Skip to main content
Security · Verschlüsselung · Monitoring

BEKOM CLOUDCloud Security für den MittelstandVerschlüsselung, Zugang und Monitoring

BEKOM Cloud schützt Ihre Daten durch Verschlüsselung, dedizierte Zugangskontrolle und durchgehendes Monitoring – in deutschen Rechenzentren.

Vorgehensweise ansehen
Verschlüsselung
Zugangskontrolle
Durchgehendes Monitoring
ISO 27001 zertifiziert
Cloud SecuritySicherheitskonzept im DetailBetriebssicherheit der PlattformBEKOM-Ansatz und KostenstrukturHäufige Fragen
Cloud Security

Cloud Security in der BEKOM Cloud

Wenn mittelständische Unternehmen IT-Systeme in eine Cloud-Umgebung verlagern, wird die Sicherheitsarchitektur zu einer zentralen Bewertungsgrundlage. Verschlüsselung, Zugangskontrolle und Monitoring müssen dokumentiert, nachvollziehbar und auditierbar sein – nicht als nachträgliche Ergänzung, sondern als struktureller Bestandteil der Plattform. Im Rahmen von BEKOM Cloud für den Mittelstand ist die Sicherheitsarchitektur entlang dieser Anforderungen aufgebaut. Die strategischen Grundlagen für die Cloud-Entscheidung beschreibt Cloud-Strategie & Souveränität.

Eine unzureichende Cloud Security Architecture gefährdet geschäftskritische Auftragsverarbeitung und kann regulatorische Compliance-Verstöße auslösen. Verfügbare und auditfähige Sicherheitskontrollen sind operative Betriebsvoraussetzung für standortübergreifende Geschäftsprozesse.

Sicherheitsprinzipien und Architektur-Ansatz

BEKOM Cloud basiert auf einem Zero-Trust-Ansatz: Jeder Zugriff auf Ressourcen wird unabhängig vom Netzwerkstandort authentifiziert und autorisiert. Es gibt kein implizites Vertrauen innerhalb des Netzwerks – weder für Benutzer noch für Systeme oder Dienste. Jede Anfrage durchläuft eine Authentifizierung, eine Autorisierungsprüfung und eine Protokollierung.

Architekturprinzipien:

  • Mandantentrennung auf Hardware-Ebene: Dedizierte Compute- und Storage-Ressourcen pro Kunde – keine geteilten Hypervisoren oder Speichersysteme
  • Netzwerksegmentierung: Mikrosegmentierung auf Anwendungsebene, Trennung von Management- und Produktiv-Netzwerk, dedizierte VLANs pro Kundensystem
  • Minimalprinzip (Least Privilege): Zugriffsrechte werden auf das erforderliche Minimum beschränkt und regelmäßig überprüft
  • Defense in Depth: Mehrere unabhängige Sicherheitsebenen – Netzwerk, System, Anwendung und Daten – schützen jeweils eigenständig

Diese Prinzipien gelten für die gesamte Plattform und werden durch technische Kontrollen durchgesetzt, nicht nur durch organisatorische Richtlinien. Die Umsetzung ist in den technisch-organisatorischen Maßnahmen (TOM) dokumentiert und Bestandteil des Audit-Pakets.

Zertifizierungen und Nachweisrahmen

BEKOM nutzt zertifizierte deutsche Rechenzentren und arbeitet auf Service-Ebene mit dokumentierten Prozessen. Die Nachweise sind nach Trägerschaft getrennt – physische Infrastruktur beim Rechenzentrumsbetreiber, Vertrags- und Prozess-Ebene bei BEKOM. Beide Ebenen vereinfachen die Compliance-Dokumentation der Kunden.

