Penetration-Tests in der Cloud

Inhaltsverzeichnis

Mehr zu Pentesting

• Lateral Movement: Wie Hacker nach dem Einbruch interne Ziele kapern
• Legaler Einbruch: So kann ein Pentest aussehen
• Penetrationstests und das BSI: Anforderungen an Tests und zertifizierte Tester
• Penetration Testing: Post-Exploitation-Framework Empire wiederbelebt
• Business-Software SAP: Security-Basiswissen
• Infiltrierung von Netzwerken über präparierte USB-Kabel
• Penetration-Tests in der Cloud

Um im Ernstfall gewappnet zu sein, müssen Unternehmen ihre IT-Sicherheitsprozesse aktuell halten und kontinuierlich überprüfen. Kriminelle entwickeln immer raffiniertere Attacken mit unterschiedlichen Angriffsvektoren, sogenannten Cyber Kill Chains. Wollen Unternehmen unter realistischen Bedingungen kontrollieren, wie gut ihre IT-Sicherheitsmaßnahmen greifen, eignen sich Penetration-Tests von externen Dienstleistern. Sie beugen einer potenziellen Betriebsblindheit der eigenen Mannschaft vor. Denn Penetration-Tester (kurz: Pentester) nehmen eine Angreiferperspektive ein – das gewährleistet aussagekräftige Ergebnisse. Auch wenn heutige IT-Landschaften äußerst komplex sind und es keinen hundertprozentigen Schutz gibt, tragen Penetration-Tests dazu bei Sicherheitslücken aufzuspüren.

Die Zahl potenzieller Schwachstellen hat durch die steigende Vernetzung in den letzten Jahren rapide zugenommen. Hier spielt vor allem der flächendeckende Einsatz von Cloud-Services eine bedeutende Rolle. Zwei von drei Unternehmen in Deutschland nutzen laut Cloud-Monitor 2018 des Branchenverbands Bitkom Cloud-Anwendungen. Der verbreitete Cloud-Einsatz schlägt sich in wachsenden Angriffszahlen nieder. In der aktuellen Studie "Navigating a Cloudy Sky" des Securityanalysten McAfee gab ein Viertel der Befragten an, schon einmal von Datendiebstahl in der Cloud betroffen gewesen zu sein. Deswegen dürfen Cloud-Services bei Penetration-Tests nicht außen vor bleiben. Eine Best Practice orientiert sich an fünf Phasen.

Erste Phase – Zieldefinition und rechtlicher Rahmen: Jeder Penetration-Test erfordert initial eine klare Zieldefinition und vertragliche Fixierung des Testablaufs. Denn die Tester nutzen die gleichen Tools und Methoden wie echte Angreifer, um in die Systeme eines Unternehmens einzudringen. Solche Handlungen sind gemäß Paragraf 202c des Strafgesetzbuchs illegal. Lediglich der Vertrag mit dem beauftragenden Unternehmen und das damit erfolgte ausdrückliche Einverständnis unterscheidet Pentester von Kriminellen und garantiert ihnen Straffreiheit. Eine Orientierungshilfe für wichtige Rahmenbedingungen zu Penetration-Tests bietet der IT-Grundschutz-Katalog des BSI unter Punkt M5.150.

Das war die Leseprobe unseres heise-Plus-Artikels "Penetration-Tests in der Cloud ". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Unsichere Balkonsolaranlagen können Daten ins Internet senden. Wir haben dagegen eine Lösung zum Nachrüsten, für die Sie nur ein ESP-Board benötigen.

---

Mit der Apple Watch im Schlaflabor: So gut zeichnet sie Schlaf auf

Wie sich die Apple Watch nachts gegenüber anderen Schlaf-Trackern schlägt und wie im Vergleich zur Analyse durch ein Schlaflabor.

---

Prompt-Engineering erklärt: Von der Kunst, die KI zu nutzen

Unternehmen wollen jetzt den nächsten Schritt gehen und die Anwendung von KI professionalisieren. Für Mitarbeiter bleibt Frage, ob ihr Job in Gefahr ist.

• Einsteiger-Guide KI

---

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Unbekannte haben einen dubiosen Server unter dem Domainnamen fritz.box betrieben. Wir zeigen, wie man unerwünschten Verkehr mit zweifelhaften Servern vermeidet.

---

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Erdgas steht vor dem Aus und das Gasnetz vor dem Umbau: In welche Richtung es sich entwickeln kann und was das für die Gaskunden bedeutet.

---

Apple iPad Air 2024 mit 13"-Display im Test: Das bezahlbare Pro

An Bord hat das neue iPad Air einige Features der teuren Pro-Modelle. Wir klären, für wen angesichts der Preisunterschiede ein Air das bessere Pro ist.

• iPad Pro 2024 im Test

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Unsichere Balkonsolaranlagen können Daten ins Internet senden. Wir haben dagegen eine Lösung zum Nachrüsten, für die Sie nur ein ESP-Board benötigen.

---

Mit der Apple Watch im Schlaflabor: So gut zeichnet sie Schlaf auf

Wie sich die Apple Watch nachts gegenüber anderen Schlaf-Trackern schlägt und wie im Vergleich zur Analyse durch ein Schlaflabor.

---

Prompt-Engineering erklärt: Von der Kunst, die KI zu nutzen

Unternehmen wollen jetzt den nächsten Schritt gehen und die Anwendung von KI professionalisieren. Für Mitarbeiter bleibt Frage, ob ihr Job in Gefahr ist.

• Einsteiger-Guide KI

---

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Unbekannte haben einen dubiosen Server unter dem Domainnamen fritz.box betrieben. Wir zeigen, wie man unerwünschten Verkehr mit zweifelhaften Servern vermeidet.

---

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Erdgas steht vor dem Aus und das Gasnetz vor dem Umbau: In welche Richtung es sich entwickeln kann und was das für die Gaskunden bedeutet.

---

Apple iPad Air 2024 mit 13"-Display im Test: Das bezahlbare Pro

An Bord hat das neue iPad Air einige Features der teuren Pro-Modelle. Wir klären, für wen angesichts der Preisunterschiede ein Air das bessere Pro ist.

• iPad Pro 2024 im Test