Zurück zum Blog
13. April 2026

Cloud Penetration Testing Grundlagen für die ISO 27001 Zertifizierung

Die ISO 27001-Zertifizierung Ihres Unternehmens ist wie ein Marathonlauf. Es ist ein langer, anstrengender Prozess der Dokumentation, Richtlinienerstellung und Auditierung, der sich endlos anfühlt. Aber für die meisten von uns in der Technologie- und Sicherheitswelt ist der eigentliche "Berg" der technische Validierungsteil. Sie können das schönste Handbuch für Sicherheitsrichtlinien der Welt haben, aber wenn ein zufälliger Script Kiddie einen offenen S3-Bucket oder einen SQL Injection-Punkt in Ihrer primären App findet, ist Ihr Information Security Management System (ISMS) im Grunde genommen eine Fiktion.

Hier wird Cloud-Penetration Testing eher zur Notwendigkeit als zu einem "nice to have". Wenn Sie eine ISO 27001-Zertifizierung anstreben, setzen Sie nicht nur ein Häkchen; Sie versuchen, einem Auditor nachzuweisen, dass Sie tatsächlich wissen, wo Ihre Risiken liegen und dass Sie einen wiederholbaren Prozess haben, um diese zu finden und zu beheben. In einer Cloud-Umgebung ist dies schwieriger als es sich anhört. Der Perimeter ist durchlässig, Konfigurationen ändern sich in Sekundenschnelle über Terraform oder CloudFormation, und ein einziges falsch angeklicktes Kontrollkästchen in der AWS- oder Azure-Konsole kann Ihre gesamte Kundendatenbank dem öffentlichen Internet zugänglich machen.

Viele Teams machen den Fehler zu glauben, dass ein Vulnerability Scan dasselbe ist wie ein Penetration Test. Das ist es nicht. Ein Scan sagt Ihnen, dass eine Tür unverschlossen ist; ein Penetration Test sagt Ihnen, dass jemand durch diese Tür gehen, den Serverraum finden und die Kronjuwelen stehlen kann. Für ISO 27001, insbesondere im Rahmen der Annex A-Kontrollen in Bezug auf Vulnerability Management und technische Compliance, gibt es dem Auditor Vertrauen in Ihre Sicherheitslage, wenn Sie nachweisen, dass Sie "Ethical Hacking" oder Deep-Dive-Tests durchgeführt haben.

In diesem Leitfaden werden wir genau aufschlüsseln, wie Sie Cloud-Penetration Testing angehen können, um die ISO 27001-Anforderungen zu erfüllen. Wir werden über den Jargon hinausgehen und uns die praktischen Schritte ansehen, die Sie unternehmen müssen - von der Abgrenzung Ihrer Cloud-Assets bis hin zur Bearbeitung der Sanierungsberichte, die die Auditoren tatsächlich sehen wollen.

Warum ISO 27001 mehr als nur Basic Scanning verlangt

ISO 27001 ist ein Rahmenwerk für das Risikomanagement. Es sagt nicht explizit "Sie müssen jeden Dienstag einen Penetration Test durchführen", aber es verlangt von Ihnen, dass Sie technische Schwachstellen verwalten. Wenn Sie einem Auditor sagen, dass Sie "sicher" sind, weil Sie einen automatisierten Scan durchgeführt haben, wird er fragen, wie Sie diese Ergebnisse validieren und wie Sie auf komplexe Angriffsketten testen, die Scanner übersehen.

Die Lücke zwischen Scanning und Testing

Die meisten Unternehmen verlassen sich auf automatisierte Vulnerability Scanner. Diese sind ideal, um veraltete Bibliotheken oder fehlende Patches zu finden. Aber Scanner sind blind für die Geschäftslogik. Ein Scanner wird nicht bemerken, dass ein Benutzer seine user_id in einer URL ändern kann, um die privaten Abrechnungsdaten eines anderen Kunden einzusehen. Das ist ein Broken Object Level Authorization (BOLA)-Problem, und es ist eine Goldgrube für Angreifer.

