Sie befin­den sich hier:

Cloud Secu­ri­ty

Pene­tra­ti­ons­test Ihrer Cloud-Archi­tek­tur

Ein Cloud Secu­ri­ty Audit ist eine Bewer­tung, bei der die Cloud-Infra­struk­tur eines Unter­neh­mens auf Schwach­stel­len, Fehl­kon­fi­gu­ra­tio­nen und poten­zi­el­le Angriffs­punk­te getes­tet und ana­ly­siert wird, um sicher­zu­stel­len, dass das Unter­neh­men vor einer Viel­zahl von Sicher­heits­ri­si­ken und Bedro­hun­gen geschützt ist. Ziel des Audits ist es, eine ganz­heit­li­che Ana­ly­se der Cloud-Infra­struk­tur durch­zu­füh­ren und Ansät­ze zur Ver­hin­de­rung zukünf­ti­ger Angrif­fe auf­zu­zei­gen.

Grün­de für ein Cloud Secu­ri­ty Audit

In den letz­ten Jah­ren hat sich die Kul­tur des Home Office durch­ge­setzt. Die Vor­tei­le, die Cloud-Anbie­ter in Kom­bi­na­ti­on mit Tele­ar­beit bie­ten, haben dazu geführt, dass immer mehr Unter­neh­men ihre IT-Infra­struk­tur in die Cloud ver­la­gern. Die Vor­tei­le lie­gen auf der Hand: Die Mit­ar­bei­ten­den kön­nen von über­all auf die benö­tig­ten Anwen­dun­gen und Daten zugrei­fen, ohne dass eine loka­le Infra­struk­tur vor­han­den sein muss. Dadurch spa­ren Unter­neh­men nicht nur Kos­ten für Hard­ware, son­dern auch für Sup­port und War­tung vor Ort.

Damit ein­her­ge­hend haben sich auch die Risi­ken und Her­aus­for­de­run­gen für die IT-Sicher­heit ver­än­dert. Da sen­si­ble Daten nun in der Cloud gespei­chert wer­den, müs­sen Unter­neh­men sicher­stel­len, dass die­se Daten ange­mes­sen geschützt sind. Ins­be­son­de­re die Über­tra­gung von Daten über das Inter­net und die Spei­che­rung auf Ser­vern, die nicht unter der direk­ten Kon­trol­le des Unter­neh­mens ste­hen, erhö­hen das Risi­ko von Daten­ver­lust oder ‑dieb­stahl.

Daher ist es wich­tig, dass Unter­neh­men bei der Nut­zung von Cloud-Diens­ten eine umfas­sen­de Sicher­heits­stra­te­gie umset­zen. Dazu gehö­ren bei­spiels­wei­se die Über­prü­fung der Daten­schutz­be­stim­mun­gen und die Imple­men­tie­rung von Ver­schlüs­se­lungs­tech­no­lo­gien, um den Schutz der Daten wäh­rend der Über­tra­gung und Spei­che­rung zu gewähr­leis­ten. Wesent­li­che Schrit­te, um einen unbe­rech­tig­ten Zugriff auf die Daten in der Cloud zu ver­hin­dern, sind zudem die Über­wa­chung der Nut­zer­ak­ti­vi­tä­ten und die Imple­men­tie­rung von Zugriffs­kon­trol­len.

Ins­ge­samt bie­tet die Nut­zung von Cloud-Diens­ten für die Tele­ar­beit vie­le Vor­tei­le, kann aber auch neue Her­aus­for­de­run­gen für die IT-Sicher­heit mit sich brin­gen. Unter­neh­men soll­ten daher eine umfas­sen­de Cloud-Sicher­heits­stra­te­gie ent­wi­ckeln, um sicher­zu­stel­len, dass ihre Daten und Sys­te­me ange­mes­sen geschützt sind.

Ziel

Das Ziel für ein Cloud Secu­ri­ty Audit stellt die Iden­ti­fi­zie­rung von Schwach­stel­len, Fehl­kon­fi­gu­ra­tio­nen und poten­zi­el­len Angriffs­punk­ten in der Cloud-Infra­struk­tur des Unter­neh­mens dar, um sicher­zu­stel­len, dass das Unter­neh­men vor Sicher­heits­ri­si­ken und Bedro­hun­gen geschützt ist. Durch­füh­rung einer umfas­sen­den Ana­ly­se der Cloud-Infra­struk­tur des Unter­neh­mens, um mög­li­che Angriffs­vek­to­ren und poten­zi­el­le Bedro­hun­gen zu iden­ti­fi­zie­ren und Lösun­gen zu deren Ver­mei­dung zu fin­den.

