:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud Penetration Testing Penetrationstests für Cloud-Dienste durchführen
Unternehmen, die Cloud-Dienste nutzen, sollten auch selbst sicherstellen, dass diese Dienste möglichst sicher sind. Penetrationstests, die Sicherheitslücken schnell entdecken, sind dafür ein probates Mittel. Auch beim Einsatz von Open-Source-Cloud-Lösungen ist es durchaus sinnvoll, mit Pentests für mehr Sicherheit zu sorgen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Natürlich spielt es eine essentielle Rolle, ob Unternehmen die eigene Cloud-Infrastruktur auf Sicherheitslücken testen, oder eine öffentliche Cloud nutzen. Cloud-Provider wie Microsoft, Google oder Amazon führen regelmäßig eigene Tests durch. Wollen Unternehmen öffentliche Cloud-Infrastrukturen, die sie gebucht haben, auf Sicherheitslücken hin überprüfen, sollte vorher der Vorgang genau mit dem jeweiligen Cloud-Provider kommuniziert werden. Denn auch Penetrationstests stellen Angriffe dar, die beim Provider wiederum Gegenmaßnahmen auslösen. Diese sollten zuvor also genau abgesprochen werden.
Betreiben Unternehmen eine eigene, private Cloud, kann natürlich alles getestet werden, was auch im internen Rechenzentrum getestet werden kann. Das ist der Vorteil beim Betrieb einer eigenen Cloud-Umgebung. Der Nachteil besteht dafür darin, dass Unternehmen selbst für die Sicherheit sorgen müssen. Aus diesem Grund sind Penetrationstests beim Einsatz eigener Cloud-Umgebungen in jedem Fall anzuraten.
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386137/original.jpg "Mit Linux-Sicherheits-DVDs wie Kali können auch Cloudanwendungen auf Sicherheitslücken getestet werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386138/original.jpg "Auch Fedora bietet einen Sicherheits-Distribution mit der Penetrations- und Sicherheitstests durchgeführt werden können, auch in Cloud-Umgebungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386139/original.jpg "Bei Amazon können Penetrationstests in der Konsole beantragt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386140/original.jpg "Mit OpenVAS können auch Cloudlösungen auf Sicherheitslücken getestet werden. OpenVAS ist über Kali verfügbar.")
IaaS, SaaS und PaaS unterscheiden
Wollen Unternehmen eine SaaS-Umgebung testen, also Software-as-a-Service, muss vorsichtig vorgegangen werden. Denn in diesen Umgebungen besteht keine Hoheit auf die darunterliegende Server-Infrastruktur, sondern lediglich auf die Software, die gebucht wird. So ist zum Beispiel Office 365 ein SaaS-Dienst. Tests gegen die Server von Office 365 beeinflussen auch andere Abonnenten.
Buchen Unternehmen wiederum IaaS-Dienste, können die einzelnen Objekte im Abonnement durchaus getestet werden. Allerdings sollte auch hier Rücksprache mit dem Cloud-Provider genommen werden. Auch bei PaaS sollte überprüft werden, welche Tests erlaubt sind. Hier spielt zum Beispiel das Patchmanagement der zu Grunde liegenden Server eine wichtige Rolle. Auch die Sicherheitsrichtlinien der Basis-Server und unter Umständen auch die Maßnahmen, die bereits zum Härten der Betriebssysteme durchgeführt wurden, spielen eine wichtige Rolle.
Beim Einsatz kompletter PaaS-Umgebungen ist die Absicherung der Plattform besonders wichtig. Hier muss abgeklärt werden, wer für die Absicherung der Server verantwortlich ist. Das sieht beim Einsatz von SaaS anders aus, da hier der Anbieter für die Sicherheit sorgt. Auch bei IaaS-Umgebungen sollte geklärt werden, inwieweit der Kunde selbst auf die Sicherheit der Server Einfluss nehmen kann und soll, und diese auch entsprechend testen muss.
Zusammenfassend lässt sich also festhalten, dass beim Buchen von IaaS und PaaS der größte Einfluss auf die Sicherheit besteht, und Penetrationstests sehr umfangreich ausgeführt werden sollten und können. Aber auch hier muss vorher eine Kommunikation mit dem Provider stattfinden, um sicherzustellen, dass nicht gegen die Richtlinien oder AGB verstoßen wird.
Penetrationstests beim Provider anfragen
Buchen Unternehmen Saas-Dienste oder eine IaaS-Infrastruktur, bei der nicht komplett klar ist, wer die Sicherheits-Tests durchführt, sollte klargestellt sein, dass die wichtigsten Penetrationstests durchgeführt wurden. Hier spielt OWASP eine wichtige Rolle. Können Unternehmen nicht selbst die bekanntesten Sicherheitslücken überprüfen, sollte der Provider das getan haben und das Ergebnis zur Verfügung stellen.
