Red Teaming: Ziele und Methoden

Die zunehmende Digitalisierung eröffnet Unternehmen zahlreiche Chancen, bringt jedoch auch erhebliche Risiken mit sich. Gerade beim Thema Sicherheit ist es entscheidend, stets auf dem neuesten Stand der Technik zu bleiben und gegen alle potenziellen Bedrohungen gewappnet zu sein. Denn auch die Smart Factory braucht umfassende Security. Um die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen, werden in der Praxis regelmäßig Penetrationstests durchgeführt, die weit mehr als nur einzelne Server oder Systeme auf den Prüfstand stellen. Diese simulierten Cyberangriffe werden als Red Teaming Assessment bezeichnet. Dabei werden ausgewählte Systeme und Netzwerke gezielt auf Schwachstellen untersucht. Das ist absolut sinnvoll, denn weder Software noch herkömmliche Standardverfahren können ein System so gründlich prüfen wie ein realistischer Angriff.

Was ist ein Red Team?

Das primäre Ziel des Red Teamings ist es, mögliche Schwachstellen in der Netzwerk- und Serversicherheit, der Endgerätesicherheit sowie im Verhalten der Mitarbeitenden aufzudecken. Ein Red Team setzt sich aus mehreren Fachleuten zusammen, die Expertise in unterschiedlichen Bereichen der IT-Sicherheit mitbringen. In der Regel gehören dazu Systemadministratoren, Netzwerkspezialisten, Programmierer und nicht selten auch (ehemalige) Hacker, die ihre Erfahrung einbringen.

Auf der anderen Seite stehen die IT-Spezialisten des Blue Teams, die im Rahmen klassischer Sicherheitsaufgaben den Schutz der Systeme gewährleisten sollen. Durch Erfolg oder Misserfolg der Red-Team-Angriffe werden ihnen Schwachstellen schonungslos aufgezeigt, sodass sie sich gezielt gegen reale Angriffe wappnen können. Die Methode des Red Teamings eignet sich daher nur bedingt für kleinere Unternehmen ohne eigene IT-Abteilung oder Blue Team. Ziel eines Red-Team-Penetrationstests ist es, im ersten Schritt offensichtliche Schwachstellen zu beseitigen und anschließend mit gezielten, großflächigen Angriffen zu prüfen, wie das Blue Team auf Bedrohungen reagiert. Für verlässliche und aussagekräftige Ergebnisse ist es unerlässlich, dass beide Teams vollständig unabhängig voneinander agieren und das Blue Team vorab nicht informiert wird. Nur so lässt sich feststellen, wie wirksam die Schutzmaßnahmen tatsächlich sind und ob die Mitarbeitenden die Sicherheitsvorgaben einhalten. Weiterführende Informationen zum Thema Red Teaming finden Sie im Artikel von heise über die Bewegung von Hackern in Systemlandschaften.

Angriff ist die beste Verteidigung

Auch wenn die Mitarbeitenden nicht informiert sind, gelten die vorab festgelegten Rahmenbedingungen für die Tests. Die Angriffsziele lassen sich auf einzelne Bereiche eingrenzen; bestimmte Personengruppen oder definierte Systeme können ausgeschlossen werden. Je weniger Einschränkungen bestehen, desto aussagekräftiger ist naturgemäß das Ergebnis. Gleichzeitig darf der Penetrationstest zu keinen realen Schäden führen. Es geht vielmehr darum, Zugang zu bestimmten Systemen und Informationen zu erlangen oder potenziell schädliche Software einzuschleusen.

Für ihre Tests steht dem Red Team ein breites Spektrum an Methoden zur Verfügung. Diese reichen von Phishing über Angriffe auf Netzwerkebene und unautorisierte Netzwerkzugriffe bis hin zum Einschleusen von Schadsoftware. Auch der Einsatz von Malware und Backdoors sowie das gezielte Umgehen von Zugangskontrollen und -sperren gehören zum Repertoire. Darüber hinaus kann Social Engineering zum Einsatz kommen, um zu prüfen, wie anfällig die Mitarbeitenden für Manipulation sind. Nach dem Angriff erhalten Sie eine vollständige Übersicht der identifizierten Sicherheitslücken samt konkreter Handlungsempfehlungen. Im Laufe der Zeit entsteht so ein robustes Schutzwerk gegen Angriffe von außen.

Handeln, bevor es zu spät ist

Gute Softwarelösungen und ausreichende Ressourcen für die Absicherung der Infrastruktur sind wichtig. Die IT-Sicherheit eines Unternehmens hängt jedoch von weiteren Faktoren ab, etwa dem Verhalten der Mitarbeitenden im Umgang mit Informationen und Daten. Die Bedrohung durch Cyberkriminalität ist real und die Angriffsmöglichkeiten sind vielfältig. So empfiehlt das Bundesministerium für Wirtschaft und Energie auch kleinen und mittelständischen Unternehmen, eine Angriffssimulation durchzuführen. Letztlich kann jedes Unternehmen und jede Softwarelandschaft gehackt werden -- es ist lediglich eine Frage des Aufwands, den Angreifer betreiben müssen. Red Teaming ist eine effektive Methode, um sich bestmöglich vor externen Bedrohungen zu schützen. Durch realitätsnahe Szenarien werden Sicherheitslücken und Angriffspunkte sichtbar, was den gezielten Ausbau der Abwehrstrategien ermöglicht. Wird der Aufwand für Angreifer zu hoch, lohnt sich ein Angriff schlicht nicht mehr. Genau das muss das übergeordnete Ziel von Red Teaming sein. Diese Form der Gefahrenprävention ist zwar mit teilweise hohen Kosten verbunden, doch diese sind verschwindend gering im Vergleich zu den Schäden, die erfolgreiche Hackerangriffe verursachen können.