Bestätigungen des Rechenzentrumsbetreibers:

  • ISO 27001: Informationssicherheits-Managementsystem für die physische Infrastruktur, jährliche Überwachungsaudits
  • BSI IT-Grundschutz: Umsetzung der BSI-Anforderungen mit dokumentiertem Maßnahmenkatalog
  • TÜV-Prüfbericht: Unabhängige Prüfung der Rechenzentrums-Infrastruktur (physische Sicherheit, Stromversorgung, Klimatisierung)

Nachweise auf BEKOM-Service-Ebene:

  • AVV mit dokumentierten TOM, abgestimmt auf den jeweiligen Service
  • Sub-Auftragsverarbeiter-Liste mit deutscher Verortung
  • Change- und Audit-Logs mit nachvollziehbaren Zugriffs- und Änderungshistorien

Die Zertifikate des Rechenzentrumsbetreibers und die Service-Ebene-Nachweise stehen Kunden für ihre eigene Compliance-Dokumentation zur Verfügung. Details zur vollständigen Compliance-Nachweisführung beschreibt der Compliance-Leitfaden.

Sicherheitskonzept

Sicherheitskonzept im Detail

Die Sicherheitsarchitektur der BEKOM Cloud umfasst drei Kernbereiche: Verschlüsselung auf Transport- und Speicherebene, dedizierte Zugangskontrolle und durchgehendes Monitoring. Jeder Bereich wird durch technische Kontrollen durchgesetzt und dokumentiert.

Verschlüsselung: Transport, Speicher und Schlüsselmanagement

Verschlüsselung schützt Daten in drei Zuständen: bei der Übertragung (Transport), bei der Speicherung (Data at Rest) und während der Verarbeitung. BEKOM Cloud setzt Verschlüsselung auf allen drei Ebenen als Standard um – nicht als optionale Ergänzung.

Transportverschlüsselung:

TLS 1.3 für alle externen Verbindungen – ältere Protokollversionen sind deaktiviert

Verschlüsselte Verbindungen zwischen internen Systemen (Ost-West-Verkehr) innerhalb der Kundenumgebung

Zertifikatsmanagement mit automatischer Erneuerung und Überwachung der Gültigkeitszeiträume

Speicherverschlüsselung:

  • AES-256-Verschlüsselung für alle persistenten Datenträger – Betriebssystem-Volumes, Datenbank-Storage und Backup-Targets
  • Verschlüsselung auf Volume-Ebene, unabhängig von der Anwendung – keine Konfiguration durch den Kunden erforderlich
  • Separate Verschlüsselungsschlüssel pro Kundenumgebung – keine geteilten Schlüssel zwischen Mandanten

Identity und Access Management

Identity und Access Management (IAM) regelt, wer auf welche Ressourcen zugreifen darf und wie diese Zugriffe authentifiziert, autorisiert und protokolliert werden. BEKOM Cloud setzt ein mehrstufiges IAM-Konzept um, das sowohl technische Accounts als auch Benutzerkonten einschließt.

Authentifizierung:

Multi-Faktor-Authentifizierung (MFA) als Standard für alle administrativen Zugriffe auf die Kundenumgebung

Integration bestehender Verzeichnisdienste (Active Directory, LDAP) über standardisierte Protokolle (SAML, OIDC)

Separate administrative Accounts für den BEKOM-Betrieb – keine geteilten Zugangsdaten zwischen Kunden- und Betriebsteam

Autorisierung:

  • Rollenbasierte Zugriffskontrolle (RBAC): Berechtigungen werden nicht an Einzelpersonen, sondern an definierte Rollen vergeben
  • Minimalprinzip: Jede Rolle erhält nur die Berechtigungen, die für die jeweilige Aufgabe erforderlich sind
  • Regelmäßige Berechtigungsreviews: Zugriffsrechte werden in vereinbarten Intervallen überprüft und bereinigt

Monitoring und Bedrohungserkennung

Durchgehendes Monitoring bildet die Grundlage für die Erkennung von Anomalien, Fehlerzuständen und potenziellen Bedrohungen. BEKOM überwacht die Kundenumgebungen auf Infrastruktur-, Netzwerk- und Anwendungsebene.

