Red Teaming: Die offensive Königsdisziplin für Ihre IT-Sicherheit

Wie einfach ist es für Außenstehende, Ihrem Unternehmen Schaden zuzufügen? Diese Frage ist aktueller denn je: Laut dem Bundeskriminalamt bleibt Deutschland ein attraktives Ziel für Hacker. Den hiesigen Unternehmen entstehen dadurch jährliche Schäden von mehr als 100 Milliarden Euro – Tendenz steigend.

Eine bitkom-Studie kommt zu dem Ergebnis, dass neben Diebstahl von sensiblen digitalen Daten auch Informations- und Produktionssysteme sowie Betriebsabläufe häufig sabotiert werden. Die Gefahr ist daher ein ständiger Begleiter der deutschen Wirtschaft – und viele Unternehmen sind für diese Bedrohungslage nicht gerüstet.

Quelle: bitkom

Achim Berg, Präsident des Digitalverband Bitkom, verriet in einem Interview, dass Hacking eine neue Dimension erreicht hat. Die Freizeithacker von früher haben sich mittlerweile zu technologisch versierten Cyber Banden entwickelt – viele von ihnen hacken sogar im Auftrag eines Staates. Angesichts dessen scheint es wichtiger denn je, seine IT-Infrastruktur zu stärken, um Bedrohungen rechtzeitig erkennen und abwehren zu können.

Die Risiken lauern überall

Doch leider bedeuten Investitionen in die eigene IT und geschultes Personal nicht automatisch, dass Sie auf der sicheren Seite sind. Schwachstellen können vollkommen unerwartet auftreten – in Form eines früheren Mitarbeiters, eines ahnungslosen Dienstleisters oder eines auf dem Parkplatz liegen gelassenen USB-Sticks. Klingt unwahrscheinlich? Ist es aber nicht. Ein Mitarbeiter einer iranischen Urananreicherungsanlage fand so einen USB-Stick und hielt es für eine gute Idee, ihn an seinem Rechner anzuschließen. Die Folge: Das Virus Stuxnet, das sich auf dem Stick befand, konnte sich ausbreiten und die gesamte Anlage sabotieren.

Wie Sie sehen gibt es viele Arten, sich für Hacker verwundbar zu machen. Abwehrmechanismen müssen daher viele verschiedene und auch individuelle Aspekte Ihres Unternehmens abdecken. Viele stellen sich daher die Frage: Wie gut bin ich im Worst Case eigentlich abgesichert?

Um das herauszufinden, eignet sich Red Teaming.

Die Königsdisziplin

Red Teaming ist die Königsdisziplin der offensiven IT-Sicherheit. Hierbei handelt es sich um ein Team aus erfahrenen Sicherheitsexperten, das im Auftrag eines Unternehmens handelt und sich in die Rolle der Angreifer hineinversetzt.

Das Unternehmen stellt als Gegengewicht ein Blue Team aus eigenen Mitarbeitern zusammen; dieses kann dann die bisherigen Erkennungs-, Eindämmungs- und Abwehrmaßnahmen in Echtzeit üben. So können Sie sehen, wie Ihr Team im Falle einer Cyberattacke oder auf physikalische Angriffe reagiert.

Red Teaming umfasst weitreichende Maßnahmen, um die Sicherheitsstruktur Ihres Unternehmens unter die Lupe zu nehmen:

  • mit Hilfe von Penetrationstests wird das Team zunächst versuchen, in Ihr Netzwerk oder System einzudringen
  • über Social Engineering werden Ihre Mitarbeiter zum Ziel: Wie schnell geben diese vertrauliche Informationen weiter oder öffnen unbesorgt Anhänge von E-Mails?
  • Wie riskant ist es, wenn einem Ihrer Mitarbeiter ein Laptop entwendet wird? Kann deswegen Ihr ganzes Unternehmen Schaden nehmen?
  • aber auch Maßnahmen wie Einbruch kommen in Frage: Ist Ihr Serverraum wirklich so gut für Außenstehende abgesichert wie Sie meinen?

