InfoGuard Cyber Security & Cyber Defence Blog

Cloud Penetration Testing – Finden Sie die Löcher in Ihrer Cloud!

Geschrieben von Michelle Gehri | 14. Nov 2019

Cloud-Plattformen und -Infrastrukturen sind beliebt – klar, denn eine höhere Flexibilität, Skalierbarkeit, Produktivität, Effizienz und geringere Kosten wünscht sich schliesslich jedes Unternehmen. Aber so gut das auch klingen mag, bergen Cloud-Lösungen auch Sicherheitsrisiken. Eine neue Studie* kommt gar zum Schluss, dass 18 Prozent aller Unternehmen 2018 einen Sicherheitsvorfall hatten, der in direktem Zusammenhang mit der Cloud stand. Und der «Cloud-Trend» hat gerade erst begonnen! Unter anderem deshalb werden Cloud Penetration Tests immer beliebter, die jedoch besonderen Voraussetzungen unterliegen. Was das für Sie heisst und ob sich ein Cloud Penetration Test auch bei Ihnen lohnt, erfahren Sie hier!

Mit dem technischen Paradigmenwechsel und der Digitalisierung nehmen Cloud-Services an Beliebtheit zu. So setzen laut einer Studie* 94 Prozent der befragten Unternehmen auf Cloud-Lösungen, wovon 84 Prozent eine Multi-Cloud-Strategie anwenden. Die Big Player sind hierbei ganz klar AWS, dicht gefolgt von Azure. Aber Cloud-Lösungen stellen für viele Unternehmen auch eine Herausforderung dar – nicht nur, aber zu einem grossen Teil wegen der Sicherheitsanforderungen, Stichwort «Cloud Security» .

Weshalb die Cloud eine besondere Behandlung erfordert

Zum einen sollte der Cloud Security aufgrund der ganz eigenen Herausforderungen sowie dem zunehmenden Aufkommen besondere Beachtung geschenkt werden. Zum anderen werden Clouds vermehrt Ziel von Cyberattacken, denn Cyberkriminelle wissen um die Schwachstellen und das oftmals fehlende Know-how im Bereich Security. Zudem müssen verschiedene Compliance-Richtlinien eingehalten werden wie beispielsweise DSGVO/GDPR oder PCI DSS.

Cloud Provider sind bei Sicherheitsfragen jedoch selten die richtige Anlaufstelle, denn natürlich preisen diese die Vorteile an, ohne auf die Gefahren einzugehen. Eine gute Möglichkeit ist daher ein Cloud Penetration Test, um anschliessend gezielt Schwachstellen schliessen zu können.

Weshalb Cloud Security nicht nur Kontrolle, sondern auch Vertrauen erfordert

Einer der grossen Unterschiede in Bezug auf die Sicherheit: Während bei der eigenen On-Premise-Infrastruktur das Unternehmen die «Regeln» aufstellt und flexibel agieren kann, ist dies bei der Cloud der Provider, wodurch der Handlungsspielraum kleiner wird. Je nach Cloud-Modell – IaaS, PaaS, SaaS – gibt man einen unterschiedlich grossen Teil der Kontrolle ab, worunter auch die Sicherheit gehört. Daher sollte die Wahl der Lösung resp. des Providers vorab gründlich überprüft werden, ebenso die SLAs für den Notfall. Aber egal welches Cloud-Modell Sie nutzen: Cloud Security liegt zu einem grossen Teil auch bei Ihnen. Genau deshalb sollten Ihre Cloud-Systeme bei Penetration Tests miteinfliessen.

Die kleinen aber feinen Unterschiede beim Penetration Testing von Cloud-Systemen

Bei einem Penetration Test, bei welchem Cloud-Systeme miteinfliessen, gilt es einige Besonderheiten zu beachten. So gibt – wie bereits beschrieben – der Provider die Richtlinien vor. Es ist wichtig, dass die Möglichkeitsgrenzen sowohl für den Kunden als auch für den Penetration Tester klar sind. Denn schliesslich muss der Provider unterscheiden können, ob es sich um eine echte Cyberattacke handelt oder eben nicht. Hier müssen sowohl die Verträge sorgfältig überprüft als auch eine gute Kommunikation gewährleistet werden. Bei AWS beispielsweise wird eine formelle Erlaubnis für einen Penetration Test verlangt, der anschliessend zu einem fest vereinbarten Termin stattfinden muss. Die Stärke, mit welcher die Penetration Tester angreifen können, hängt zudem vom Cloud-Modell ab, da beispielsweise bei SaaS eine Vielzahl von Kunden auf dem System arbeiten. Ein Ausfall des Systems würde daher mehr Kunden betreffen als in einer IaaS-Umgebung.

Zwei der wichtigsten Punkte beim Penetration Test von Cloud-Systemen sind die Architektur und die Konfiguration der Cloud-Systeme im Zusammenspiel mit den lokalen Systemen. Denn in den meisten Fällen stellen Mängel in der Architektur und Konfigurationsfehler das Einfallstor für Cyberkriminelle dar. Nur selten liegt das Problem beim Provider, da die grossen Anbieter selbst viele Ressourcen in die Sicherheit ihrer Services investieren. Umso wichtiger ist es daher, dass die Architektur und die Konfiguration sauber und nahtlos sind. Das untermauert auch eine erst kürzlich erfolgte Cyberattacke auf den US-amerikanischen Finanzdienstleister Capital One. Dabei nutzten Hacker eine Schwachstelle in AWS aus, die durch eine falsche IAM-Konfiguration entstanden ist.

Stellen Sie Ihre IT Security auf die Probe!

Bei einem Penetration Test unterziehen unsere Ethical Hacker Ihre Systeme, IT-Infrastruktur und Ihre Organisation einem echten Angriff. So finden Sie gezielt Schwachstellen, die «echte» Hacker ausnutzen könnten – auch in Ihren Cloud-Systemen. Interessiert?

 

* State of the Cloud Report 2019, Flexera