Cloud-Penetration Testing schließt diese Lücke. Es beinhaltet, dass ein Mensch (oder eine hochentwickelte Plattform, die Automatisierung mit menschlicher Logik kombiniert) versucht, sich durch Ihr Netzwerk zu bewegen. Zum Beispiel könnte ein Pentester eine Schwachstelle mit geringem Schweregrad in einer Webanwendung finden, diese nutzen, um einen Fuß in einen Container zu bekommen, eine übermäßig permissive IAM-Rolle entdecken, die an diesen Container gebunden ist, und dann diese Berechtigungen nutzen, um Ihre gesamte RDS-Datenbank zu dumpen. Diese "Angriffskette" ist genau das, was ISO 27001 von Ihnen verlangt, dass Sie sie identifizieren und entschärfen.

Zuordnung von Penetration Testing zu Annex A Controls

Wenn Sie sich die aktualisierten ISO 27001:2022-Standards ansehen, stützen sich mehrere Kontrollen stark auf die Ergebnisse von Penetration Testing:

  • A.8.8 Management of Technical Vulnerabilities: Dies ist der wichtigste Punkt. Sie müssen Schwachstellen identifizieren und geeignete Maßnahmen ergreifen. Penetration Testing ist der Goldstandard für die "Identifizierung" von Dingen, die Software übersieht.
  • A.8.25 Secure Development Life Cycle: Wenn Sie täglich Code in die Cloud schieben, müssen Sie nachweisen, dass Security Testing Teil dieser Schleife ist.
  • A.5.37 Compliance with Policies and Standards: Tests beweisen, dass Ihre internen Sicherheitsrichtlinien in der Produktionsumgebung tatsächlich eingehalten werden.

Im Wesentlichen dient der Pentest-Bericht als "Beweis"-Ordner für den Auditor. Er beweist, dass Sie nicht nur Ihre Sicherheit erraten, sondern sie tatsächlich getestet haben.

Abgrenzung Ihrer Cloud-Umgebung für das Audit

Eine der größten Kopfschmerzen beim Cloud-Penetration Testing ist die Ausweitung des Umfangs. Sie beginnen mit dem Testen einer API, und plötzlich versuchen Sie, drei AWS-Konten, einen Legacy-On-Premise-Server und eine SaaS-Integration eines Drittanbieters zu testen. Für ISO 27001 muss Ihr Umfang klar definiert sein, da der Auditor prüft, ob Ihre Tests mit Ihrer angegebenen "Statement of Applicability" (SoA) übereinstimmen.

Identifizierung Ihrer "Kronjuwelen"

Sie können nicht alles mit der gleichen Intensität testen. Sie müssen Prioritäten setzen. Beginnen Sie mit der Erstellung eines Datenflussdiagramms. Wo befinden sich die PII (Personally Identifiable Information)? Welche Dienste verarbeiten Zahlungsdaten? Welche API-Gateways sind öffentlich zugänglich?

In einem Cloud-Kontext sollte Ihr Umfang Folgendes umfassen:

  1. Öffentlich zugängliche Endpunkte: Load Balancer, API-Gateways und Webanwendungen.
  2. Identity and Access Management (IAM): Dies ist der neue Perimeter. Die Tests sollten sich darauf konzentrieren, ob ein kompromittiertes Benutzerkonto Privilegien eskalieren kann.
  3. Container Orchestration: Wenn Sie Kubernetes (EKS, GKE, AKS) verwenden, ist die Konfiguration des Clusters selbst ein massiver Angriffsvektor.
  4. Serverless Functions: Lambda oder Azure Functions haben oft "versteckte" Berechtigungen, die missbraucht werden können.
  5. Storage Buckets: S3, Azure Blobs oder Google Cloud Storage. Fehlkonfigurierte Buckets sind die häufigste Ursache für Cloud-Datenschutzverletzungen.

Definition der "Rules of Engagement"

Bevor ein einziges Paket gesendet wird, benötigen Sie ein Rules of Engagement (RoE)-Dokument. Dies ist für ISO 27001 von entscheidender Bedeutung, da es dem Auditor zeigt, dass Sie einen kontrollierten Prozess haben. Das RoE sollte Folgendes beantworten:

  • Was ist tabu? (z. B. "Führen Sie keine Denial of Service-Angriffe auf die Produktionsdatenbank durch").
  • Wann können Tests durchgeführt werden? (z. B. "Nur außerhalb der Stoßzeiten" oder "Kontinuierliche Tests sind erlaubt").
  • Wer ist der Ansprechpartner? Wenn das Sicherheitsteam einen Anstieg des Datenverkehrs feststellt, wen rufen sie an, um zu überprüfen, ob es sich um den Pentester und nicht um einen echten Angreifer handelt?
  • Wie werden Daten behandelt? Pentester finden sensible Daten. Wie werden diese Daten verschlüsselt und nach dem Test gelöscht?