Insgesamt müssen Sie sich bei Red Teaming auf einen Angriff auf allen Fronten gefasst machen. Wie die Schritte konkret aussehen, wird im Voraus natürlich nicht mitgeteilt – Ihre Mitarbeiter müssen sich auf alle Szenarien vorbereiten und aufmerksam sein.

Ihre Vorteile

Während eines Red Teaming-Einsatzes kann ein Unternehmen wertvolle Informationen über sich selbst sammeln:

  • Wie schnell können Vorfälle bemerkt und Gegenmaßnahmen eingeleitet werden? Gleichzeitig kann der Business Continuity Plan vom Blue Team theoretisch getestet werden.
  • Gravierende Sicherheitslücken können identifiziert werden bevor ein realer Angreifer sie ausnutzen kann
  • Anhand eines Angriffs können Sie zum ersten Mal überhaupt Ihre Sicherheitslage realistisch einschätzen
    • Sie bekommen zudem fundierte Empfehlungen vom Red Team, wie sie Ihre Sicherheitslücken am besten schließen können
  • Sie sammeln zum ersten Mal Erfahrungen in einer bedrohlichen Lage und können Ihre Mitarbeiter so auf den Worst Case einstimmen
    • An der Leistung Ihres Blue Teams können Sie außerdem erkennen, ob Bedarf an der Verbesserung der Erkennungs- und Reaktionsfähigkeit besteht

Ihre Abläufe und Systeme werden zudem durch das Red Team zu keinem Zeitpunkt kompromittiert. Wenn es gewünscht wird können zu bestimmten Zeiten Maßnahmen gewählt werden, um zu prüfen, ob beispielsweise DDOS möglich ist.

Im Anschluss erhalten Sie eine ausführliche Übersicht aller durchgeführten Angriffe und ob diese erfolgreich waren. Das Ganze wird dabei so gestaltet, dass die Erkenntnisse des Red Teams problemlos nachvollzogen werden können. Zusätzlich ist eine fundierte Risikobewertung enthalten, die Ihnen aufzeigt, welche Ergebnisse speziell für Unternehmen kritisch und relevant sind.

Essenziell ist dabei ein Verbesserungskatalog, das Ihnen Empfehlungen gibt, wie Sie Ihre Sicherheit sofort und nachhaltig verbessern können. Die Leistung Ihres Blue Teams wird bewertet und Maßnahmen vorgeschlagen, um Ihre Mitarbeiter besser auf potenzielle Angriffe vorzubereiten.

Fazit

Red Teaming ist die Königsdisziplin der Cybersecurity: Sie können einen Angriff fundierter Sicherheitsexperten proben und so Ihre Schwachstellen identifizieren – ohne katastrophale Folgen für Ihr Unternehmen in Kauf nehmen zu müssen. 

In einer Zeit, in der die Digitalisierung voranschreitet und Deutschland immer mehr zum Ziel von Hackern wird, ist es essenziell, sich gut abzusichern. Leider besteht zwischen Theorie und Praxis ein enormer Unterschied – auch wenn Unternehmen meinen, sie investieren mehr als genug in Ihre IT-Sicherheit: Ob sie damit Recht haben, werden sie nur im Worst Case herausfinden. Um dem entgegenzuwirken, eignet sich Red Teaming. 

Red Teaming ist eine Investition in Ihren guten Ruf in der Branche, in die Fähigkeiten Ihrer Mitarbeiter und den Schutz Ihres Unternehmens.

5 Fragen an einen Chief Information Security Officer

Wir hatten das Vergnügen, Anton Kaiser fünf Fragen zum Thema Red Teaming zu stellen. Er ist Chief Information Security Officer bei sunhill technologies GmbH.

ndCS: Aus Deiner Sicht als CISO, wie kann Red Teaming Deiner Meinung nach dabei helfen das Risiko von Cyber Attacken zu mindern?

