Die Cloud ist für 76 Prozent der Unternehmen in Deutschland inzwischen ein fester Bestandteil ihrer IT-Infrastruktur, wie der Cloud Monitor 2020 zeigt. Entsprechend wichtig ist es, dass die Daten in der Cloud sicher sind. Um die Sicherheit regelmäßig zu überprüfen, führen Organisationen daher Penetrationstests durch. Was es damit auf sich hat, erklären wir in unserem aktuellen Beitrag in der Reihe „Das 1×1 der IT-Sicherheit“.
Cloud-Technologie ist zu einem entscheidenden Faktor für den Unternehmenserfolg geworden. Sie ist die Basis von Innovationen und immer mehr Firmen und Konzerne setzen in unterschiedlichsten Branchen auf ihre Vorteile. Gleichzeitig ermöglicht sie es Unternehmen, Fernzugriffe und mobiles Arbeiten zu vereinfachen.
Doch insbesondere, wenn es um Geschäftsgeheimnisse und kritische Daten geht, steht Sicherheit an erster Stelle. Microsoft schützt seine weltweit 60 Rechenzentrumsregionen mit einem umfassenden Gesamtpaket an Maßnahmen – dazu gehören physische, infrastrukturelle und operationale Verfahren zum Schutz der Azure-Cloud und aller weiteren Microsoft Services wie Dynamics und Microsoft 365, wie wir bereits in einer vorangegangenen Folge unserer Reihe „1×1 der IT-Sicherheit“ erklärt haben.
Das BSI rät, regelmäßige Penetrationstests durchzuführen
Um sich vor Gefahren wie Cyberattacken bestmöglich zu schützen, hilft es jedoch auch, die Perspektive zu wechseln – und zwar zu jener der Angreifer*innen. In sogenannten Penetrationstests versuchen Expert*innen von IT-Sicherheitsdienstleistern in einem kontrollierten Versuch unter Realbedingungen, Lücken in den Sicherheitsvorkehrungen zu finden. Statt eines feindlichen gibt es also einen freundlichen Angriff. So lassen sich Schwachstellen identifizieren, bevor Hacker*innen mit kriminellen Absichten diese entdecken.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, solche Penetrationstests in regelmäßigen Abständen durchzuführen, denn jeder Test ist nur eine Momentaufnahme. Die Angriffsarsenale der Cyberkriminellen entwickeln sich kontinuierlich weiter. Bei einem Penetrationstest werden deshalb nicht nur besonders ausgefeilte Angriffe durchgeführt, es wird auch abgeklopft, ob die häufigsten und bekanntesten Schwachstellen abgesichert sind. Das BSI stellt auf seiner Webseite eine Liste mit IT-Sicherheitsdienstleistern bereit, deren Penetrationstests das BSI zertifiziert hat.
Penetrationstests müssen unter Einhaltung bestimmter Regeln durchgeführt werden
Unternehmen, die ihre Cloud-Sicherheit durch einen Penetrationstest mit einem Drittanbieter überprüfen wollen, müssen dabei jedoch ein paar Einsatzregeln beachten, sofern es auch um Microsoft Cloud-Komponenten geht. So verwendet die Microsoft Cloud in vielen Fällen eine gemeinsame Infrastruktur für mehrere Kunden, um die Daten eines Unternehmens zu hosten. Deshalb muss sichergestellt werden, dass sämtliche Penetrationstests keine unbeabsichtigten Konsequenzen für andere haben. Diese Einsatzregeln verbieten etwa, dass Ressourcen anderer Microsoft Cloud-Kunden gescannt oder getestet werden. Die vollständigen Regeln sind hier aufgeführt. Auch Microsoft selbst lässt Penetrationstests von Drittanbietern durchführen und stellt die unabhängigen Prüfberichte zur Verfügung.
Solche Test lassen sich üblicherweise in fünf Schritte unterteilen: Zur Vorbereitung werden zunächst die genauen Testziele abgestimmt. Es folgt eine Informationsbeschaffung. In dieser Phase versucht der jeweilige Dienstleister möglichst viel über sein Angriffsziel herauszufinden. Der dritte Schritt umfasst die Auswahl der konkreten Angriffsziele und das Bestimmen möglicher Schwachstellen. Es folgt der tatsächliche Angriff. Zum Abschluss erstellt der Dienstleister noch eine Analyse der Ergebnisse und Empfehlungen zur Verbesserung der Sicherheit.
Red Teaming: Planspiele mit Hacker*innen-Einsatz
Microsoft setzt daneben intern auf das sogenannte Red Teaming – eine erweiterte Form des Penetrationstests. Dabei greift eine Gruppe von Vollzeitbeschäftigten innerhalb von Microsoft – das Red Team – die Infrastruktur des Unternehmens sowie seine Dienste an. Diese Angriffe richten sich dabei nicht gegen Anwendungen oder Daten unserer Endkunden. Genau wie echte Angreifer*innen erforscht das Red Team fortlaufend neue Methoden und Penetrations-Tools, um die Microsoft-Cloud zu kompromittieren und auf diese Weise mögliche Schwachstellen ausfindig zu machen. Das Gegenstück zum Red Team ist das Blue Team, das seinerseits versucht, das System bestmöglich zu schützen. Sprich: Microsoft unternimmt selbst schon relativ viel, um mögliche Risiken und Sicherheitslücken selbst zu entdecken und gegen diese vorzubeugen.
Das Aufspüren von Sicherheitslücken kann sich zudem lohnen: So bietet Microsoft mit seinem Bounty Programm Belohnungen, wenn ein Sicherheitsproblem in der Microsoft Cloud entdeckt wird. Unternehmen und Organisationen müssen vor der Registrierung einen speziellen Prozess durchlaufen, um am Bounty-Programm teilnehmen zu können.
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.
Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos
