Schwachstellensuche
Penetrationstest in der Cloud
Nicht alle Angriffspunkte sind für den Anbieter prüfbar
Im Rahmen der Penetrationstests bei Cloud-basierten Anwendungen kommen die folgenden, ebenfalls gängigen Attacken nicht zur Überprüfung durch die Tester:
Denial of Service
Eine Denial-of-Service-Attacke ist - unabhängig von den Anwendungen - für jedes Netzwerk ein Problem. Solche Angriffe lassen sich zwar simulieren - doch die tatsächliche Situation, dass ein System durch ein enormes Aufkommen von Anfragen lahmgelegt wird, lässt sich kaum voraussagen und auch nur in geringem Maße verhindern. Im Prinzip lässt sich jede Webseite lahmlegen, daher ist dies in der Regel nicht Bestandteil von Pentests.
Man-in-the-Browser
Ähnlich verhält es sich mit dem Angriff auf den Nutzerrechner, der via Man-in-the-Browser-Attacke erfolgen kann. Auch das ist eine Maßnahme, bei der Dienstleister nicht testen, weil hier keine serverseitigen Schutzmechanismen greifen.
Phishing / Identitätsdiebstahl
Der direkte Angriff beim Benutzer, die Versuche, die Identität des Anwenders zu stehlen und so einen legalen Zugriff auf den Cloud-Dienst zu erreichen, ist kaum zu testen. Insofern konzentrieren sich Testinstitute auf die tatsächlich Cloud-Dienst-relevanten Attacken und die Schlupflochsuche der Softwarelösungen.
Tests nur für die Software, nicht für die Installation beim Kunden
Bei allen Überprüfungen muss unterschieden werden, ob die Software an sich oder im laufenden Betrieb getestet werden soll. Letzteres funktioniert nur mit Einverständnis der Anwender und ist - trotz diverser Absicherungsmöglichkeiten - mit Risiken behaftet. Zum einen können Daten verloren gehen, zum anderen können Einfallstore durch die IT-Infrastruktur des Kunden gegeben sein, die sich nicht durch die eingesetzte Software auffangen lassen. In der Regel beschränken sich die Anbieter Cloud-basierter Dienste jedoch auf das Testen der eigenen Umgebung und Infrastruktur, die entsprechend zertifiziert werden kann.
Seriosität der Pentester ist Grundvoraussetzung
Für manche Tests sind Tools im Umlauf, die sich je nach Komplexität der Anwendung nutzen lassen. Sie sind jedoch anwendungsspezifisch und werden regelmäßig aktualisiert oder gleich ganz vom Markt genommen und durch Nachfolgeprodukte ersetzt. Wer sich einen Überblick über die verfügbaren Lösungen verschaffen möchte, findet beispielsweise in der deutschsprachigen Wikipedia unter dem Stichwort "IT-Sicherheitsaudit" eine Zusammenfassung. Viele Tools eignen sich nur für spezielle Tests - auch das ist in einem Wikipedia-Eintrag zur Software unter "Penetrationstest (Informatik)" erklärt. Wichtig für Anwender ist allerdings nicht, womit und wie, sondern eher, wie gut getestet wurde. Hier geht es zum einen um die Frage nach den angewandten Methoden, zum anderen aber auch um die Glaubwürdigkeit der Tester. Im Idealfall stellen die Prüfer der Software ein entsprechendes Security-Zertifikat aus; auch Audit-Protokolle können solch eine Funktion erfüllen.
- Bedrohungen für Datenzentren
- Verbindungsdaten können einfach verknüpft und analysiert werden
- Die Sealed Cloud schützt die Metadaten
- In der Sealed Cloud lassen sich Daten nicht fangen
- Vereinfachte technische Sicht der Sealed Cloud
- Cybercrime-Kosten für Unternehmen 2013
- ABC-Analyse der Sicherheit eines Datenzentrums
Hilfreich ist es, wenn die Pentest-Dienstleister unabhängig sind, also nicht selbst eine Sicherheitssoftware entwickelt haben, vertreiben oder mit entsprechenden Herstellern geschäftlich verbunden sind. Außerdem empfehlen Experten, die Penetrationstests nicht immer vom selben Unternehmen vornehmen zu lassen, um erst gar keine Routine aufkommen zu lassen. Das Vertrauen in die Glaubwürdigkeit und das Renommee der Tester ist übrigens sowohl bei den Anbietern als auch bei den Nutzern eine Grundvoraussetzung dafür, dass ein Zertifikat akzeptiert wird. In Deutschland gibt es (noch) kein Ranking der Institutionen oder Unternehmen, die sich auf Penetrationstests spezialisiert haben. Insofern sind Referenzen die beste (und fast einzige) Möglichkeit, dieses Vertrauen zu gewinnen. (ad/hal)