Die Herausforderung der "Cloud-Berechtigung"

Vor einigen Jahren mussten Sie AWS oder Azure um Erlaubnis fragen, bevor Sie ein Penetration Testing durchführen konnten. Heute haben die meisten großen Cloud-Anbieter diese Regeln für gängige Dienste gelockert. Sie können jedoch immer noch keine DDoS-Angriffe durchführen oder die zugrunde liegende Cloud-Infrastruktur (die Hypervisoren) angreifen.

Wenn Sie eine Plattform wie Penetrify verwenden, wird dies viel einfacher. Da es sich um eine Cloud-native Plattform handelt, ist sie so konzipiert, dass sie innerhalb der Grenzen dieser Umgebungen arbeitet, sodass Sie Ihre Tests skalieren können, ohne sich Sorgen machen zu müssen, versehentlich eine Sicherheitsblockade auf Provider-Ebene auszulösen.

Häufige Cloud-Schwachstellen, die ISO 27001-Kandidaten zu Fall bringen

Wenn Sie Ihren Penetration Test-Bericht zurückerhalten, sehen Sie wahrscheinlich eine Liste von Ergebnissen. Um bei Ihrer Zertifizierung erfolgreich zu sein, müssen Sie diese nicht nur als "Bugs" verstehen, sondern als Fehler in Ihrem ISMS.

1. Der IAM-Albtraum (Privilege Escalation)

In der Cloud ist Identität alles. Ein häufiges Ergebnis ist "Übermäßig permissive IAM-Rollen".

Stellen Sie sich vor, ein Entwickler erstellt eine Rolle für eine einfache Protokollierungs-App, gibt ihr aber AdministratorAccess, weil es einfacher war, als die spezifischen erforderlichen Berechtigungen herauszufinden. Ein Pentester findet einen Weg, einen einfachen Befehl für diese App auszuführen, stiehlt die temporären Sicherheitstoken und hat plötzlich die vollständige Kontrolle über Ihr gesamtes Cloud-Konto.

Aus ISO 27001-Sicht ist dies ein Verstoß gegen das Prinzip der "Least Privilege". Die Lösung besteht nicht nur darin, die Rolle zu ändern, sondern einen Prozess zu implementieren, um die IAM-Berechtigungen vierteljährlich zu überprüfen.

2. Geheimnis-Wildwuchs

Fest codierte API-Schlüssel in GitHub, Passwörter in Umgebungsvariablen oder Geheimnisse, die im Klartext in einer Konfigurationsdatei gespeichert sind. Pentester lieben das. Sie finden einen durchgesickerten Schlüssel, verwenden ihn, um auf eine Datenbank zuzugreifen, und sind innerhalb von Minuten in Ihrem Netzwerk.

Dies deutet auf eine Lücke in Ihren "Secure Development"-Kontrollen hin. Um einen Auditor zufrieden zu stellen, sollten Sie zu einem Tool für das Geheimnismanagement (wie AWS Secrets Manager oder HashiCorp Vault) übergehen und Scans implementieren, um zu verhindern, dass Geheimnisse jemals in Code übernommen werden.

3. Fehlkonfigurierte S3-Buckets und Blobs

Wir haben alle die Schlagzeilen gesehen. Ein "interner" Bucket wird versehentlich auf "Öffentlich" gesetzt. Während Scanner diese finden können, zeigt Ihnen ein Pentester genau, welche Daten exfiltriert werden können und wie diese Daten verwendet werden können, um weitere Angriffe zu starten.

Dies ist ein Fehler des "Configuration Management". Die Behebung ist oft eine automatisierte Richtlinie (wie AWS GuardDuty oder Azure Policy), die verhindert, dass Buckets überhaupt erst öffentlich gemacht werden.

4. Unsichere API-Endpunkte

Mit dem Übergang zu Microservices sind die meisten Cloud-Apps nur eine Sammlung von APIs. Häufige Probleme sind:

  • Fehlende Ratenbegrenzung: Ermöglicht einem Angreifer, Passwörter per Brute-Force zu knacken oder Daten zu scrapen.
  • Unzureichende Authentifizierung: Endpunkte, die davon ausgehen, dass "wenn die Anfrage aus dem internen Netzwerk kommt, ist sie sicher".
  • Massenzuweisung: Ermöglicht einem Benutzer, eine Anfrage wie {"role": "admin"} während einer Profilaktualisierung zu senden, um sich selbst Administratorrechte zu gewähren.

