peterzayda - stock.adobe.com
Red Teaming: die Königsdisziplin der Sicherheitstests
Unternehmen müssen ihre Sicherheitsmaßnahmen auf den Prüfstand stellen, wollen sie die eigene Widerstandsfähigkeit wirklich kennen. Und da kommt das Thema Red Teaming ins Spiel.
Wer seine Cyberresilienz evaluieren und nachhaltig optimieren möchte, kommt um ausführliches regelmäßiges Testen seiner Systeme nicht herum. Dabei stehen den Unternehmen verschiedene Möglichkeiten offen – von internen Evaluierungen durch die eigenen Mitarbeiter bis hin zu professionellen Penetrationstests, durchgeführt von externen Dienstleistern.
Wer auf Nummer sicher gehen und ein detailliertes Bild seines aktuellen Sicherheitsstatus gezeichnet haben möchte, setzt jedoch auf Red Teaming – die Königsdisziplin der Security-Tests. Ausgewiesene Sicherheitsexperten schlüpfen hier in die Rolle tatsächlicher Angreifer und decken Schwachstellen und Sicherheitslücken rigoros auf.
Der Erfolg der Red-Teams liegt dabei in ausgewiesenem Angriffs-Knowhow und einem strategisch geplanten und gut überwachten Vorgehen.
Worin unterscheidet sich Red Teaming von klassischen Penetrationstests?
Wenn es um die Durchführung von Sicherheitsüberprüfungen geht, setzen viele Unternehmen Red Teaming mit dem klassischen, weitverbreiteten Pentesting gleich. Doch obwohl es bei beiden Ansätzen um das Bewerten der Sicherheitsintegrität geht und beide das Ziel verfolgen, Schwachstellen zu beheben, bevor externe oder interne Angreifer diese ausnutzen können, lassen sich doch wesentliche Unterschiede erkennen.
So geht es beim Penetrationstest vor allem darum, die Informations- und IT-Systeme eines Unternehmens einer umfangreichen Überprüfung zu unterziehen, um auf diese Weise Sicherheitslücken in Applikationen, Softwarekomponenten und der Infrastruktur zu identifizieren.
Der Pentest ermittelt somit die Anfälligkeit der Systeme für Kompromittierungen und deckt auf, wie und über welche Einfallstore Angreifer diese penetrieren können. Im Fokus stehen dabei insbesondere klassische Anfälligkeiten wie Konfigurationsprobleme oder fehlende Patches, bisweilen aber auch unbekannte Leaks, sogenannte Zero-Day-Schwachstellen.
Red-Teaming-Aktivitäten haben mit Penetration-Testing zwar viel gemeinsam, gehen jedoch weit über diese klassische Sicherheitsüberprüfung hinaus. Ein wesentlicher Unterschied ist dabei, dass Red Teaming neben technischen insbesondere auch menschliche und physische Sicherheitsfaktoren berücksichtig, die herkömmliche Pentests nicht inkludieren.
Man denke etwa an das Verbinden von externen, ungeprüften Geräten mit dem Firmennetzwerk, der Diebstahl von Firmennotebooks oder auch der Zugang nicht autorisierter Personen zu sensiblen Räumlichkeiten.
Wie läuft ein Red-Team-Test ab?
Zwei wichtige Schlüsselworte bei der Durchführung von Red Teaming sind Szenario und Threat Intelligence. Denn im Mittelpunkt der Aktivitäten der Teams stehen szenariogesteuerte Missionen, die auf speziell auf das zu testende Unternehmen zugeschnittenen Risikoanalysen und Threat Intelligence basieren und daher detaillierte Beurteilung liefern, wie effizient Unternehmen Bedrohungen erkennen und wie sie mit Störfällen jeglicher Art umgehen.
Auf Basis der von den Threat-Intelligence-Teams entworfenen Bedrohungsszenarien imitieren die Teams das Vorgehen realer Cyberkrimineller und nutzen eine Vielzahl unterschiedlichster Angriffsmuster und -vektoren – von der Sammlung von Open-Source-Intelligenz (OSINT) über Social Engineering mittels (Spear)-Phishing mit maßgeschneiderter Malware bis hin zum physischen Infiltrieren des Unternehmens.
Auf dem Prüfstand stehen letztlich also nicht nur die unternehmensweiten technischen Abwehrmaßnahmen, sondern auch die Effektivität der organisationsinternen IT-Sicherheitsexperten, die auch Blue oder White Teams genannt werden. Damit zeichnet sich ein deutlich umfassenderes Bild des aktuellen Sicherheitsstatus eines Unternehmens ab als beim Pentesting.
Worauf sollte man bei einem Red-Teaming-Anbieter achten?
Damit der Red-Teaming-Test hält, was er verspricht, muss der Anbieter spezielle Standards and Kriterien erfüllen, die seine technischen Fähigkeiten aber auch seine Integrität beweisen: So muss der Dienstleister über ein einwandfreies Risikomanagement verfügen und in der Lage sein, sicherzustellen, dass er die zu testende Organisation im Rahmen des Testens nicht in Gefahr bringt.
Es ist davon auszugehen, dass das Team im Laufe seiner Aktivitäten auf sensible, vertrauliche und geschäftskritische Daten stößt. Umso wichtiger ist es, dass der Anbieter über ein robustes Information Security Management System (ISMS) mit einem maßgeschneiderten Sicherheitskontrollrahmen und einer angemessenen Zertifizierung auf Grundlage anerkannter internationaler Standards verfügt.
„Auf dem Prüfstand stehen letztlich also nicht nur die unternehmensweiten technischen Abwehrmaßnahmen, sondern auch die Effektivität der organisationsinternen IT-Sicherheitsexperten.“
Markus Robin, SEC Consult
Darüber hinaus sollte die Red-Teaming-Mannschaft mit innovativen Testing-Methoden arbeiten, um eine belastbare Bedrohungsbeurteilung abgeben zu können. Denn um hochentwickelte Cyberangriffe (auf nationalstaatlichem Niveau) imitieren zu können, braucht es fortschrittlichste Techniken, die das Verteidigungsniveau der zu testenden Einheit maximal herausfordern.
Zu guter Letzt steht und fällt der Erfolg eines Red-Teaming-Tests mit der Erfahrung der einzelnen ausführenden Teammitglieder. Bei diesen sollte es sich daher um hochqualifizierte, proaktiv agierende IT-Spezialisten mit ausgewiesenem Angriffs-Knowhow handeln, die ein breites Spektrum an IT-Bereichen abdecken.
Neben Security-Spezialisten zählen dazu unter anderem Netzwerkexperten, Programmierer oder Systemadministratoren, die Erfahrungen in Penetrationstests, Threat Intelligence, Risikomanagement, Exploit-Design, physischer Penetration, Social Engineering oder Schwachstellenanalyse zusammenbringen.
Darüber hinaus sollten sie technische Fertigkeiten in den spezifischen Bereichen verfügen, die für die Zielumgebung der zu testenden Einrichtung relevant sind, etwa Webanwendungen, Infrastruktur, Mainframes, IoT etc. Ein ausgewähltes Teammitglied sollte dabei den Vorsitz der Gruppe übernehmen und den kompletten Testprozess federführend überwachen.
Sicherheitsüberprüfungen durch externe Red-Teaming-Anbieter können Unternehmen tiefe Einblicke in die Widerstandfähigkeit ihrer gesamten IT-Sicherheit gewähren und bieten ihnen die Chance, ihre Prozesse effizienter und sicherer zu machen.
Über den Autor:
Markus Robin ist Geschäftsführer bei SEC Consult.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
