Penetration-Tests in der Cloud

Um im Ernstfall gewappnet zu sein, müssen Unternehmen ihre IT-Sicherheitsprozesse aktuell halten und kontinuierlich überprüfen. Kriminelle entwickeln immer raffiniertere Attacken mit unterschiedlichen Angriffsvektoren, sogenannten Cyber Kill Chains. Wollen Unternehmen unter realistischen Bedingungen kontrollieren, wie gut ihre IT-Sicherheitsmaßnahmen greifen, eignen sich Penetration-Tests von externen Dienstleistern. Sie beugen einer potenziellen Betriebsblindheit der eigenen Mannschaft vor. Denn Penetration-Tester (kurz: Pentester) nehmen eine Angreiferperspektive ein – das gewährleistet aussagekräftige Ergebnisse. Auch wenn heutige IT-Landschaften äußerst komplex sind und es keinen hundertprozentigen Schutz gibt, tragen Penetration-Tests dazu bei, Sicherheitslücken aufzuspüren.

Die Zahl potenzieller Schwachstellen hat durch die steigende Vernetzung in den letzten Jahren rapide zugenommen. Hier spielt vor allem der flächendeckende Einsatz von Cloud-Services eine bedeutende Rolle. Zwei von drei Unternehmen in Deutschland nutzen laut Cloud-Monitor 2018 des Branchenverbands Bitkom Cloud-­Anwendungen. Der verbreitete Cloud-Einsatz schlägt sich in wachsenden Angriffszahlen nieder. In der aktuellen Studie „Navigating a Cloudy Sky“ des Security­analysten McAfee gab ein Viertel der Befragten an, schon einmal von Datendiebstahl in der Cloud betroffen gewesen zu sein. Deswegen dürfen Cloud-­Services bei Penetration-Tests nicht außen vor bleiben. Eine Best Practice für Penetration-­Tests orientiert sich an fünf Phasen.

Erste Phase – Zieldefinition und rechtlicher Rahmen: Jeder Penetration-­Test erfordert initial eine klare Zieldefinition und vertragliche Fixierung des Test­ablaufs. Denn die Tester nutzen die gleichen Tools und Methoden wie echte Angreifer, um in die Systeme eines Unternehmens einzudringen. Solche Handlungen sind gemäß Paragraf 202c des Strafgesetzbuchs illegal. Lediglich der Vertrag mit dem beauftragenden Unternehmen und das damit erfolgte ausdrückliche Einverständnis unterscheidet Pentester von Kriminellen und garantiert ihnen Straffreiheit. Eine Orientierungshilfe für wichtige Rahmenbedingungen zu Penetration-Tests bietet der IT-Grundschutz-Katalog des BSI unter Punkt M5.150.

Verschiedene Methoden

Es gibt drei Herangehensweisen für Penetration-Tests, die unterschiedliches Wissen des Testers zu seinem Ziel voraussetzen. Bei einem White-Box-Test verfügt er vorab über umfassende Informationen über das Unternehmen und seine IT-Systeme. Er hat beispielsweise Informationen zu Servern, Betriebssystemen oder Anwendungen vorliegen und weiß, welche IP-­Adressen interessant sind und welche Dienste darauf auf welchen Ports laufen. Der Test startet transparent. Der Grey-Box-Test ist halbtransparent. Hier erhält der Tester vorab nur relevante Informationen, zum Beispiel zum IP-Bereich, den er prüfen soll. Bei der dritten Variante, dem Black-Box-Test, hat er bis auf einen Unternehmensnamen keine weiteren Daten.

Bei Penetration-Tests, die die Cloud-Umgebung einschließen, nutzen seriöse Anbieter von Penetration-Tests nur den White- oder den Grey-Box-Test. Bei einem Black-Box-Test bestünde aufgrund der oftmals geteilten Kundenressourcen der Cloud-Anbieter die Gefahr, auf Daten Unbeteiligter zuzugreifen. Das wäre illegal und somit strafbar. In dem Vertrag legen beide Parteien fest, wie viel Informationen dem Pentester vorliegen, welches Ziel er hat und welche Methoden und Tools zum Einsatz kommen dürfen. Der Tester muss sich an die getroffenen Vereinbarungen halten.

Richtlinien der Cloud-Provider beachten

Vereinbaren die Vertragspartner den Einsatz von Social Engineering, gilt es zu regeln, wie viel Druck ein Tester im Umgang mit den Mitarbeitern des Unter­nehmens ausüben darf. Sind Lügen oder gefälschte Dienstausweise erlaubt? An welcher Stelle muss der Pentester ab­brechen? Hat er zum Beispiel den Auftrag, ein Krankenhaus zu überprüfen, ist vertraglich zu regeln, ob der Tester eine Freigabe erhält, sich als Arzt zu verkleiden und vor Ort tätig zu werden. Sind Menschenleben gefährdet, muss er die Notbremse ziehen. Das schließt eine Behandlung der Patienten aus.