Diese Ergebnisse zeigen dem Auditor, dass Ihre "Application Security"-Tests unzureichend sind.

Schritt für Schritt: Integration von Penetration Testing in Ihren ISO 27001-Workflow

Sie sollten nicht nur einmal im Jahr einen großen Penetration Test durchführen und es dabei belassen. Das ist "Compliance-getriebene Sicherheit", und das ist gefährlich. Stattdessen wollen Sie "Sicherheits-getriebene Compliance". Hier erfahren Sie, wie Sie Penetration Testing in Ihr gesamtes Managementsystem integrieren.

Schritt 1: Risikobewertung (Die Grundlage)

Bevor Sie testen, müssen Sie eine Risikobewertung durchführen. Identifizieren Sie Ihre Assets, die Bedrohungen für diese Assets und die aktuellen Kontrollen, die vorhanden sind.

  • Asset: Kundendatenbank in RDS.
  • Bedrohung: Unbefugter Zugriff über eine API-Schwachstelle.
  • Aktuelle Kontrolle: WAF und Basic Auth.
  • Restrisiko: Hoch (weil die API noch nicht eingehend getestet wurde).

Der Penetration Test ist das Werkzeug, mit dem Sie validieren, ob dieses "Restrisiko" tatsächlich so hoch ist, wie Sie denken.

Schritt 2: Auswahl Ihrer Testfrequenz

Wie oft sollten Sie für ISO 27001 ein Penetration Testing durchführen? Die Norm gibt keine Zahl vor, aber ein gängiger Branchenrichtwert ist:

  • Jährlich: Für die gesamte Umgebung (Deep Dive).
  • Vierteljährlich: Für kritische, nach außen gerichtete Anwendungen.
  • Pro Major Release: Immer wenn Sie eine wesentliche Änderung an Ihrer Cloud-Architektur vornehmen.

Wenn Sie eine Cloud-basierte Plattform wie Penetrify verwenden, können Sie zu einem "kontinuierlichen" Modell übergehen. Anstatt eines einmal jährlichen Ereignisses, das Ihr Team stört, können Sie gezielte Tests als Teil Ihrer CI/CD-Pipeline durchführen.

Schritt 3: Die Ausführungsphase

Hier passiert das eigentliche Hacking. Ein guter Cloud Penetration Test sollte einer strukturierten Methodik folgen (wie PTES oder OWASP). Es sieht normalerweise so aus:

  1. Reconnaissance: Sammeln von Informationen über Ihre Cloud-Präsenz (DNS-Einträge, öffentliche IPs, durchgesickerte Anmeldedaten).
  2. Scanning: Identifizieren offener Ports und Dienste.
  3. Exploitation: Der Versuch, einzudringen.
  4. Post-Exploitation: Wenn sie einmal drin sind, wie weit können sie gehen? Können sie die Datenbank erreichen? Können sie sich vom Dev-Konto zum Prod-Konto bewegen?
  5. Reporting: Das Abschlussdokument, das alles Gefundene auflistet.

Schritt 4: Der Sanierungszyklus (Worauf Auditoren wirklich achten)

Hier ist ein Geheimnis: Auditoren kümmern sich nicht darum, ob Sie Schwachstellen haben. Jedes Unternehmen hat welche. Worauf sie achten, ist, was Sie dagegen unternommen haben.

Wenn Sie einem Auditor einen Bericht mit 20 "Critical"-Befunden und keinen Nachweis über Behebungen zeigen, werden Sie durchfallen. Wenn Sie ihnen einen Bericht mit 20 "Critical"-Befunden zeigen, zusammen mit einem Jira-Board, das zeigt, dass 18 davon behoben sind, 1 als "accepted risk" mit einer genehmigten geschäftlichen Begründung gilt und 1 für den nächsten Sprint zur Behebung geplant ist – werden Sie mit Bravour bestehen.

Schritt 5: Der Re-Test

Ein Pentest ist erst abgeschlossen, wenn der "Re-Test" durchgeführt wurde. Sobald Ihre Entwickler die Fehler behoben haben, sollten die Tester zurückkommen und versuchen, sie erneut zu knacken. Dies liefert dem ISO 27001-Auditor den endgültigen Beweis, dass die Schwachstelle beseitigt ist.

