infoguard-cloud-penetration-testing

Cloud Penetration Testing – Finden Sie die Löcher in Ihrer Cloud!

Cloud-Plattformen und -Infrastrukturen sind beliebt – klar, denn eine höhere Flexibilität, Skalierbarkeit, Produktivität, Effizienz und geringere Kosten wünscht sich schliesslich jedes Unternehmen. Aber so gut das auch klingen mag, bergen Cloud-Lösungen auch Sicherheitsrisiken. Eine neue Studie* kommt gar zum Schluss, dass 18 Prozent aller Unternehmen 2018 einen Sicherheitsvorfall hatten, der in direktem Zusammenhang mit der Cloud stand. Und der «Cloud-Trend» hat gerade erst begonnen! Unter anderem deshalb werden Cloud Penetration Tests immer beliebter, die jedoch besonderen Voraussetzungen unterliegen. Was das für Sie heisst und ob sich ein Cloud Penetration Test auch bei Ihnen lohnt, erfahren Sie hier!

Mit dem technischen Paradigmenwechsel und der Digitalisierung nehmen Cloud-Services an Beliebtheit zu. So setzen laut einer Studie* 94 Prozent der befragten Unternehmen auf Cloud-Lösungen, wovon 84 Prozent eine Multi-Cloud-Strategie anwenden. Die Big Player sind hierbei ganz klar AWS, dicht gefolgt von Azure. Aber Cloud-Lösungen stellen für viele Unternehmen auch eine Herausforderung dar – nicht nur, aber zu einem grossen Teil wegen der Sicherheitsanforderungen, Stichwort «Cloud Security» .

Weshalb die Cloud eine besondere Behandlung erfordert

Zum einen sollte der Cloud Security aufgrund der ganz eigenen Herausforderungen sowie dem zunehmenden Aufkommen besondere Beachtung geschenkt werden. Zum anderen werden Clouds vermehrt Ziel von Cyberattacken, denn Cyberkriminelle wissen um die Schwachstellen und das oftmals fehlende Know-how im Bereich Security. Zudem müssen verschiedene Compliance-Richtlinien eingehalten werden wie beispielsweise DSGVO/GDPR oder PCI DSS.

Cloud Provider sind bei Sicherheitsfragen jedoch selten die richtige Anlaufstelle, denn natürlich preisen diese die Vorteile an, ohne auf die Gefahren einzugehen. Eine gute Möglichkeit ist daher ein Cloud Penetration Test, um anschliessend gezielt Schwachstellen schliessen zu können.

Weshalb Cloud Security nicht nur Kontrolle, sondern auch Vertrauen erfordert

Einer der grossen Unterschiede in Bezug auf die Sicherheit: Während bei der eigenen On-Premise-Infrastruktur das Unternehmen die «Regeln» aufstellt und flexibel agieren kann, ist dies bei der Cloud der Provider, wodurch der Handlungsspielraum kleiner wird. Je nach Cloud-Modell – IaaS, PaaS, SaaS – gibt man einen unterschiedlich grossen Teil der Kontrolle ab, worunter auch die Sicherheit gehört. Daher sollte die Wahl der Lösung resp. des Providers vorab gründlich überprüft werden, ebenso die SLAs für den Notfall. Aber egal welches Cloud-Modell Sie nutzen: Cloud Security liegt zu einem grossen Teil auch bei Ihnen. Genau deshalb sollten Ihre Cloud-Systeme bei Penetration Tests miteinfliessen.

Die kleinen aber feinen Unterschiede beim Penetration Testing von Cloud-Systemen

Bei einem Penetration Test, bei welchem Cloud-Systeme miteinfliessen, gilt es einige Besonderheiten zu beachten. So gibt – wie bereits beschrieben – der Provider die Richtlinien vor. Es ist wichtig, dass die Möglichkeitsgrenzen sowohl für den Kunden als auch für den Penetration Tester klar sind. Denn schliesslich muss der Provider unterscheiden können, ob es sich um eine echte Cyberattacke handelt oder eben nicht. Hier müssen sowohl die Verträge sorgfältig überprüft als auch eine gute Kommunikation gewährleistet werden. Bei AWS beispielsweise wird eine formelle Erlaubnis für einen Penetration Test verlangt, der anschliessend zu einem fest vereinbarten Termin stattfinden muss. Die Stärke, mit welcher die Penetration Tester angreifen können, hängt zudem vom Cloud-Modell ab, da beispielsweise bei SaaS eine Vielzahl von Kunden auf dem System arbeiten. Ein Ausfall des Systems würde daher mehr Kunden betreffen als in einer IaaS-Umgebung.

