Red Teaming: Ziele und Methoden

Die zunehmende Digitalisierung bringt für Unternehmen eine Menge Chancen, aber auch nicht unerhebliche Risiken mit sich. Gerade in puncto Sicherheit ist es wichtig, stets auf dem aktuellen Stand der Technik und gegen alle potenziellen Bedrohungen gerüstet zu sein. Die Smart Factory braucht Security! Um die volle Funktionsfähigkeit der Sicherheitsmaßnahmen zu überprüfen, werden in der Praxis regelmäßig Penetrationstests durchgeführt, die weit mehr als nur einen Server oder ein System auf den Prüfstand stellen. Diese simulierten Cyber-Angriffe werden als Red Teaming Assessment bezeichnet. Dabei werden ausgewählte Systeme und Netzwerke konsequent auf Schwachstellen überprüft. Das ist absolut sinnvoll, denn keine Software oder keine herkömmlichen Standardverfahren vermögen es ein System so zu prüfen, wie ein „echter“ Angriff.

Was ist ein Red Team?

Das primäre Ziel des Red Teamings ist es, mögliche Schwachstellen in der Netzwerk- und Serversicherheit, der Sicherheit von Endgeräten, aber auch dem Mitarbeiterverhalten zu finden. Ein Red Team besteht dabei aus mehreren Personen, die Expertise in unterschiedlichen Bereichen der IT-Sicherheit vorweisen können. In der Regel beinhaltet ein Team beispielsweise Systemadministratoren, Netzwerkspezialisten, Programmierer und nicht selten auch (ehemalige) Hacker, die ihre Erfahrungen einfließen lassen. Auf der anderen Seite sitzen die IT-Spezialisten des Blue Teams, die im Rahmen eher klassischer Tätigkeiten die Sicherheit des Systems sicherstellen sollen. Anhand von Erfolg oder Misserfolg der Angriffe des Red Teams bekommen sie schonungslos Schwachstellen aufgezeigt und sind in der Lage sich vor echten Angriffen zu schützen. Die Methode des Red Teamings eignet sich daher nur bedingt für (kleine) Unternehmen ohne organisationsinterne IT-Abteilung bzw. ohne Blue Team. Das Ziel eines von Red Teams ausgeführten Penetrationstest ist im ersten Schritt offensichtliche Schwachstellen zu beseitigen und später mit gezielten, großflächigen Angriffen herauszufinden, wie das Blue Team auf Angriffe reagiert. Um diesbezüglich verlässliche und aussagekräftige Informationen zu erhalten ist es unerlässlich, dass die beiden Teams komplett autark voneinander agieren und das Blue Team nicht informiert ist. Nur so lässt sich ermitteln, wie wirksam die Maßnahmen sind und wie sich die Mitarbeiter verhalten. Werden zum Beispiel die Sicherheitsvorgaben eingehalten? Weitere Informationen zum Thema Red Teaming erhalten Sie in dem Artikel von heise über die Bewergung von Hackern in Systemlandschaften.

Angriff ist die beste Verteidigung

Auch wenn die Unternehmensmitarbeiter nicht informiert sind, gelten für die Tests festgelegten Rahmenbedingungen. Die Angriffsziele lassen sich auf einzelne Bereiche eingrenzen, bestimmte Personengruppen oder definierte Systeme können ausgeschlossen werden. Je weniger Einschränkungen es hier gibt, desto aussagekräftiger ist natürlich das Ergebnis. Der Penetrationstest darf auch zu keinen echten Schäden führen. Es geht vielmehr darum, Zugang zu bestimmten Systemen und Informationen zu erlagen oder potenziell schädliche Software einzuschleusen. Für ihren Test stehen dem Red Team eine breite Palette an Möglichkeiten zur Verfügung. Diese reichen von Phishing über Angriffe auf Netzwerkebene und unautorisierte Netzwerkzugriffe bis hin zum Einschleusen von (potenzieller) Schadsoftware. Der Einsatz von Malware und Backdoors und das gezielte Umgehen von Zugangskontrollen und -sperren kommt ebenfalls häufig vor. Aber auch Social Engineering kann eine Möglichkeit sein. Dabei lässt sich prüfen, wie anfällig die Mitarbeiterinnen und Mitarbeiter sind. Nach dem Angriff erfolgt eine komplette Übersicht der identifizierten Sicherheitslücken und entsprechende Handlungsempfehlungen. Im Laufe der Zeit entsteht so ein starkes Bollwerk gegen Angriffe von außen.

Handeln, bevor es zu spät ist

Gute Softwarelösungen und Ressourcen für die Sicherheit der Einrichtungen sind wichtig. Die IT-Sicherheit eines Unternehmens hängt jedoch von mehr ab, beispielsweise dem Verhalten der Mitarbeiter und Mitarbeiterinnen im Umgang mit Informationen und Daten. Die Bedrohung durch Cyber-Kriminalität ist real und die Angriffsmöglichkeiten sind vielfältig. So empfiehlt das Bundesministerium für Wirtschaft und Energie auch kleinen und mittelständischen Unternehmen eine Angriffssimulation durchzuführen. Letztlich kann jedes Unternehmen, jede Softwarelandschaft gehackt werden - es ist nur eine Frage des Aufwands, der von den AngreiferInnen betrieben werden muss. Red Teaming ist als Methode effektiv, um sich vor externen Bedrohungen bestmöglich zu schützen. Sicherheitslücken und Angriffspunkte werden dank realitätsnaher Szenarien sichtbar und ermöglichen den effektiven Ausbau der Abwehrstrategien. Wird der Aufwand für die AngreiferInnen zu hoch, lohnt sich dieser ein Angriff nicht mehr. Genau das muss das übergeordnete Ziel von Red Teaming sein. Natürlich ist diese Form der Gefahrenprävention mit teilweise hohen Kosten verbunden. Diese sind allerdings verschwindend gering im Vergleich zu den Schäden, die von erfolgreichen Hackerangriffen auf das eigene Unternehmen verursacht werden können.