Vergleich: Manuelles vs. Automatisiertes vs. Hybrid Cloud Pentesting

Bei der Entscheidung, wie Sie Ihre Tests handhaben sollen, werden Sie einige verschiedene Optionen sehen. Jede hat ihren Platz in einer ISO 27001-Strategie, aber sie sind nicht austauschbar.

Feature Automated Scanning Manual Pentesting Hybrid (z. B. Penetrify)
Speed Extrem schnell Langsam Schnell bis moderat
Depth Oberflächlich Sehr tief Tief
Cost Niedrig Hoch (pro Engagement) Skalierbar/Abonnement
Logic Errors Werden übersehen Werden gefunden Findet die meisten
Consistency Hoch Niedrig (abhängig vom Tester) Hoch
ISO 27001 Value Niedrig (nur Baseline) Hoch (Validierung) Hoch (Kontinuierliche Validierung)

Wann man was verwendet

  • Automated Scanning: Verwenden Sie dies täglich. Es ist Ihre erste Verteidigungslinie. Fügen Sie es Ihren GitHub Actions oder GitLab CI hinzu.
  • Manual Pentesting: Verwenden Sie dies einmal jährlich für Ihre kritischsten Anwendungen mit hohem Risiko. Sie wollen ein menschliches Gehirn, das kreativ darüber nachdenkt, wie Ihre spezifische Geschäftslogik umgangen werden kann.
  • Hybrid Platform: Verwenden Sie dies für alles dazwischen. Es bietet Ihnen die Skalierbarkeit der Automatisierung mit der Intelligenz eines Penetration Testing Frameworks, was es viel einfacher macht, die "kontinuierliche" Anforderung eines modernen ISMS zu verwalten.

Der Abschnitt "Häufige Fehler": Wo Unternehmen bei ihrem Audit scheitern

Ich habe viele Organisationen gesehen, die sich die Mühe eines Pentests machen und trotzdem während des ISO 27001-Audits Schwierigkeiten haben. Hier sind die häufigsten Fallstricke.

Fehler 1: Die "Clean Report"-Falle

Einige Unternehmen üben Druck auf ihre Pentesting-Firmen aus, den Bericht zu "entschärfen", damit er für den Auditor besser aussieht. Tun Sie das nicht.

Erfahrene Auditoren wissen, dass keine Cloud-Umgebung perfekt ist. Ein Bericht, der "Keine Schwachstellen gefunden" in einem komplexen Cloud-Setup besagt, ist ein Warnsignal. Es deutet darauf hin, dass der Test nicht gründlich genug war oder dass das Unternehmen etwas verbirgt. Es ist viel besser, einen Bericht mit Ergebnissen und einem klaren, dokumentierten Sanierungsplan zu haben.

Fehler 2: Pentesting als einmaliges Projekt behandeln

Die Leute behandeln den Pentest wie eine Steuererklärung – etwas, das man einmal im Jahr macht und dann vergisst. Aber in der Cloud kann ein einzelnes Terraform Apply in Sekundenschnelle eine kritische Schwachstelle einführen.

Wenn Sie Ihren Pentest im Januar durchführen und Ihr Audit im Dezember stattfindet, wird der Auditor fragen, was Sie in den 11 Monaten seit dem Test getan haben. Wenn die Antwort "nichts" lautet, haben Sie keine "kontinuierliche Verbesserung" demonstriert, was ein Kernprinzip von ISO 27001 ist.

Fehler 3: Schlechte Evidence Mapping

Der Pentest-Bericht ist ein technisches Dokument. Der ISO-Auditor ist oft eine Compliance-Person, kein Hacker. Wenn Sie ihm einfach ein 60-seitiges PDF voller Python-Skripte und CURL-Befehle geben, wird er sich verirren.

Sie müssen ein "Brücken"-Dokument erstellen. Ordnen Sie jedes Ergebnis im Pentest-Bericht einer bestimmten ISO 27001-Kontrolle zu. Zum Beispiel: "Ergebnis Nr. 4 (S3 Public Access) bezieht sich auf Kontrolle A.8.8. Die Sanierung wurde am 12. Oktober über Ticket Nr. 123 abgeschlossen."

Fehler 4: "Low"-Severity-Ergebnisse ignorieren

Es ist verlockend, nur die "Criticals" und "Highs" zu beheben. Angreifer verwenden jedoch oft eine Kette von drei "Low"-Severity-Problemen, um einen "Critical"-Verstoß zu erzeugen.

