Pentest vs. Red Team Assessment

In der IT-Sicherheit herrscht häufig Unklarheit über die Unterschiede zwischen Red Team Assessment und Pentest. In diesem Beitrag werden beide Begriffe gegenübergestellt und verglichen. Darüber hinaus erfahren Sie, welche Maßnahme zu welchem Zeitpunkt den größten Mehrwert bietet und welche geschäftlichen Herausforderungen mit dem jeweiligen Assessment verbunden sind.

Red Teaming

Red Teaming dient dazu, die Erkennungs- und Reaktionsfähigkeit einer Organisation zu testen. Das Red Team versucht, auf jede erdenkliche Art und Weise und so unerkannt wie möglich auf sensible Informationen zuzugreifen. Dabei wird ein böswilliger Akteur emuliert, der aktiv angreift und der Entdeckung zu entgehen versucht, ähnlich wie bei einer Advanced Persistent Threat (APT). Bei einem Red Team Assessment wird nicht nach möglichst vielen Schwachstellen gesucht, sondern gezielt nach denjenigen, mit denen die definierten Ziele erreicht werden können. Ein Pentest hingegen soll möglichst viele Schwachstellen und Konfigurationsprobleme aufdecken, diese ausnutzen und das Risikolevel bestimmen. Zu den Methoden eines Red Team Assessments gehören Social Engineering (physisch sowie elektronisch) und alle Techniken, die auch bei einem Pentest zum Einsatz kommen. Ein Pentest dauert in der Regel 1-2 Wochen, während ein Red Team Assessment über 3-4 Wochen oder länger laufen kann und häufig mehrere Spezialistinnen und Spezialisten einbindet.

Ein Red Team Assessment ist jedoch nicht für jede Organisation geeignet. Es empfiehlt sich vor allem für Unternehmen mit ausgereiften Sicherheitsprogrammen, die regelmäßig Pentests durchführen lassen, die meisten Schwachstellen bereits behoben haben und im Allgemeinen positive Pentest-Ergebnisse aufweisen. Folgender Mehrwert entsteht dabei:

• Messbare Erkennungs- und Reaktionsfähigkeit der IT-Sicherheit
• Realistisches Risikoverständnis für die Organisation
• Unterstützung bei der Behebung identifizierter Angriffsvektoren

Red-Teaming-Operationen verfolgen klar definierte Ziele und nutzen einen abgestimmten, mehrstufigen Ansatz. Sie erfordern in der Regel mehr Personal, Ressourcen und Zeit, da sie in die Tiefe gehen, um das realistische Ausmaß der Risiken und Schwachstellen in Bezug auf Technologie, Menschen und materielle Ressourcen einer Organisation umfassend zu bewerten. Weitere Informationen stellt heise im Artikel "Red Teaming: Cyber Resilience, War Gaming und Krisenmanagement" zusammen.

Penetration Testing

Bei Penetrationstests wird versucht, Schwachstellen auf Anwendungs-, Netzwerk- und Systemebene sowie Möglichkeiten zur Überwindung physischer Sicherheitsbarrieren zu identifizieren. Während automatisierte Tests einige Sicherheitsprobleme erkennen können, berücksichtigen echte Pentests zusätzlich die individuellen Angriffsvektoren des Unternehmens durch manuelle Analyse.

Häufig werden die Unterschiede zwischen einem Pentest und einem Red Team Assessment nicht richtig verstanden, weshalb beide Assessments fälschlicherweise als Pentests bezeichnet werden. Obwohl sie ähnliche Komponenten aufweisen, unterscheiden sie sich grundlegend und sollten in verschiedenen Kontexten eingesetzt werden. Im Kern geht es bei einem echten Pentest darum, innerhalb des vorgesehenen Zeitraums so viele Schwachstellen und Konfigurationsprobleme wie möglich zu finden und auszunutzen, um deren tatsächliches Risiko zu bestimmen.

Das bedeutet nicht zwingend, dass bisher unbekannte Schwachstellen wie Zero Days aufgedeckt werden müssen. Vielmehr wird gezielt nach bekannten, nicht gepatchten Schwachstellen gesucht. Ein Pentest ist darauf ausgerichtet, Schwachstellen zu finden und zu bewerten, um sicherzustellen, dass keine False Positives vorliegen. Pentests gehen jedoch noch weiter: Der Pentester versucht, mehrere Schwachstellen miteinander zu verketten, um ein definiertes Ziel zu erreichen. Da jede Organisation anders aufgestellt ist, kann sich dieses Ziel unterscheiden, umfasst aber in der Regel den Zugang zu personenbezogenen Daten und Geschäftsgeheimnissen.

Wenn ein Netzwerk, eine Anwendung, Cloud-/Server-Infrastruktur und die physische Sicherheit mit den Augen eines Pentesters betrachtet werden, lässt sich Folgendes ermitteln:

• Welche Angriffsvektoren ausgenutzt werden können
• Wie die Systeme angegriffen werden
• Welche Härtungsmaßnahmen erforderlich sind
• Welcher Schaden entstehen könnte

In der komplexen Cybersicherheitslandschaft sind Pentests für die meisten Branchen unverzichtbar geworden. Selbst Unternehmen, die glauben, keine besonders schützenswerten Informationen zu besitzen, laufen Gefahr, dass Angreifer versuchen, das Netzwerk zu übernehmen, Malware zu installieren oder Dienste zu stören. Angesichts der Vielzahl bösartiger Akteure müssen Pentests stets mit der technologischen Entwicklung Schritt halten. Weitere Informationen rund um Penetrationstests finden Sie auf der Webseite des BSI.

Welche Leistung wird benötigt?

Ist ein Pentest besser als Red Teaming? Häufig bestehen Pentester und Red Teams aus denselben Fachleuten, die je nach Zielsetzung unterschiedliche Methoden und Techniken einsetzen. Die Antwort auf die Frage Pentest vs. Red Teaming lautet: Das eine ist nicht besser als das andere! Beide Ansätze haben in bestimmten Situationen ihre Berechtigung. Es ist nicht sinnvoll, einen Pentest zu beauftragen, um die Erkennungs- und Reaktionsfähigkeit einer Organisation zu testen. Ebenso wenig eignet sich Red Teaming dazu, Schwachstellen auf der gesamten Anwendungsebene systematisch zu erfassen.