Was ist Red Teaming und für wen ist es sinnvoll?

In diesem Beitrag erklären wir Ihnen die Vorteile des Red Teamings und zeigen Ihnen auf, für welche Unternehmen sich die spezielle Form des Pentests eignet.

Das „Red Teaming“ ist eine spezielle Form des Penetrationstest und bezeichnet die Simulation einer fortgeschrittenen und persistenten Bedrohung (engl. „Advanced Pesistent Threat“ kurz APT). Dabei versetzt sich ein Team von qualifizierter Sicherheitsexperten in die Rolle des Angreifers und führt – unter echten Bedingungen – einen Cyberangriffe auf Ihr Unternehmen durch. Dabei wird, wie bei einem echten Angriff, versucht an sensible Daten zu gelangen oder eventuell sogar ganze IT-Systeme und -Netzwerke sowie verbundene Anwendungen zu hacken.

Die Vorgehensweisen und Angriffstechniken von bösartigen Akteuren lassen sich unter dem Fachbegriff „Tactics, Techniques und Procedures“ (kurz TTPs) zusammenfassen. Jeder bösartige Akteur bzw. jede bösartige Gruppierung hat hierbei ein eigenes Repertoire an Vorgehensweisen, an welches sich das Red Team anpasst, um eine möglichst genaue Simulation zu erzielen.

Dem gegenüber steht das sogenannte „Blue Team“ – Dabei handelt es sich um die IT-Verantwortlichen Ihres Unternehmens, die für die IT-Security verantwortlich sind und Cyberangriffe frühzeitig erkennen und bestenfalls abwehren sollen.

Wozu dient eine Red Teaming Kampagne?

Eine Red Teaming Kampagne hat stets das Ziel, einen Angriff mit einem vorher definiertem Bedrohungsprofil auszuführen und so die Effektivität von bestehenden Abwehrmaßnahmen, Sicherheitsvorkehrungen und Managementprozesse – gegenüber dem Bedrohungsprofil – zu evaluieren und mögliche Schwachstellen aufzudecken.

Beispiele für ein solches Bedrohungsprofil können Befunde aus vorherigen Cyberangriffen auf Ihre Unternehmen oder auch mögliche Risikofaktoren in der IT-Infrastruktur sein, welche systematisch überprüft werden sollen.

Red Teaming Ablauf

Zu Beginn wird in enger Absprache mit Ihnen ein Bedrohungsprofil erarbeitet, welches während des Angriffs simuliert werden soll. Des Weiteren wird festgelegt, welche Daten oder Systeme das Red Team hacken bzw. kompromittieren soll. Hierzu können beispielsweise Dummy-Daten oder Mock-Up-Systeme eingesetzt werden, welche denselben Sicherheitsvorkehrungen wie die Produktivsysteme unterliegen, jedoch keine tatsächlichen Daten enthalten. Dabei sollte jedoch sichergestellt werden, dass Ihre IT-Verantwortlichen nichts von den geplanten Maßnahmen mitbekommen. Nur so kann ein realitätsnahes Szenario realisiert werden.

Anschließend beginnt das Red Team, in der Regel aus externer Sicht, mit der Simulation des Angriffs und wendet entsprechende Angriffstechniken und Vorgehensweisen an. Das Red Team versucht dabei unentdeckt zu bleiben und mögliche Detektions- und Abwehrmechanismen zu umgehen. Da dies ein zeitintensiver Prozess sein kann, erstreckt sich eine solche Kampagne in der Regel über 3 bis 4 Wochen. In einigen Fällen auch länger.

Nach Ablauf des Testzeitraumes oder nach Erfüllung des vorher definierten Ziels, wird ein Abschlussbericht mit allen Aktivitäten und erfolgreichen Angriffen samt Zeitstempel angefertigt, welcher ebenfalls die ausgenutzten Schwachstellen in Systemen, Richtlinien oder auch Managementprozessen darlegt und gegebenenfalls Handlungsansätze liefert. Anschließend werden die Ergebnisse gemeinsam mit Ihnen besprochen und so weitere Handlungsoptionen im Dialog erarbeitet. Nach Möglichkeit können technische Befunde auch direkt mit den zuständigen Ansprechpartnern Ihrerseits besprochen und eine gemeinsame Verfeinerung von Detektions- und Abwehrregeln vorgenommen werden.

Wer braucht Red Teaming?

Ein Red Team wird in der Regel von Unternehmen beauftragt, um die eigene IT-Sicherheit – unter realistischen Bedingungen – auf die Probe zu stellen und die bestehenden Abwehrmechanismen der eigenen IT-Abteilung zu überprüfen. Dadurch können bestehende Schwachstellen aufgedeckt, anschließend behoben und das Risiko eines echten Cyberangriffes drastisch reduziert werden. Daher müssen entsprechende Systeme bei Ihnen bereits im Einsatz sein und Sie sollten über eine interne IT-Abteilung verfügen. Beim Red Teaming werden aber gegebenenfalls auch Ihre externen Dienstleister mit überprüft (z.B. eingesetzte Soft- und/oder Hardware von Drittanbietern).

Beim Red Teaming werden darüber hinaus nicht einzelne Systeme auf Schwachstellen geprüft, sondern Ihr gesamtes IT-System sowie damit verbundene Systeme und Anwendungen. Das Red Team beschränkt sich dabei auch nicht ausschließlich auf Ihre IT, sondern gibt sich unter Umständen auch als Mitarbeitender Ihres Unternehmens aus und versucht so Ihr Unternehmen physisch zu infiltrieren.