Ein Auditor wird prüfen, ob Sie einen rationalen Prozess haben, um zu entscheiden, was nicht behoben werden soll. Wenn Sie "Lows" ohne dokumentierte Begründung ignorieren, sieht es so aus, als würden Sie Ihren Risikomanagementprozess vernachlässigen.

Durchgearbeitetes Beispiel: Von der Entdeckung zur Zertifizierung

Lassen Sie uns ein reales Szenario durchgehen, um zu sehen, wie alles zusammenpasst.

Das Unternehmen: Ein mittelgroßes FinTech-Startup namens "PaySwift", das zu AWS wechselt. Sie wollen ISO 27001, um mehr Unternehmenskunden zu gewinnen.

Das Setup: Sie haben ein React-Frontend, eine Node.js API auf EKS (Kubernetes) und eine Aurora PostgreSQL-Datenbank.

Der Pentest-Prozess:

  1. Der Fund: Der Pentester entdeckt, dass die Node.js API eine Schwachstelle aufweist, bei der er eine speziell gestaltete Anfrage an den /debug-Endpunkt senden kann, wodurch die Umgebungsvariablen des Pods offengelegt werden.
  2. Der Pivot: Innerhalb dieser Umgebungsvariablen findet der Pentester einen AWS Access Key.
  3. Die Eskalation: Dieser Schlüssel gehört zu einer Rolle mit s3:ListBucket- und s3:GetObject-Berechtigungen. Der Pentester nutzt dies, um einen Bucket namens payswift-backups-prod zu finden und einen Datenbank-Dump herunterzuladen.
  4. Das Ergebnis: Ein "Kritisches" Ergebnis. Totale Kompromittierung von Kundendaten.

Der ISO 27001-Sanierungspfad:

  • Sofortige Behebung: Entfernen Sie den /debug-Endpunkt aus der Produktion und rotieren Sie die offengelegten AWS-Schlüssel.
  • Systemische Behebung: Implementieren Sie eine "Secrets Management"-Richtlinie. Verschieben Sie Schlüssel von Umgebungsvariablen in AWS Secrets Manager.
  • Governance-Behebung: Aktualisieren Sie das Dokument "Secure Coding Standard", um Debug-Endpunkte in der Produktion explizit zu verbieten.
  • Nachweis: PaySwift dokumentiert das Ticket, den Code-Commit, der es behoben hat, und die aktualisierte Richtlinie. Sie fordern dann einen erneuten Test von Penetrify an, um zu bestätigen, dass das Loch gestopft ist.

Wenn der Auditor eintrifft, versteckt PaySwift dies nicht. Sie zeigen dem Auditor genau diese Sequenz. Sie sagen: "Wir haben ein kritisches Problem in unserer API gefunden. Hier ist, wie wir es behoben haben, und hier ist die neue Richtlinie, die wir eingeführt haben, um sicherzustellen, dass es nie wieder passiert."

Die Reaktion des Auditors: "Das ist genau das, was ich sehen möchte. Sie haben ein funktionierendes ISMS, das Risiken identifiziert, behebt und daraus lernt."

Deep Dive: Penetration Testing Ihrer Cloud-nativen Umgebung

Um Ihrer ISO 27001-Auditierung wirklich einen Mehrwert zu bieten, müssen Sie über die Webanwendung hinausgehen. Hier sind die spezifischen Bereiche eines Cloud-nativen Stacks, die einer eingehenden Prüfung bedürfen.

Kubernetes (K8s) Security Testing

Wenn Sie EKS oder GKE verwenden, erweitert sich Ihre Angriffsfläche. Pentesters sollten nach Folgendem suchen:

  • Pod-zu-Pod-Kommunikation: Wenn ein Pod kompromittiert ist, kann der Angreifer jeden anderen Pod im Cluster erreichen? (Fehlende Netzwerkrichtlinien).
  • Kubelet-Fehlkonfigurationen: Kann ein Angreifer mit der Kubelet API kommunizieren, um Befehle auf einem Knoten auszuführen?
  • RBAC-Überprivilegierung: Haben die Servicekonten mehr Berechtigungen als sie benötigen? (z. B. ein Pod, der alle Secrets im Namespace auflisten kann).

