Sicherheitsteams müssen sich auf die Perspektive von Angreifenden einlassen, um sicherzustellen, dass die Cybersicherheitsmassnahmen ihres Unternehmens angemessen sind. Stellen Sie sich vor, Sie wollen Ihr Haus vor Eindringlingen schützen. Die Standardmethode besteht darin sicherzustellen, dass alle Türen verschlossen sind. Um jedoch zu überprüfen, ob Ihr Haus wirklich geschützt ist, müssen Sie die Sicherheit wie ein:e Einbrecher:in testen: Versuchen Sie, die Schlösser zu knacken, klettern Sie durch die Fenster und suchen Sie nach Orten, an denen der Hausschlüssel «sicher» aufbewahrt werden könnte. Penetrationstests dienen genau diesem Zweck. Sie geben Ihnen eine Vorstellung davon, was in Ihrer IT-Infrastruktur zum Angriffsziel werden könnte. Dieser Ansatz ist nicht neu. Da moderne Unternehmen jedoch zunehmend Cloud-Dienste nutzen, ist es notwendig, das Konzept herkömmlicher Penetrationstests auch auf die Cloud anzuwenden. Cloud-Architekturen bestehen aus Ressourcen, Identitäten und Konfigurationen, die programmatisch definiert sind und sich schnell ändern. Folglich kann die Cloud die Komplexität der Cybersicherheit enorm erhöhen. Auch wenn die führenden Cloud-Service-Anbieter strenge Sicherheitspraktiken anwenden, sollten Sie sich nicht zu sehr darauf verlassen. Sie müssen für die Sicherheit ihrer Cloud-Assets gemäss dem Modell der gemeinsamen Verantwortung für die Cloud Sorge tragen. Deshalb ist das Pentesting in der Cloud genauso wichtig wie herkömmliche Netzwerk-Penetrationstests – in manchen Fällen sogar noch wichtiger. Was Ihr Cloud-Pentest abdecken sollte Je nach dem von Ihnen gewählten Modell für die Bereitstellung von Cloud-Diensten können die Grenzen Ihrer Verantwortung für die Sicherheit unterschiedlich sein. Der Cloud-Anbieter ist für die Sicherheit der Hardware und der zugrunde liegenden Software verantwortlich, die seine Dienste ermöglichen.