Suchen

Cloud-Sicherheit mit Tools aus dem Internet prüfen Testunterstützung aus der Cloud

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Regelmäßige Sicherheitsüberprüfungen gehören bei Cloud-Infrastrukturen zum Pflichtprogramm. Mit Testwerkzeugen aus der Cloud gelingt dies auch kleinen und mittleren Unternehmen. In diesem Beitrag haben wir gleich mehrere solcher Online-Tools zusammengefasst.

Firma zum Thema

Mit dem Webseiten-Check der Initiative-S können Schwachstellen in Websites aufgedeckt werden, die in der Cloud betrieben werden.
Mit dem Webseiten-Check der Initiative-S können Schwachstellen in Websites aufgedeckt werden, die in der Cloud betrieben werden.
(initiative-s.de)

Jedes dritte Unternehmen in Deutschland nutzt Cloud Computing, doch die Sorge um die Datensicherheit bleibt. Laut dem Silver Lining Report von SilverSky gehört eine externe Zertifizierung der Sicherheitsmaßnahmen des Cloud-Anbieters zu den drei wichtigsten Entscheidungskriterien, wenn es um die Auswahl eines Cloud-Dienstes geht.

Um die Sicherheit von extern betriebenen IT-Diensten ist es tatsächlich nicht immer gut bestellt: Der 2013 Trustwave Global Security Report zeigt, dass 63 Prozent der untersuchten Angriffe durch Schwachstellen möglich wurden, die durch Mitarbeiter des externen Providers verursacht wurden. Diese Sicherheitsmängel bei den Cloud-Anbietern werden jedoch häufig nicht früh genug erkannt, verschiedene Cloud-Anbieter bieten dazu auch nicht genug Transparenz, wie eine Analyse von Lieberman Software ergab.

Bildergalerie

Den Informationsmangel über die Cloud-Sicherheit muss ein Anwenderunternehmen jedoch beseitigen. Für deutsche Unternehmen regeln dies insbesondere die Vorgaben aus dem Bundesdatenschutzgesetz über Auftragsdatenverarbeitung, zu der Cloud Computing in aller Regel zu rechnen ist. So bleibt der Cloud-Nutzer selbst für die Sicherheit seiner Daten verantwortlich und muss sich deshalb regelmäßig ein genaues Bild von der Sicherheit bei dem Cloud-Anbieter machen.

Sicherheitstests aus der Cloud für die Cloud

Cloud Computing macht aber nicht nur Sicherheitskontrollen erforderlich, sondern Clouds können auch dabei wertvolle Unterstützung leisten. Sicherheitstests von Cloud-Diensten können selbst als Cloud-Dienst genutzt werden. Dabei reicht das Angebot von Test-as-a-Service (TaaS) von automatischen Penetrationstests bis hin zu den Tests der Applikationssicherheit und Cloud-Performance.

1. Penetrationstests

Bevor die Sicherheit eines Cloud-Anbieters auf die Probe gestellt wird, sollten Anwenderunternehmen die genauen Vereinbarungen in den Verträgen und Service Level Agreements (SLA) prüfen. Das gilt insbesondere für aktive Sicherheitstests wie einen Penetrationstest. In der Regel wird dafür eine Zustimmung des Cloud Providers benötigt. So hat zum Beispiel Amazon Web Services (AWS) ein genaues Vorgehen definiert, wie Penetrationstests angekündigt und durchgeführt werden.

Ein spezieller Testdienst für Penetrationstests bei AWS ist zum Beispiel Core CloudInspect von Core Security. Nach der Anmeldung bei diesem Cloud-basierten Testservice wählt der Nutzer seine AWS-Ressourcen aus, die getestet werden sollen, erhält dazu eine Kosteninformation und kann den Test auf Knopfdruck starten. Die zuvor gewählten Testberichte können zum Beispiel heruntergeladen und zur Analyse an die zuständigen Stellen im Unternehmen verteilt werden.

2. Schwachstellensuche

Betreiben Unternehmen Webanwendungen in der Cloud, gilt es auch mögliche Sicherheitsrisiken wie Cross-Site Scripting (XSS) und SQL Injection zu erkennen. Dabei helfen Cloud-basierte Testwerkzeuge wie Veracode DynamicMP und Schwachstellen-Scanner wie Veracode Dynamic Analysis oder der Webseiten-Check der Initiative-S. Die Sicherheitstests laufen automatisch ab, der Nutzer gibt nur die Internetadresse seiner zu prüfenden Webanwendung an und erhält danach die Ergebnisberichte.

(ID:39729090)