Serverless (Lambda/Functions) Testing

Serverless bedeutet nicht "keine Sicherheit". Tatsächlich verändert es das Spiel. Konzentrieren Sie sich auf:

  • Event Injection: Da Funktionen durch Ereignisse ausgelöst werden (S3-Uploads, SQS-Nachrichten), kann ein Angreifer bösartigen Code in diese Ereignisse einschleusen?
  • Überprivilegierte Ausführungsrollen: Hat die Lambda AdministratorAccess, nur um eine Datei in einen Bucket zu schreiben?
  • Timeout/Ressourcenerschöpfung: Kann ein Angreifer eine Funktion 10.000 Mal auslösen und die Cloud-Rechnung in die Höhe treiben oder ein Concurrency Limit erreichen (eine Form von DoS)?

Cloud Storage und Datenpersistenz

Storage ist der Ort, an dem die Daten leben und wo die größten Lecks passieren. Das Testen sollte Folgendes umfassen:

  • Cross-Account Access: Kann ein AWS-Konto einer anderen Organisation aufgrund einer falsch konfigurierten Bucket-Richtlinie auf Ihre Buckets zugreifen?
  • Unverschlüsselte Daten im Ruhezustand: Sind die Daten verschlüsselt? Wenn der Pentester Zugriff auf den Disk-Snapshot erhält, kann er die Daten lesen?
  • Missbrauch von Presigned URLs: Wenn Ihre App temporäre Links zum Herunterladen von Dateien generiert, können diese Links erraten oder unbegrenzt wiederverwendet werden?

Eine umfassende Cloud Pentesting Checkliste für Compliance

Wenn Sie sich auf ein Audit vorbereiten, verwenden Sie diese Checkliste, um sicherzustellen, dass Ihre Testabdeckung ausreichend ist.

Phase 1: Planung & Scoping

  • Definieren Sie die "Kronjuwelen" (PII, Finanzdaten, geistiges Eigentum).
  • Erfassen Sie alle öffentlich zugänglichen IP-Adressen und DNS-Einträge.
  • Dokumentieren Sie die Statement of Applicability (SoA) und verknüpfen Sie sie mit dem Test.
  • Erstellen Sie ein unterzeichnetes Rules of Engagement (RoE)-Dokument.
  • Benachrichtigen Sie den Cloud-Anbieter (falls erforderlich) und das interne SOC-Team.

Phase 2: Technische Ausführung

  • Identität: Testen Sie auf MFA-Bypass und Privilege Escalation in IAM.
  • Netzwerk: Führen Sie interne Lateral Movement-Tests durch (Pod-to-Pod, VPC-to-VPC).
  • Anwendung: Testen Sie auf OWASP Top 10 (Injection, BOLA, XSS, usw.).
  • Konfiguration: Überprüfen Sie auf offene Ports (SSH, RDP) und öffentliche Storage Buckets.
  • Secrets: Scannen Sie nach offengelegten Schlüsseln in Protokollen, Code und Umgebungsvariablen.
  • API: Testen Sie Rate Limits, Authentifizierungstoken und Input Validation.

Phase 3: Behebung & Nachweis

  • Protokollieren Sie alle Ergebnisse in einem Tracking-System (Jira, ServiceNow).
  • Kategorisieren Sie die Ergebnisse nach Schweregrad (Critical, High, Medium, Low).
  • Dokumentieren Sie die "Risk Acceptance" für alle Ergebnisse, die nicht behoben werden.
  • Führen Sie einen formalen Re-Test aller Critical und High Ergebnisse durch.
  • Erstellen Sie einen zusammenfassenden Bericht, der die Ergebnisse den ISO 27001-Kontrollen zuordnet.

Häufig gestellte Fragen (FAQ)

F: Benötigt ISO 27001 einen zertifizierten Pentester?

Obwohl der Standard keine explizite Zertifizierung (wie OSCP oder CISSP) nennt, verlangt er, dass Sicherheitskontrollen von "kompetenten" Personen implementiert und getestet werden. Wenn Sie einen internen Mitarbeiter ohne Sicherheitsschulung einsetzen, wird ein Auditor wahrscheinlich die Gültigkeit des Tests in Frage stellen. Die Beauftragung einer professionellen Firma oder einer spezialisierten Plattform wie Penetrify stellt sicher, dass die Anforderung der "Kompetenz" erfüllt wird.

F: Kann ich ein automatisiertes Tool verwenden und es für mein Audit als "Penetration Test" bezeichnen?

