Cloud-Sicherheit mit Tools aus dem Internet prüfen

Testunterstützung aus der Cloud

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Mit dem Webseiten-Check der Initiative-S können Schwachstellen in Websites aufgedeckt werden, die in der Cloud betrieben werden.
Mit dem Webseiten-Check der Initiative-S können Schwachstellen in Websites aufgedeckt werden, die in der Cloud betrieben werden. (initiative-s.de)

Regelmäßige Sicherheitsüberprüfungen gehören bei Cloud-Infrastrukturen zum Pflichtprogramm. Mit Testwerkzeugen aus der Cloud gelingt dies auch kleinen und mittleren Unternehmen. In diesem Beitrag haben wir gleich mehrere solcher Online-Tools zusammengefasst.

Jedes dritte Unternehmen in Deutschland nutzt Cloud Computing, doch die Sorge um die Datensicherheit bleibt. Laut dem Silver Lining Report von SilverSky gehört eine externe Zertifizierung der Sicherheitsmaßnahmen des Cloud-Anbieters zu den drei wichtigsten Entscheidungskriterien, wenn es um die Auswahl eines Cloud-Dienstes geht.

Um die Sicherheit von extern betriebenen IT-Diensten ist es tatsächlich nicht immer gut bestellt: Der 2013 Trustwave Global Security Report zeigt, dass 63 Prozent der untersuchten Angriffe durch Schwachstellen möglich wurden, die durch Mitarbeiter des externen Providers verursacht wurden. Diese Sicherheitsmängel bei den Cloud-Anbietern werden jedoch häufig nicht früh genug erkannt, verschiedene Cloud-Anbieter bieten dazu auch nicht genug Transparenz, wie eine Analyse von Lieberman Software ergab.

Den Informationsmangel über die Cloud-Sicherheit muss ein Anwenderunternehmen jedoch beseitigen. Für deutsche Unternehmen regeln dies insbesondere die Vorgaben aus dem Bundesdatenschutzgesetz über Auftragsdatenverarbeitung, zu der Cloud Computing in aller Regel zu rechnen ist. So bleibt der Cloud-Nutzer selbst für die Sicherheit seiner Daten verantwortlich und muss sich deshalb regelmäßig ein genaues Bild von der Sicherheit bei dem Cloud-Anbieter machen.

Sicherheitstests aus der Cloud für die Cloud

Cloud Computing macht aber nicht nur Sicherheitskontrollen erforderlich, sondern Clouds können auch dabei wertvolle Unterstützung leisten. Sicherheitstests von Cloud-Diensten können selbst als Cloud-Dienst genutzt werden. Dabei reicht das Angebot von Test-as-a-Service (TaaS) von automatischen Penetrationstests bis hin zu den Tests der Applikationssicherheit und Cloud-Performance.

1. Penetrationstests

Bevor die Sicherheit eines Cloud-Anbieters auf die Probe gestellt wird, sollten Anwenderunternehmen die genauen Vereinbarungen in den Verträgen und Service Level Agreements (SLA) prüfen. Das gilt insbesondere für aktive Sicherheitstests wie einen Penetrationstest. In der Regel wird dafür eine Zustimmung des Cloud Providers benötigt. So hat zum Beispiel Amazon Web Services (AWS) ein genaues Vorgehen definiert, wie Penetrationstests angekündigt und durchgeführt werden.

Ergänzendes zum Thema
 
Gratis-eBook zur Cloud-Sicherheit von Security-Insider.de

Ein spezieller Testdienst für Penetrationstests bei AWS ist zum Beispiel Core CloudInspect von Core Security. Nach der Anmeldung bei diesem Cloud-basierten Testservice wählt der Nutzer seine AWS-Ressourcen aus, die getestet werden sollen, erhält dazu eine Kosteninformation und kann den Test auf Knopfdruck starten. Die zuvor gewählten Testberichte können zum Beispiel heruntergeladen und zur Analyse an die zuständigen Stellen im Unternehmen verteilt werden.

2. Schwachstellensuche

Betreiben Unternehmen Webanwendungen in der Cloud, gilt es auch mögliche Sicherheitsrisiken wie Cross-Site Scripting (XSS) und SQL Injection zu erkennen. Dabei helfen Cloud-basierte Testwerkzeuge wie Veracode DynamicMP und Schwachstellen-Scanner wie Veracode Dynamic Analysis oder der Webseiten-Check der Initiative-S. Die Sicherheitstests laufen automatisch ab, der Nutzer gibt nur die Internetadresse seiner zu prüfenden Webanwendung an und erhält danach die Ergebnisberichte.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39729090 / Cloud und Virtualisierung)