Anton Kaiser: Der beste Weg, Risiken für Cyber-Angriffe zu erkennen, ist, wie ein Angreifer zu denken. Ein großartiges Red Team, das die Position eines Angreifers einnimmt und Ihnen die Mängel in Ihren bestehenden Kontrollen zeigt, liefert wertvolles Feedback für Verbesserungen.

ndCS: Welche Qualifikationen und Kompetenzen werden von Dir in einem Red Team erwartet?

Anton Kaiser: Ein Red Team muss sehr vielseitig sein. Kommunikationsfähigkeiten für effektives Social Engineering sind ebenso gefragt wie das technische Verständnis von physischer und technischer Sicherheit, während ein Verständnis von Unternehmensprozessen notwendig ist, um Schwachstellen in vielen organisatorischen Maßnahmen zu erkennen, die ein Red Team aufzeigen können sollte.

ndCS: Welche Branche sollte in Red Teaming investieren, um Ihre Cyber Security zu verbessern?

Anton Kaiser: Wir wissen, dass die Finanzindustrie stark auf Red Teaming angewiesen ist, aber auch andere Branchen haben Risiken zu bewältigen, die nicht so leicht erkennbar sind, wie beispielsweise die Tatsache, dass Geld von einem Bankkonto gestohlen werden könnte. Aufgrund der notwendigen Exposition im gesamten Internet denke ich, dass alle Unternehmen, die SaaS-Anwendungen und mobile Apps betreiben, in die Sicherung ihrer Produkte investieren sollten, indem sie Red Teams einbeziehen.
Natürlich muss jedes Unternehmen seine eigene Risikoanalyse durchführen, um zu verstehen, ob sich diese Investition lohnt, aber ob Sie der Regierung eine kritische Infrastruktur zur Verfügung stellen oder Kundendaten für eine Chat-App verarbeiten, Fehler bei der Gewährleistung der Sicherheit Ihrer Produkte können entweder zum Verlust wertvoller Verträge oder zur Schließung Ihres Unternehmens aufgrund schlechter Presse und anschließenden Verlust von Kunden führen.

ndCS: Siehst Du Red Teams als geeigneten Sparringspartner für Dein Cyber Security Team?

Anton Kaiser: Ich halte es für wichtig, sich immer vor Augen zu halten, dass wir alle blinde Flecken haben, denn wir neigen dazu, uns auf die Themen zu konzentrieren, die wir kennen oder am besten verstehen. Das Feedback eines externen Red Teams hilft insbesondere dabei, sich auch wieder auf Bereiche zu konzentrieren, die bislang nicht allzu viel Aufmerksamkeit erhalten haben. Schließlich beginnen die Experten mit einem frischen Blick auf das Gesamtbild und werfen daher oft unentdeckte Probleme auf.

ndCS: Was müssen wir als Cyber Security Community tun, um uns in Zukunft besser zu schützen?

Anton Kaiser: Für die Planung und Umsetzung von Maßnahmen ist ein Bewusstsein in allen Unternehmensbereichen erforderlich. Je mehr Menschen über Themen informiert sind, desto weniger Widerstand gibt es bei Sicherheitsinitiativen. Die Sensibilisierung für Probleme in der Basisinfrastruktur durch leicht verständliche Beispiele ist mein bevorzugter Weg, um Risiken und Risikominderungsstrategien für private Nutzer und Unternehmen aufzuzeigen. Ein normaler Nutzer kann die Tatsache verstehen, dass „jeder meine E-Mails lesen kann, wenn ich sie in einem öffentlichen WLAN versende“, so dass die Umstellung wichtiger Websites und ihrer CDN-Infrastruktur zu SSL/TLS in den letzten zehn Jahren nicht schwer an Führungskräfte zu verkaufen war, und die Security Community Wege fand, durch die Einrichtung von Let’s Encrypt und Automatisierungstools für kostenlose SSL/TLS-Zertifikate, eine höhere Sicherheit kostenlos in Bereichen zu gewährleisten, in denen zuvor Geld ausgeben werden musste, um Sicherheit zu gewährleisten.

de_DEDeutsch
en_USEnglish de_DEDeutsch