Im Allgemeinen nein. Ein automatisiertes Tool liefert eine "Vulnerability Assessment". Ein "Penetration Test" erfordert ein Element menschlicher Exploration und Ausnutzung. Die meisten Auditoren kennen den Unterschied. Wenn Sie nur Scanberichte haben, können Sie trotzdem bestehen, aber Sie werden genauer unter die Lupe genommen, wie Sie mit komplexen Risiken umgehen.

F: Wie gehe ich mit einem "Critical" Finding um, das kurz vor meinem Audit gefunden wurde?

Keine Panik und verstecken Sie es auf keinen Fall. Das Schlimmste, was Sie tun können, ist, so zu tun, als ob die Schwachstelle nicht existiert. Dokumentieren Sie stattdessen den Befund sofort, erstellen Sie einen Plan zur Risikominderung (auch wenn es sich um eine temporäre Umgehungslösung handelt) und zeigen Sie dem Auditor, dass Sie ihn durch Ihre eigenen proaktiven Tests gefunden haben. Das sieht tatsächlich besser aus, als wenn der Auditor ihn selbst findet.

F: Wer sollte in den Pentesting-Prozess einbezogen werden?

Es ist eine Teamleistung. Sie brauchen:

  • Das Sicherheitsteam: Um die RoE zu verwalten und den Test zu überwachen.
  • Das DevOps/Infrastruktur-Team: Um Zugriff zu gewähren und Konfigurationsprobleme zu beheben.
  • Die Entwickler: Um Fehler auf Code-Ebene zu beheben.
  • Der Compliance Officer: Um sicherzustellen, dass die Ergebnisse den ISO 27001-Anforderungen entsprechen.

F: Ist ein "Gray Box" oder "Black Box" Test besser für ISO 27001?

Für die Compliance ist "Gray Box" normalerweise das beste Gleichgewicht. Bei einem Black Box Test hat der Tester keinerlei Kenntnisse (simuliert einen externen Angreifer), was zwar gut für den Realismus ist, aber vieles übersehen kann, weil der Tester die Hälfte seiner Zeit damit verbringt, nur die Login-Seite zu finden. Bei einem Gray Box Test geben Sie ihm etwas Dokumentation oder ein Low-Level-Benutzerkonto. Dies ermöglicht es ihm, mehr Zeit mit dem Testen der internen Architektur und der IAM-Rollen zu verbringen, wo sich die gefährlichsten Cloud-Risiken befinden.

Abschließende Gedanken: Auf dem Weg zu kontinuierlicher Resilienz

Die ISO 27001-Zertifizierung ist eine großartige Leistung und hilft sicherlich bei Umsatz und Vertrauen. Aber am Ende des Tages ist das Zertifikat nur ein Stück Papier. Der wahre Wert liegt in dem Prozess, den Sie aufbauen, um sicher zu bleiben.

Cloud-Umgebungen entwickeln sich zu schnell für das alte "einmal im Jahr"-Sicherheitsmodell. Wenn Ihre Infrastruktur als Code definiert ist, sollte Ihr Security Testing genauso agil sein. Indem Sie tiefgreifendes Cloud-Pentesting in Ihren Workflow integrieren, hören Sie auf, Sicherheit als eine Hürde zu betrachten, die für einen Auditor überwunden werden muss, und beginnen, sie als einen Wettbewerbsvorteil zu behandeln.

Wenn Sie sich von der Komplexität der Abgrenzung Ihrer Cloud-Assets überfordert fühlen oder die hohen Kosten und die langsame Bearbeitungszeit traditioneller Pentesting-Firmen leid sind, ist es vielleicht an der Zeit, einen Cloud-nativen Ansatz in Betracht zu ziehen. Penetrify wurde speziell dafür entwickelt. Es beseitigt die Infrastrukturbarrieren und ermöglicht es Ihnen, professionelle Sicherheitsbewertungen durchzuführen, die mit Ihrer Umgebung skalieren. Anstatt wochenlang auf einen PDF-Bericht zu warten, erhalten Sie verwertbare Erkenntnisse, die direkt in Ihre bestehenden Workflows einfließen.

Lassen Sie Ihre ISO 27001-Reise nicht zu einem stressigen Wettlauf um Beweise werden. Bauen Sie eine Kultur des kontinuierlichen Testens auf, validieren Sie Ihre Annahmen und verwandeln Sie Ihre Sicherheitslage in etwas, auf das Sie wirklich stolz sind – nicht nur in etwas, das einen Auditor zufriedenstellt.

Zurück zum Blog