Jan-Tilo Kirchhoff ist Geschäftsführer der Compass Security Deutschland GmbH. Im Interview beantwortet er Fragen zu seinem Workshop auf den ISDs 2019 mit dem Titel „Der Regenmacher – Die Sicherheit von cloudbasierten Infrastrukturen aus der Sicht eines Penetrationstesters.“
Herr Kirchhoff, was genau sind Penetrationstests und wie setzen Sie diese ein, um die IT-Sicherheit zu erhöhen?
Unter dem Begriff Penetrationstests werden heute teilweise recht unterschiedliche Dienstleistungen angeboten – von automatisierten Schwachstellen-Scans bis hin zum sogenannten Red-Teaming. Während erstere dem Auffinden und Aufdecken bekannter Angriffsvektoren und fehlender Patches dienen, wird beim Red-Teaming ein realistischer Angriff auf ein Unternehmen simuliert. Wichtig ist es, abhängig vom Reifegrad der IT-Sicherheit im Dialog das richtige „Produkt“ auszuwählen, um IT-Administratoren und Sicherheitsverantwortliche optimal bei der kontinuierlichen Verbesserung der Sicherheit ihrer Systeme und IT-Prozesse zu unterstützen.
Sind diese Tests beim Einsatz von Cloud-Lösungen überhaupt notwendig?
Ganz klar ja! Mit Penetrationstests lassen sich die Sicherheitsmaßnahmen des Cloud-Providers überprüfen. Außerdem muss man sehr genau in die Verträge schauen, damit klar ist, wo die Verantwortlichkeit des Cloud-Providers aufhört und die eigene beginnt. Bei PaaS (Platform as a Service)-Lösungen ist man in der Regel selbst für die Sicherheit der Applikation und der Datenbanken verantwortlich. Wenn Daten verloren gehen, werden sich Kunden und Datenschützer in der Regel zunächst bei ihrem Vertragspartner melden – unabhängig davon, ob dieser die IT selbst betreibt oder vollständig auf Cloud-Lösungen setzt.
Wie ist der Workshop aufgebaut, welche Ergebnisse wollen Sie erarbeiten und wie gehen Sie dabei vor?
Wir starten mit einer kurzen theoretischen Einleitung und Übersicht über die verschiedenen Formen von Penetrationstests und ihrer Relevanz für die Cloud. Anschließend werden wir uns gemeinsam einige exemplarische Cloud-Architekturen ansehen und Ansätze für die Planung und Durchführung von entsprechenden Sicherheitsüberprüfungen erarbeiten. Mein Ziel ist es, die Teilnehmer in die Lage zu versetzen, bei eigenen Cloud-Projekten schon in möglichst frühen Planungsstadien sicherheitsrelevante Fragestellungen zu berücksichtigen. Die getroffenen Sicherheitsmaßnahmen sollen sich im Verlauf des Projektes mit geeigneten Tests überprüfen lassen.
Herr Kirchhoff, vielen Dank für das Interview!
Der Workshop findet statt am Freitag, 27. September ab 9:30 Uhr. Teilnehmer melden sich bitte vorab für diesen Workshop an.