Infrastruktur-Monitoring:

Überwachung aller Compute-, Storage- und Netzwerk-Ressourcen: Auslastung, Verfügbarkeit, Fehlerraten und Latenz

Automatische Alerting-Regeln bei Schwellenwertüberschreitungen – BEKOM-Spezialisten analysieren Alerts und leiten Maßnahmen ein

Kapazitätstrends werden ausgewertet und proaktiv kommuniziert

Netzwerk-Monitoring:

  • Überwachung des Netzwerkverkehrs auf Anomalien: Ungewöhnliche Datenflüsse, Port-Scans, Verbindungsversuche aus unbekannten Quellen
  • Firewall-Logs und Intrusion-Detection-Meldungen werden korreliert und bewertet
  • Netzwerksegmentierung wird kontinuierlich validiert – Regeländerungen erfordern dokumentierte Change-Requests
Sicherheitskonzept

Betriebssicherheit der Plattform

Neben den architekturellen Sicherheitsmaßnahmen schützt BEKOM Cloud die Kundenumgebungen durch automatisierte Betriebsprozesse auf Plattformebene. Diese Maßnahmen greifen unabhängig davon, ob der Kunde zusätzlich einen Security-Betrieb (SOC/SIEM) über BEKOM MANAGED Security nutzt.

Automatisches Patch-Management

BEKOM hält die Plattform-Komponenten der Kundenumgebungen aktuell: Hypervisoren, Betriebssysteme, Firmware und Systemsoftware werden nach definierten Zyklen gepatcht. Security-relevante Patches werden priorisiert und außerhalb der regulären Zyklen eingespielt.

Patch-Prozess:

Reguläre Patches: Betriebssystem- und Firmware-Updates nach abgestimmten Wartungsfenstern – vorab geprüft in einer Testumgebung

Security-Patches: Kritische Schwachstellen (CVSS 9.0+) werden beschleunigt behandelt – Bewertung, Test und Einspielen nach dokumentiertem Emergency-Change-Prozess

Dokumentation: Jeder Patch-Vorgang wird protokolliert – eingespielte Versionen, Zeitpunkt, betroffene Systeme und Validierungsergebnis

Kommunikation: Geplante Wartungsfenster werden vorab kommuniziert, ungeplante Security-Patches mit Begründung und Auswirkungsanalyse

Das Patch-Management betrifft die Plattform-Schicht. Anwendungs-Updates in den Kundenumgebungen werden separat koordiniert und im Service-Design-Dokument geregelt.

Netzwerk-Isolation und Firewalling

Die BEKOM Cloud trennt Kundenumgebungen auf Netzwerkebene durch dedizierte VLANs, Mikrosegmentierung und eine mehrstufige Firewall-Architektur. Die Netzwerk-Isolation ist ein struktureller Bestandteil der Plattform – nicht eine nachträglich konfigurierte Option.

Isolationsmaßnahmen:

Dedizierte VLANs: Jede Kundenumgebung erhält eigene Netzwerksegmente – kein Traffic-Austausch zwischen Mandanten auf Netzwerkebene

Mikrosegmentierung: Innerhalb der Kundenumgebung werden Anwendungszonen segmentiert – Produktiv, Staging und Management in getrennten Segmenten mit definierten Kommunikationsregeln

Firewall-Kaskade: Perimeter-Firewall, Segment-Firewall und Host-basierte Firewall ergänzen sich – jede Ebene filtert unabhängig

Regelwerk-Management: Änderungen an Firewall-Regeln erfordern dokumentierte Change-Requests und werden vor Aktivierung validiert

Die Netzwerk-Isolation wird durch automatisiertes Compliance-Monitoring kontinuierlich geprüft. Abweichungen vom Regelwerk lösen Alerts aus und werden im Betriebsbericht dokumentiert.

Inzidenz-Erkennung und Übergabe

Die BEKOM Cloud erkennt sicherheitsrelevante Ereignisse auf Plattformebene automatisch: Anomalien im Netzwerkverkehr, fehlgeschlagene Authentifizierungsversuche, unerwartete Konfigurationsänderungen und Schwellenwertüberschreitungen. Die Erkennung erfolgt durch die integrierten Monitoring- und Log-Management-Systeme der Plattform.

