Absprachen vertraglich festhalten
Allgemein gesprochen sollte der Cloud-Service-Provider jederzeit über die Aktion informiert werden, und darüber, welche Bereiche auf welche Weise betroffen sind, egal welches Deployment- und Servicemodell der Kunde einsetzt. Dabei ist zu bedenken, dass es meist einige Zeit in Anspruch nimmt, bis der Cloud-Service-Provider sich ebenfalls vorbereitet hat. Es bedarf also genügend Vorlauf. Das Abkommen zwischen dem Sicherheitsexperten und dem Auftraggeber sollte darüber hinaus folgende Paragrafen auf jeden Fall umfassen:

• Bestätigung der Erlaubnis aller beteiligten – auch dritten – Parteien, die von dem Test betroffen sind.
• Zeitraum und genauer Rahmen des Tests, sowie Definition, was außerhalb dieses Rahmens liegt.
• Genaue Adresse des Auftraggebers.
• Kontaktdaten der Ansprechpartner und Verantwortlichen.
• Involvierte Datensätze (Personenbezogene Daten, Buchhaltung et cetera).

Zusätzlich seien die zehn größten Gefahren für Cloudsysteme genannt, die von der Cloud Security Alliance gelistet und als verpflichtend für Penetration Testings festgelegt sind:

• Datendiebstahl (Sensible Informationen, wie Gesundheitsdaten, Buchhaltung)
• Unzureichendes Identity and Access Management (IAM)
• Unsichere Schnittstellen und APIs
• Schwachstellen im Betriebssystem
• Infiltration von Nutzerkonten oder Diensten und Anwendungen
• Abtrünnige Mitarbeiter
• Unkontrollierter Abfluss von Daten
• Mangelnde Sorgfalt beim Umgang mit Daten, Passwörtern und dergleichen
• Missbrauch der Clouddienste für andere Zwecke, als die vom Unternehmen autorisierten
• Schwachstellen in der zugrundeliegenden IT-Infrastruktur der Cloud (Shared Technology)

Besonderheit des Cloud Penetration Testing
Konkret geht ein Cloud-Penetration-Test in sechs Schritten vonstatten:

• Abkommen zwischen dem Tester und Auftraggeber
• Aufdecken und Darstellen der Bedrohungen (STRIDE, PASTA et cetera)
• Identifizierung der Schwachstellen
• Ausnutzung der Schwachstellen
• Bericht über die Ergebnisse und Empfehlungen zur Verbesserung der Sicherheit
• Abschlussbericht und Absprache der nächsten Testrunde.

Grundsätzlich unterscheidet sich der Test einer On-Premises-Umgebung nicht von dem einer Cloudumgebung. Letzterer betont lediglich die genaue Ausarbeitung der rechtlichen und vertraglichen Rahmenbedingungen. Jedoch konzentriert sich der Cloudtest mehr darauf, die speziellen Bedürfnisse eines Kunden zu verstehen, das Deployment- und Servicemodell der Cloudanbindung zu identifizieren, alle rechtlichen Regeln vorab zu bestimmen und eine genaue Liste aller Verantwortlichkeiten der beteiligten Parteien auszuarbeiten.

Solche Stichpunkte passend zu erstellen hängt natürlich vom jeweiligen Ziel des Penetrationstests ab. Meistens dient für Web- und Mobilanwendungen, die in einer Cloud aufgesetzt werden, die OWASP-Liste als Grundlage. Im Falle von Finanzdiensten kämen PCI-DSS-Prinzipien und CSA-Playbooks zum Einsatz. Daneben bieten die Großen am Markt wie Google, Amazon oder Microsoft eigene Anleitungen mit Best Practices an.

Fazit
Clouddienste sind mittlerweile mehr als nur eine neue Technologie. Sie sind fest im Alltag verankert. Doch gerade weil ihre Nutzung so beliebt geworden ist, müssen IT-Verantwortliche auch die Absicherung kontinuierlich auf dem aktuellen Stand des Wissens und der Technik halten. Hier hilft regelmäßiges Cloud Penetration Testing durch unabhängige Experten, die Sicherheitslücken zu finden und zu schließen. Dabei ist es egal, ob es sich bei der Cloudumgebung um IaaS, PaaS oder SaaS handelt, denn das Vorgehen ist stets gleich: Aufgrund des Konzepts der geteilten Verantwortung müssen die Reichweite des Tests, der rechtliche Rahmen, eine genehmigte Haftungserklärung und die beteiligten Parteien stets vor Beginn genau bestimmt und vertraglich festgelegt werden. Auf diese Weise lassen sich gesetzliche Konflikte oder ungewollte Zwischenfälle vermeiden. Erst danach sollte der Test innerhalb des abgesteckten Spielfeldes stattfinden.



ln/Hassan Moradi, Head of Cyber Security Technical Assessment bei TÜV SÜD