Iden­ti­fi­ka­ti­on von Schwach­stel­len,
Fehl­kon­fi­gu­ra­tio­nen und poten­zi­el­len Angriffs­punk­ten in der Cloud-Infra­struk­tur des Unter­neh­mens
Durch­füh­rung einer umfas­sen­den Ana­ly­se
der Cloud-Infra­struk­tur des Unter­neh­mens
Bewer­tung der Sicher­heits­la­ge des Unter­neh­mens
durch Über­prü­fung der Doku­men­ta­ti­on und der Imple­men­tie­rung von Daten­schutz­be­stim­mun­gen
Erstel­lung von Emp­feh­lun­gen für jede gefun­de­ne Schwach­stel­le
und deren Bespre­chung mit dem Sicher­heits­team des Kun­den.
Prä­sen­ta­ti­on der Ergeb­nis­se und Dis­kus­si­on mit den inter­nen Stake­hol­dern des Kun­den
um Fra­gen zu ein­zel­nen tech­ni­schen und all­ge­mei­nen Emp­feh­lun­gen zu beant­wor­ten.

Ein erfolg­rei­ches IT-Audit der Cloud-Infra­struk­tur hilft Unter­neh­men, poten­zi­el­le Sicher­heits­ri­si­ken und Bedro­hun­gen zu erken­nen und geeig­ne­te Maß­nah­men zu deren Besei­ti­gung zu ergrei­fen.

All­ge­mei­ne Test­me­tho­dik

Bei der Ana­ly­se und Audi­tie­rung ori­en­tie­ren wir uns an den Her­stel­ler­an­ga­ben und dem Cloud Secu­ri­ty Bench­mark sowie dem Cloud Adop­ti­on Frame­work for Azu­re von Micro­soft [1][2][3]. Die­se umfas­sen all­ge­mei­ne Schwer­punk­te wie:

Umset­zung

Ein Cloud Secu­ri­ty Audit besteht in der Regel aus den fol­gen­den grund­le­gen­den Schrit­ten:

Doku­men­ten­prü­fung und Befra­gung:
Die Audi­to­ren prü­fen die Doku­men­ta­ti­on und befra­gen das Unter­neh­men, um den Geschäfts­zweck der Kun­den­um­ge­bung, die geplan­te Archi­tek­tur und alle geplan­ten Ände­run­gen an der Umge­bung zu ver­ste­hen.
Auto­ma­ti­sier­te und manu­el­le Tests:
Die tech­ni­schen Audi­to­ren ver­wen­den spe­zi­el­le Tools, um Infor­ma­tio­nen über die Umge­bung zu sam­meln, Fehl­kon­fi­gu­ra­tio­nen und Schwach­stel­len zu iden­ti­fi­zie­ren und mög­li­che Angriffs­pfa­de zu bewer­ten.
Erstel­lung von Emp­feh­lun­gen:
Der Audi­tor erstellt Emp­feh­lun­gen für jede gefun­de­ne Schwach­stel­le und bespricht die­se mit dem Sicher­heits­team des Kun­den.
Prä­sen­ta­ti­on:
Die Audi­to­ren arbei­ten mit den inter­nen Stake­hol­dern des Kun­den zusam­men, um die Ergeb­nis­se zu dis­ku­tie­ren und Fra­gen zu ein­zel­nen tech­ni­schen und all­ge­mei­nen Emp­feh­lun­gen zu beant­wor­ten.

Quel­len

[1] Micro­soft, Metho­den für Infra­struk­tur- und Ent­wick­lungs­si­cher­heit, https://learn.microsoft.com/de-de/azure/cloud-adoption-framework/secure/security-best-practices-introduction 

[2] Micro­soft, Cloud Adop­ti­on Frame­work für Azu­re, https://learn.microsoft.com/de-de/azure/cloud-adoption-framework/overview 

[3] Micro­soft, Über­sicht über Micro­soft Cloud Secu­ri­ty Bench­mark, https://learn.microsoft.com/de-de/security/benchmark/azure/overview