Plattform-seitige Erkennung:

Automatische Klassifizierung: Erkannte Ereignisse werden nach Schweregrad eingestuft und dem zuständigen BEKOM-Team zugewiesen

Erstreaktion: Bei kritischen Ereignissen leitet BEKOM sofortige Schutzmaßnahmen ein – etwa Isolation betroffener Systeme oder Sperrung kompromittierter Zugänge

Kommunikation: Der Kunde wird nach dem vereinbarten Kommunikationsplan informiert – Schweregrad, Sofortmaßnahmen und nächste Schritte

Für Organisationen, die über die Plattform-Erkennung hinaus einen aktiven Security-Betrieb mit SOC-Anbindung, SIEM-Korrelation und Analysten-Kapazität benötigen, bietet BEKOM diesen Service über BEKOM MANAGED Security an. Die Plattform-Erkennung und der Security-Betrieb ergänzen sich – die Plattform liefert die Daten, das SOC analysiert und reagiert.

BEKOM-Ansatz

BEKOM-Ansatz und Kostenstruktur

Über die technischen Sicherheitskontrollen hinaus entscheidet das Betriebsmodell, wie eine Cloud-Security-Architektur langfristig wirkt. Der BEKOM-Ansatz setzt auf einen festen Ansprechpartner mit Security-Expertise, Hosting in zertifizierten deutschen Rechenzentren mit deutschsprachigen Security-Engineers und eine Kostenstruktur, die variable Eigenbetriebs-Aufwände in eine planbare Monatspauschale überführt.

Fester Ansprechpartner mit Security-Expertise

Jede Kundenumgebung wird einem festen Ansprechpartner mit Security-Erfahrung zugeordnet, der Konfigurationsanfragen zu IAM-Policies, IDS-Regeln und Patch-Zyklen direkt bearbeitet. Reaktionspfade und Eskalationsstufen sind je Installation im Service-Vertrag dokumentiert — statt anonymer Ticket-Queues oder rotierender Bereitschaft.

Aufgaben des festen Ansprechpartners:

Konfiguration von Patch-Zyklen und Emergency-Change-Prozessen für kritische CVE

Pflege der IAM-Policies, RBAC-Rollen und Berechtigungsreviews je Mandant

Abstimmung von IDS-/IPS-Regelwerken und Threat-Hunting-Mustern auf die Kundenumgebung

Incident-Response-Koordination mit dokumentierter Erstanalyse und Übergabe an SOC

Reaktionspfade und Eskalation:

  • Reaktionspfade und Eskalationsstufen je Kundenumgebung im Service-Vertrag fixiert
  • Definierte Eskalation an 2nd- und 3rd-Level-Security-Spezialisten im Vorfallsfall
  • Quartalsweise Service-Reviews mit Vorfallsstatistik und Schwachstellen-Trends
  • Reporting für Geschäftsleitung, Compliance- und Datenschutz-Funktion

Hosting und Sicherheitsbetrieb im DACH-Raum

BEKOM nutzt zertifizierte Rechenzentren in Deutschland; Konfigurations- und Wartungs-Tätigkeiten erfolgen durch deutschsprachige Security-Engineers. Patch-Management läuft entlang etablierter CVE-Zyklen, SIEM-Korrelation und SOC-Monitoring sind 24/7-fähig verfügbar.

Betriebsumgebung:

Hosting in zertifizierten deutschen Rechenzentren (BEKOM als Nutzer der Infrastruktur)

Deutschsprachige Security-Engineers für Konfiguration, IAM-Pflege und Incident-Response

Patch-Management entlang CVE-Zyklen und Hersteller-Release-Linien (Patch-Tuesday, Out-of-Band-Patches)

SIEM-Korrelation und SOC-Monitoring 24/7 als optionale Erweiterung über BEKOM MANAGED Security

Compliance-Belege und Audits:

  • TOM-Dokumentation auf BEKOM-Service-Ebene, abgestimmt auf den jeweiligen Service
  • Sub-Auftragsverarbeiter-Liste mit deutscher Verortung und dokumentierten Vertragsketten
  • AVV nach Art. 28 DSGVO mit beigefügten technischen und organisatorischen Maßnahmen
  • Dokumentierte Audit-Vorbereitung für ISO 27001-, BSI-Grundschutz- und KRITIS-/NIS2-Reviews der Kunden

Planbare Kostenstruktur statt variabler Aufwände

Im Eigenbetrieb einer Cloud-Security-Architektur fallen Kostentreiber an, die in der internen Kalkulation oft unterschätzt werden — von SIEM-Lizenzen über die 24/7-Security-Bereitschaft bis zur Audit-Vorbereitung. BEKOM überführt diese Aufwände in eine monatliche Pauschale; ein vorgelagertes Assessment klärt den konkreten Betriebsumfang und die zugehörige Kostenstruktur.

