Red Teaming ist das Sicherheitsaudit der Wahl für Unternehmen, die nicht nur die IT-Infrastruktur auf Schwachstellen testen wollen, sondern auch das Sicherheitskonzept, die dahinterliegenden Prozesse und Menschen überprüfen wollen, um einen besonders hohen Grad der Sicherheit zu schaffen.
Grau ist alle Theorie
Grau ist alle Theorie, sagt man. Das betrifft auch die IT-Sicherheit. Unternehmen schmieden umfangreiche IT-Sicherheitskonzepte, installieren Abwehrmechanismen, die geschulte Verkäufer als „absolut sicher“ angepriesen haben und man führt regelmäßig Penetration Tests durch. Soweit so gut. Man ist sich sicher: wir haben alles notwendige getan, an unseren Firewalls kommt niemand vorbei.
Was also ist Red Teaming und welchen Mehrwert bringt es sicherheitsbewussten Unternehmen?
Red Teaming als Sicherheitsaudit
Red Teaming ist zunächst ein Auditierungsverfahren. Im Gegensatz zu Penetration Test, wo Sicherheitslücken und Konfigurationsfehler in der IT-Infrastruktur geprüft werden, stehen beim Red Teaming die Prozesse, Szenarien und Menschen sowie das Sicherheitskonzept des Unternehmens als Ganzes auf dem Prüfstand.
Der Begriff Red Teaming stammt aus Militär- und Geheimdienstkreisen. Dort stellen Red Teams in Übungen feindliche Akteure dar und simulieren deren Handlungen, um reelle Übungszenarien zu erzeugen. So lernen die Truppen der „guten Seite“, auch Blue Teams genannt, auf kurzfristige Lageänderungen zu reagieren und trainieren den Umgang mit einem „echten Feind“. Doch nicht nur die Handlungen der eigenen Truppen soll trainiert werden, auch die planerischen Aktivitäten des militärischen Führungsstabes wird geprüft. So können die Betroffene wertvolle Erfahrungen machen und auch Fehlentscheidungen getroffen werden, die in einer echten Situation möglicherweise verheerende Auswirkungen gehabt hätten.
Angelehnt an diese Art von Übungen halten Red Teaming Assessments als Auditierungsverfahren für „das Große Ganze“ zunehmend Einzug in der IT-Sicherheit.
Auch kann zum Einen das Blue Team, die Verteidiger des Unternehmens, trainieren. Zum Anderen gilt es aber auch die Entscheidungsfindung in der Managementebene zu evaluieren und die angestoßenen Prozesse auf Wirksamkeit zu prüfen.
Vom virtuellen bis zum physischen Red Teaming
Der Spielraum für ein Red Team Assessment ist dabei oftmals bewusst sehr flexibel gehalten und kann sich bei mehreren Assessments durchaus im Schwerpunkt deutlich unterscheiden.
Das Red Team hat grundsätzlich immer die Aufgabe, eine der Schutzziele der IT-Sicherheit, Verfügbarkeit, Vertraulichkeit und Integrität zu beeinflussen.
So kann der Schwerpunkt bei einem Red Teaming sein, durch Phishingmails und Anhängen mit Makros Backdoors im Unternehmen zu installieren und Daten aus dem Unternehmen auszuleiten. Da dies bekanntlich eines der gängigsten Verfahren echter Hackerangriffe ist, kann so zum einen die Sensibilität der Belegschaft geprüft werden, zum anderen aber auch geprüft werden, ob vorhandene Sicherheitssysteme schädliche Makros in der Ausführung behindern, Datenströme aus dem Unternehmen heraus einer wirksamen Kontrolle unterliegen und ob bei der Erkennung eines solchen Vorgangs die richtigen Maßnahmen getroffen werden oder die Verteidiger in ziellosen Aktionismus verfallen, der womöglich sogar einen weitaus größeren Schaden verursacht.
