White-Box-Penetrationstest der Azure- und Entra-ID-Umgebung eines KRITIS-Gasnetzbetreibers

Ausgangslage

Ein KRITIS-regulierter Gasnetzbetreiber mit rund 600 Mitarbeitern wollte die Sicherheit seiner Azure- und Entra-ID-Umgebung durch einen unabhängigen Penetrationstest überprüfen lassen. Die Infrastruktur umfasste mehrere Azure Landing Zones, ein Rollen- und Berechtigungskonzept in Entra ID sowie Azure RBAC (rollenbasierte Zugriffskontrolle). Als Betreiber kritischer Infrastruktur unterliegt das Unternehmen erhöhten Anforderungen an die IT-Sicherheit und benötigte eine belastbare Aussage über die tatsächliche Widerstandsfähigkeit seiner Cloud-Umgebung.

Massnahmen

Wenske Cyber Solutions wurde mit der Durchführung eines White-Box-Penetrationstests beauftragt. Im Vorfeld stimmten wir gemeinsam mit dem Kunden den Testscope ab, sichteten Architektur- und Berechtigungskonzepte und definierten die zu prüfenden Komponenten. Im White-Box-Ansatz erhielten unsere Tester dokumentierte Zugänge und Architekturinformationen, um gezielt nach Schwachstellen suchen zu können, die ein Angreifer mit Insiderwissen ausnutzen könnte. Wir prüften Rollen- und Berechtigungsstrukturen in Entra ID und Azure RBAC, analysierten mögliche Privilege-Escalation-Szenarien und bewerteten die Trennung und Absicherung der Landing Zones. Ausgehend von regulären Benutzer- und Dienstkonten simulierten wir realistische Angriffsszenarien und überprüften sicherheitsrelevante Konfigurationen und Policies.

Ergebnis

Der Penetrationstest deckte mehrere Schwachstellen auf, darunter Privilege-Escalation-Pfade, die es unter bestimmten Bedingungen ermöglicht hätten, von einem regulären Benutzerkonto auf höhere Berechtigungsstufen zu gelangen. Alle Befunde wurden mit einer Einschätzung der Ausnutzbarkeit und des Risikos dokumentiert und in einem strukturierten Abschlussbericht mit Management-Summary zusammengefasst. Die priorisierten Handlungsempfehlungen ermöglichten es dem Kunden, die kritischsten Schwachstellen zuerst zu adressieren. Die Ergebnisse wurden in einem Abschlussgespräch vorgestellt und bilden die Grundlage für die weitere Härtung der Cloud-Umgebung.