Typische Kostentreiber im Eigenbetrieb:

SIEM-Lizenzen und kontinuierliches Use-Case-Tuning für Anomalie-Erkennung

24/7-Security-Bereitschaft mit Schichtbetrieb für Incident-Response

CVE-Triage und Patch-Aufwand mit Test- und Rollback-Plänen je Mandant

Audit-Vorbereitung und Reporting für ISO 27001, BSI-Grundschutz und branchenspezifische Reviews

Inhalte der Monatspauschale:

  • Plattform-Monitoring und Anomalie-Erkennung auf Infrastruktur- und Netzwerkebene
  • Patch-Management für Hypervisoren, Betriebssysteme und Firmware nach dokumentierten Zyklen
  • Incident-Response über die definierten Reaktionspfade mit Erstanalyse und Schutzmaßnahmen
  • Service-Reviews und Reporting für Geschäftsleitung, Compliance- und Datenschutz-Funktion

Häufige Fragen zur Cloud Security

Wie wird die Verschlüsselung in der BEKOM Cloud umgesetzt?

BEKOM Cloud verschlüsselt Daten standardmäßig auf Transport- und Speicherebene. Transportverschlüsselung erfolgt über TLS 1.3 für alle externen und internen Verbindungen. Persistente Daten werden mit AES-256 auf Volume-Ebene verschlüsselt – automatisch und unabhängig von der Anwendung. Jeder Kunde erhält separate Verschlüsselungsschlüssel, die in einer gehärteten Infrastruktur gespeichert und nach dokumentiertem Zeitplan rotiert werden. Konfigurationsaufwand auf Kundenseite entsteht dadurch nicht.

Welche Zertifizierungen liegen für die Sicherheitsarchitektur vor?

BEKOM betreibt die Plattform in zertifizierten deutschen Rechenzentren – die physische Infrastruktur ist über den Rechenzentrumsbetreiber nach ISO 27001 und BSI IT-Grundschutz nachgewiesen, ergänzt durch einen TÜV-Prüfbericht. Auf BEKOM-Service-Ebene kommen AVV mit dokumentierten technischen und organisatorischen Maßnahmen, Sub-Auftragsverarbeiter-Liste mit deutscher Verortung und revisionssichere Audit-Logs hinzu. Beide Nachweispakete stehen Kunden für die eigene Compliance-Dokumentation zur Verfügung. Details zur Nachweisführung beschreibt der Compliance-Leitfaden.

Wie erkennt die BEKOM Cloud sicherheitsrelevante Ereignisse?

Die Plattform erkennt Anomalien automatisch: ungewöhnlicher Netzwerkverkehr, fehlgeschlagene Authentifizierungsversuche, unerwartete Konfigurationsänderungen und Schwellenwertüberschreitungen. BEKOM klassifiziert erkannte Ereignisse nach Schweregrad und leitet bei kritischen Vorfällen sofortige Schutzmaßnahmen ein. Der Kunde wird nach dem vereinbarten Kommunikationsplan informiert. Für einen aktiven Security-Betrieb mit SOC und SIEM ergänzt BEKOM MANAGED Security die Plattform-Erkennung.

Können bestehende Verzeichnisdienste angebunden werden?

BEKOM Cloud integriert bestehende Verzeichnisdienste wie Active Directory oder LDAP über standardisierte Protokolle (SAML, OIDC). Die Anbindung ermöglicht Single Sign-On und eine einheitliche Benutzerverwaltung über die bestehende Infrastruktur des Kunden. Die konkrete Integration – Protokollauswahl, Attribut-Mapping und Berechtigungssynchronisation – wird im Assessment gemeinsam geplant und nach dokumentierten Sicherheitsrichtlinien umgesetzt.

Wie unterscheidet sich Plattform-Security von einem Security-Betrieb?

