Selbst-Hacking: Überprüfen von Cloud-Umgebungen
Cloud-Dienste sind nicht immer sicher. Mit den richtigen Tools können Sicherheitsverantwortliche die eingesetzten Dienste auditieren und Einstellungen ändern.
- Frank Ully
In den vergangenen Jahren haben Unternehmen Milliarden investiert, um Anwendungen und Daten von on Premises in öffentliche Clouds zu verlagern, vor allem zu Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP). Neben der Flexibilität und anderen operativen Vorteilen mag höhere Sicherheit ein vermeintlich gutes Argument sein – schließlich haben die Anbieter viel mehr Expertise, Budget und Mitarbeiter für Informationssicherheit.
Allerdings gerät die Datenwolke zunehmend ins Visier von Cyberkriminellen: Die Zahl der Angreifer mit Cloud-Expertise hat sich verdreifacht, schreibt CrowdStrike in einem Bedrohungsbericht. Auch deswegen erlitten über 80 Prozent der Organisationen im Jahr 2022 einen kleineren oder größeren Sicherheitsvorfall mit Cloud-Bezug, wie eine Umfrage von Venafi ergab.
Denn ein Großteil der Zuständigkeit für die Sicherheit lastet im Modell der gemeinsamen Verantwortung weiterhin auf den Schultern des Cloud-Nutzers. Problematisch kann es dann werden, wenn ein Unternehmen sich auf unzureichende Standardeinstellungen etwa von Microsofts Cloud-Verzeichnisdienst Entra ID – früher Azure Active Directory – verlässt oder seine Pflichten vernachlässigt und nicht die eingebauten Sicherheitsmechanismen oder kostenfreie Auditwerkzeuge von Drittanbietern nutzt.
Das war die Leseprobe unseres heise-Plus-Artikels "Selbst-Hacking: Überprüfen von Cloud-Umgebungen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.