Zwei der wichtigsten Punkte beim Penetration Test von Cloud-Systemen sind die Architektur und die Konfiguration der Cloud-Systeme im Zusammenspiel mit den lokalen Systemen. Denn in den meisten Fällen stellen Mängel in der Architektur und Konfigurationsfehler das Einfallstor für Cyberkriminelle dar. Nur selten liegt das Problem beim Provider, da die grossen Anbieter selbst viele Ressourcen in die Sicherheit ihrer Services investieren. Umso wichtiger ist es daher, dass die Architektur und die Konfiguration sauber und nahtlos sind. Das untermauert auch eine erst kürzlich erfolgte Cyberattacke auf den US-amerikanischen Finanzdienstleister Capital One. Dabei nutzten Hacker eine Schwachstelle in AWS aus, die durch eine falsche IAM-Konfiguration entstanden ist.

Cloud Penetration Test – ja oder nein?

Cloud-Lösungen werden zurecht in immer mehr Bereichen eingesetzt. Innovative Lösungen wie die Cloud-Plattform unseres Kunden HOOC, der sich mit seiner IoT Connectivity-Plattform voll und ganz der Digitalisierung von Steuerungen der Industrie- und Gebäudetechnik verschrieben hat, sind die Zukunft. Umso wichtiger ist die Sicherheit – sei es aus Sicht des Kunden als auch des Providers wie bei HOOC.
Ein Cloud Penetration Test ist für all jene empfehlenswert, die ein neues Cloud-System aufgebaut haben und/oder Cloud Security Neuland ist. Dank eines umfassenden Massnahmenkatalogs, den Sie im Anschluss erhalten, bekommen Sie zudem wertvolle Informationen, um in Zukunft «sicher» an das Thema Cloud Security herangehen zu können.

Übrigens: Unser Kunde HOOC hat seine Cloud-Plattform ebenfalls vorbildlich mit einem Penetration Test prüfen lassen. Wenn Sie mehr darüber erfahren möchten, dann lesen Sie unseren Referenzbericht dazu:

Referenzbericht HOOC

* State of the Cloud Report 2019, Flexera

<< >>

Cyberrisiken , Cloud-Sicherheit

Michelle Gehri
Über den Autor / Michelle Gehri

InfoGuard AG - Michelle Gehri, Marketing & Communication Manager

Weitere Artikel von Michelle Gehri


Ähnliche Artikel
(Hybrid) Cloud Security – was Sie von Banken lernen können
(Hybrid) Cloud Security – was Sie von Banken lernen können

Cloud-Dienstleistungen eröffnen neue Möglichkeiten für innovative Geschäftsmodelle und effiziente Prozesse. [...]
Shadow IT wirft einen (Cloud-)Schatten auf die Cyber Security
Shadow IT wirft einen (Cloud-)Schatten auf die Cyber Security

Dropbox, Google Docs und Co. kennen wir alle und sind beliebter denn je. Verständlich, denn die [...]
Cloud Security – 8 Tipps, damit Ihre Cloud keine Gewitterwolke wird
Cloud Security – 8 Tipps, damit Ihre Cloud keine Gewitterwolke wird

Inzwischen ist allen klar, dass die Cloud keine Eintagsfliege ist. Die Cloud ist Realität ‒ und Zukunft [...]
Cyber Security Blog

Der InfoGuard Cyber Security Blog liefert Ihnen regelmässig News und detaillierte Berichte aus der Welt der Cyber Security und Cyber Defence.

Blog Updates abonnieren
Social Media
Gratis Download
infoguard-cyber-security-know-how-security-awareness-phishing