Plattform-Security beschreibt die Sicherheitseigenschaften der BEKOM Cloud: Verschlüsselung, Zugangskontrolle, Monitoring und Inzidenz-Prozesse auf Infrastrukturebene. Ein Security-Betrieb geht darüber hinaus: SOC-Anbindung mit Schichtbetrieb, SIEM-Korrelation über alle Datenquellen, Threat Intelligence und aktive Bedrohungsanalyse. BEKOM bietet beides – die Plattform-Security als Bestandteil der Cloud und den Security-Betrieb als eigenständigen Service.

Entstehen durch das Sicherheitskonzept zusätzliche Kosten?

Die Sicherheitsarchitektur – Verschlüsselung, Zugangskontrolle, Monitoring und Inzidenz-Management – ist fester Bestandteil der BEKOM Cloud und verursacht keine Zusatzkosten. Erweiterte Anforderungen wie branchenspezifische Protokollierungsrichtlinien, dedizierte Audit-Unterstützung oder die Integration in bestehende SIEM-Systeme werden im Assessment bewertet und transparent kalkuliert. BEKOM stellt den Umfang und die Kosten dar, bevor die jeweilige Konfiguration umgesetzt wird.

Welche Kosten entstehen bei einem Wechsel der Cloud Security Architektur?

Ein Wechsel der Cloud Security Architektur erfordert die Migration bestehender Sicherheitsrichtlinien, Zertifikate und Monitoring-Konfigurationen. BEKOM dokumentiert die aktuelle Sicherheitsarchitektur des Kunden im Rahmen der Bestandsaufnahme und entwickelt einen strukturierten Migrationsplan. Die Übergangsphase wird durch parallelen Betrieb beider Systeme abgesichert, bis alle Compliance-Anforderungen in der neuen Umgebung validiert sind. Zusätzliche Kosten entstehen primär durch die einmalige Anpassung von Governance-Dokumenten und eventuell erforderliche Schulungen für das IT-Team.

Nächster Schritt: Erstberatung anfragen

Der Einstieg beginnt mit einem Security-Assessment: Erfassung Ihrer Sicherheitsanforderungen, Prüfung des Schutzbedarfs und Konfiguration der BEKOM Cloud-Umgebung für Ihre spezifischen Anforderungen.

Das Cloud Security Assessment liefert eine strukturierte Bestandsaufnahme der aktuellen Sicherheitsarchitektur mit Fokus auf Verschlüsselung, Zugangskontrolle und Monitoring. BEKOM erstellt eine Architektur-Empfehlung für den Zero-Trust-Übergang inklusive Service-Design für Incident Response und Compliance-Dokumentation. Das Ergebnis ist Klarheit über den konkreten Betriebsumfang der Sicherheitskontrollen und einen strukturierten Übergang zur mandantengetrennten Cloud-Infrastruktur.

1

Erstgespräch vereinbaren

Kontaktieren Sie BEKOM für ein unverbindliches Erstgespräch. Gemeinsam mit Ihrem Team erfasst BEKOM die bestehende Sicherheitsarchitektur, den Schutzbedarf Ihrer Systeme und die regulatorischen Rahmenbedingungen. Das Gespräch liefert eine dokumentierte Grundlage für die weitere Planung.

2

Sicherheitsanforderungen prüfen

Auf Basis des Gesprächs prüft BEKOM, welche Sicherheitskonfigurationen für Ihre Anforderungen erforderlich sind: Verschlüsselungsstandards, Zugangskontrollrichtlinien, Monitoring-Umfang und Inzidenz-Prozesse. Das Ergebnis ist eine dokumentierte Empfehlung, abgestimmt auf Ihren Schutzbedarf und Ihre Branchenanforderungen.

3

Cloud-Umgebung konfigurieren

Nach Ihrer Freigabe konfiguriert BEKOM die Cloud-Umgebung gemäß den identifizierten Sicherheitsanforderungen. BEKOM stellt die vollständige Dokumentation – TOM, Zertifikate, Monitoring-Reports – für Ihre Compliance-Unterlagen bereit und begleitet die Übergabe an den laufenden Betrieb.