Ein Red Team besteht in der Regel aus verschiedenen IT Security Experten, die mit ihren spezifischen Fachkenntnissen ganz verschiedene Bereiche Ihrer IT angreifen. Dabei entstehen selbstverständlich keine echten Schäden, da das Red Team keine Maleware / Ransomware in Ihr System einschleust. Neben qualifizierten IT Security Experten gibt es in einem Red Team beispielsweise auch Programmierer, Systemadministratoren oder z.B. Spezialisten für Netzwerke. Darüber hinaus können Red Teams auch über ehemaliger Hacker (Ethical Hacking) verfügen, die ihre Erfahrung beim Überlisten von Sicherheitsmechanismen einsetzen. Je näher der Angriff an der Realität ist, desto besser kann Ihre IT-Sicherheit geprüft werden.

Profitieren Sie von Best-Practices im
Bereich Cyber Security aus über
30 Jahren Erfahrung bei der Entwicklung hochsicherer Satelliten-Systeme.

Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch zu den Themen Penetration Testing, Awareness Trainings oder zur Phishing-Simulation!

Red Teaming vs. Pentesting

Red Teaming unterscheidet sich zunächst in der Umsetzung vom Penetrationstest. Während ein Penetrationstest meist eine Freischaltung der zu testenden Systeme mit sich bringt und so durch Schwachstellenscanner und manuellem Testaufwand technische Defizite in möglichst allen Systemen aufzeigt, verfolgt eine Red Team Kampagne hingegen den Ansatz, unentdeckt die zuvor definierten Zielsysteme bzw. deren Daten zu kompromittieren und durch Social Engineering Angriffe auch nicht-technische Schwachstellen aufzudecken und auszunutzen.

Darüber hinaus unterscheidet sich ein Pentest auch in der Dauer des Testzeitraumes von einer Red Teaming Kampagne. Der aktive Testzeitraum eines durchschnittlichen Penetrationstest erstreckt sich in der Regel über ein bis maximal zwei Wochen, je nach Testumfang. Bei einer Red Teaming Kampagne hingegen kann sich der aktive Testzeitraum über einen Monat hinausstrecken.

Blue Teaming

Das Blue Team besteht aus den IT-Experten bzw. Verantwortlichen Ihres Unternehmens. Um einen realistischen Cyberangriffe auf Ihr Unternehmen durchzuführen, sollte das Blue Team nicht über die Beauftragung des Red Teams informiert werden. Idealerweise werden so wenig Mitarbeitende wie möglich involviert, da unter Umständen auch das Verhalten Ihrer Mitarbeiter sowie die physische Sicherheit Ihrer Standorte auf die Prüfung gestellt wird.

Red Teaming: Zielsetzung und Fragestellungen

Das Ziel beim Red Teaming ist klar definiert: Ein Team von IT-Experten wird versuchen Ihr IT-System zu hacken und dabei feststellen, wie gut Ihr Unternehmen gegen Cyberangriffe geschützt ist und ob eventuelle Schwachstellen bestehen. Dabei werden verschiedene Thematiken der IT-Sicherheit geprüft: Netzwerksicherheit, Sicherheit der verwendeten Endgeräte, Serversicherheit, Firewalls, aber auch das Verhalten Ihrer Mitarbeiter (Social Engineering), die physische Sicherheit Ihrer Standorte und organisatorische Sicherheitsmaßnahmen. Zu den typischen Fragestellungen beim Red Teaming zählen:

  1. Gibt es Schwachstellen in der IT-Sicherheit?
  2. Wird der Angriff durch das Red Team frühzeitig erkannt und wie reagiert das Blue Team auf den Cyberangriffe?
  3. Wie wirksam sind die Maßnahmen Ihrer IT-Abteilung?
  4. Müssen sich Besucher ausweisen und fällt es auf, wenn jemand Unbefugtes das Gebäude betritt?
  5. Wie gehen Mitarbeiter mit Phishing-Mails um?
  6. Werden Sicherheitsvorgaben und -protokolle eingehalten?

Werkzeuge und Taktiken beim Red Teaming

Beim Red Teaming werden verschiedene Vorgehensweisen, Werkzeuge und Taktiken eingesetzt. Es geht schließlich darum Ihre IT auf Herz und Nieren zu prüfen. Dabei werden zum Beispiel Angriffe auf Netzwerke vorgenommen, aber auch Ihre Mitarbeiter unter die Lupe genommen. Anbei eine Liste der gängigen Taktiken / Methoden bei Red Teaming:

  1. Penetrationstest: Beim Red Teaming werden in der Regel auch immer Penetrationstest durchgeführt. Dabei können beispielweise Anwendungen, Netzwerke oder physische Sicherheitskontrollen betrachtet und auf den Prüfstand gestellt werden. In unserem Artikel „Welche Art von Pentest brauche ich?“ finden Sie weitere Informationen zu den verschiedenen Pentest-Arten.
  2. Social Engineering: Beim Social Engineering wird versucht Ihre Mitarbeitenden gezielt dahingegen zu manipulieren, dass diese sensiblen Daten preisgeben. Social Engineering kann unter anderem per Telefon oder E-Mail (z.B. durch Phishing Attackenstattfinden, aber auch indem ein sogenannter „Social Engineer“ versucht Zugang zu einem gesperrten Bereich zu erlangen oder unbeobachtet in Büroräume zu gelangen.

 

Erfahren Sie mehr über unsere Pentests und Awareness-Schulungen.

Entdecken Sie die Einsatzmöglichkeiten für Ihr Unternehmen

Jetzt Erstgespräch vereinbaren

 

Aktuelle Magazin-Beiträge zum Thema IT Security