In den meisten Fällen beschäftigen Cloud-Anbieter eigene Teams für das Penetration-Testing. Wenn ein Unternehmen eigenen Tests durchführen will, sollte die Kommunikation mit dem Cloud-Anbieter gesucht werden, idealerweise zum internen Pentesting-Team. Ist das nicht möglich, muss dennoch abgeklärt werden, ob eigene Tests durchgeführt werden dürfen, und wenn ja welches das sind. Denn Penetrationstests können einen Cloud-Server lahmlegen, da interne Sicherheitsmechanismen diesen vom Netz nehmen können, wenn Penetrationstests den Anschein erwecken echte Angriffe zu sein. Manche Anbieter wie zum Beispiel Amazon, bietet die Möglichkeit Penetrationstests anzufragen.
Lösungen für das Durchführen von Penetrationstests für Cloud-Anwendungen
Im Grunde genommen unterscheiden sich Penetrationstests für lokale Serveranwendungen nicht vom Testen von Cloudlösungen. Hier stehen auch verschiedene kostenlose oder zumindest kostengünstige Lösungen zur Verfügung. Die bekannte Sicherheits-Linux-Distribution Kali bietet dafür einige Ansätze. Kali können Administratoren im Internet als ISO-Datei herunterladen. Hier stehen verschiedene Editionen zur Verfügung, auch für 32-Bit, 64-Bit und ARM.
:quality(80)/images.vogel.de/vogelonline/bdb/1341800/1341815/original.jpg "Kali Linux: Die Distribution ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. (Offensive Security)")
Kali Linux Workshop, Teil 1
Kali Linux installieren und Hacking-Lab aufsetzen
Über das Menü „Applications\Kali Linux“ sind die Tools zu finden, mit denen sich Netzwerke und Server auf Sicherheitslücken hin testen lassen. Über die einzelnen Menüs im Bereich Applications\Kali Linux lassen sich weitere Tools starten um Netzwerke zu überprüfen. Eines der bekanntesten Sicherheitstools in Kali ist OpenVAS. Dieses wird über „Applications\Kali Linux\Vulnerability Analysis“ gestartet. Mit der kostenlosen Live-DVD Fedora Security Lab können ebenfalls Penetrationstests im Netzwerk und der Cloud durchgeführt werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383865/original.jpg "Wer besonders sicher arbeiten oder das Netzwerk überwachen will, greift zu speziellen, hochsicheren Linux-Distributionen. (rimom - stock.adobe.com)")
Qubes OS, Tails, Whonix und Co.
Hochsichere Linux-Distributionen im Überblick
Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP) und OpenVAS
Zed Attack Proxy Project ist ein weiteres Tool, das in der Lage ist Webanwendungen auf Sicherheitslücken zu testen. Das Tool ist auch in der Lage Cloud-Anwendungen auf Sicherheitslücken hin zu überprüfen . Das Tool gehört zum OpenSource-Projekt „Open Web Application Security Project (OWASP)“.
:quality(80)/images.vogel.de/vogelonline/bdb/1417900/1417975/original.jpg "Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiere Securityscans für Webanwendungen. (Imillian - stock.adobe.com)")
Tool-Tipp: OWASP Zed Attack Proxy (ZAP)
Sicherheit für Webanwendungen mit Zed Attack Proxy
OpenVAS ist eine Software zu Analyse von Sicherheitslücken im Netzwerk. Die Sicherheitslösung kann ebenfalls über Kali-Linux verwendet werden. Dadurch erhalten Administratoren sehr schnell eine Lösung, um Penetrationstests durchzuführen.
:quality(80)/images.vogel.de/vogelonline/bdb/1230000/1230092/original.jpg "Administratoren können mit dem Open-Source-Tool OpenVAS im Netzwerk nach Sicherheitslücken suchen. (Witthaya - Fotolia)")
Tool-Tipp: OpenVAS
Mit OpenVAS Schwachstellen im Netzwerk finden
Fazit
Penetrationstests sind für Cloud-Anwendungen genauso unerlässlich, wie für lokal betriebene Anwendungen, die im Internet zur Verfügung stehen. Bei Penetrationstests für die Cloud müssen Unternehmen aber zwischen dem Betrieb von privaten Cloud und öffentlichen Clouds unterscheiden. Wird auf öffentliche Clouds von Cloud Service Providern (CSP) wie Microsoft, Amazon oder Google gesetzt, muss weiterhin unterschieden werden, ob IaaS, SaaS, oder PaaS zum Einsatz kommen.
Außerdem muss mit dem CSP abgesprochen werden, was getestet werden darf, und wann die Tests durchgeführt werden. Auf jeden Fall sollten keine Penetrationstests durchgeführt werden, ohne mit dem CSP Kontakt aufzubauen. Denn Penetrationstests können leicht als Angriffe ausgelegt werden, die beim Provider wiederum Gegenmaßnahmen auslösen.
Sobald klar ist, was getestet werden soll, und wann das passieren soll, können verschiedene Tools zum Einsatz kommen. In vielen Fällen reichen OpenSource-Tools wie OpenVAS oder Zed Attack Proxy Project aus.
(ID:45262341)
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881530/original.jpg "Ungenutzte Identitäten, mangelhafte Konfigurationen und gefährliche Aktivitäten gefährden die IT-Sicherheit in Unternehmen. (gemeinfrei© Sergey Gricanov)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")