteilung.

📞 Telefon: +49 (0)30 7478 1308
📩 E-Mail: info@itsupport.onl

← Zurück zur Übersicht