Ein Sticker auf dem Server – physisches Red Teaming
Doch nicht nur Angriffe auf das Netzwerk sind denkbar. Es ist durchaus üblich auch die physische Zugangssicherungen eines Unternehmens auf Wirksamkeit zu überprüfen. Dabei spielt Social Engineering eine große Rolle. Kann sich einer der Red Team Auditoren am Empfang vorbeischmuggeln und gegebenenfalls bis zum Serverraum vordringen? Sind Türen von Seiteneingängen, die Raucher gerne nutzen, nur angelehnt? Tippen Angestellte ihren Zugangs-PIN unverdeckt ein und können RFID-Zugangskarten in der Hosentasche geklont werden? Ein Sticker auf dem Serverschrank oder einem ungesperrten Arbeitsrechner mit dem Logo der Auditoren und ein schnelles Beweisfoto sorgen für einen Moment der Betroffenheit und sicherlich auch für ein Umdenken innerhalb des Unternehmens.
Umgang mit Innentätern
Auch Insiderwissen und Angriffe durch Innentäter stellen ein Problem dar. So stellte der Verfassungsschutz bereits 2014 dar, dass rund 30% der öffentlich gewordenen Hackerangriffe durch Innentäter ausgelöst wurden. Ein nicht zu vernachlässigender Anteil also. Es gilt also Verfahren zu etablieren, die beispielsweise ein Kopieren von großen Datenmengen oder außergewöhnliche Zugriffe erkennen, in einen richtigen Kontext setzen und die richtigen Maßnahmen treffen, ohne den Betrieb großflächig zu stören.
Sind diese Verfahren zunächst theoretisch, können sie durch ein Red Teaming Assessment wiederum auf Wirksamkeit überprüft werden.
Aufbau und Ablauf eines Red Teamings
Grundsätzlich sind bei einem Red Teaming drei Personengruppen beteiligt.
Zum einen das Blue Team, die Verteidiger. Dazu gehören unter anderem die Spezialisten der IT-Abteilung.
Das Red Team besteht in der Regel aus IT-Sicherheitsanalysten und Penetration Testern, kann aber auch bei physischen Penetration Tests Komponenten wie Privatdetektive beinhalten.
Eine besondere und wichtige Stellung hat das sogenannte White Team. Es setzt sich aus Personen zusammen, die das gesamte Red Team Assessment als Stille Beobachter begutachten. Es bildet dabei die Schnittstelle zwischen Red Team und Blue Team, die nicht direkt miteinander kommunizieren. Beide Teams berichten Fortschritt und Vorkomnisse an das White Team, das auf diese Weise den Überblick behält und bereits während des Assessments das IT-Sicherheitskonzept des Unternehmens analysiert.
Im Anschluss an das Red Teaming arbeiten alle drei Teams gemeinsam die Lessons Learned des Assessments heraus, um das Sicherheitskonzept zu verbessern, Fehler zu korrigieren und die Sicherheit des Unternehmens nachhaltig zu steigern.
Lessons Learned – bereits VOR einem Hackerangriff
Red Teaming bietet also durch die Simulation von echten Angriffen auf Unternehmen, die Möglichkeit, Fehler zu machen. Durch die herausgestellte Position des White Teams, das Blue Team und die Prozesse des Unternehmens zu beobachten, können Lessons Learned aus jedem Red Teaming Assessment gezogen werden, die die Sicherheit des Unternehmens nachhaltig steigern. Haben die Verteidiger keine Möglichkeit Erfahrungen zu sammeln, sind im Ernstfall mit großer Wahrscheinlichkeit Fehler unausweichlich.
Der Mehrwert von Red Teaming
Wie nun klar wurde, ist Red Teaming kein normales Sicherheitsaudit. Es ist eine Übung für den Ernstfall nach dem Motto „Train as you fight!“.
Der Mehrwert für Unternehmen liegt auf der Hand:
- Red Teaming testet nicht die Schwachstellen der IT-Infrastruktur, es überprüft Lücken im Sicherheitskonzept. Es ist daher eine wichtige Ergänzung zum Penetration Test.
- Im Vordergrund stehen Prozesse, die Menschen und das Sicherheitskonzept als Ganzes.
- Ein Red Teaming Assessment bietet die seltene Möglichkeit, Fehler zu machen und daraus zu lernen! Auf diese Weise sind die Verteidiger nicht das erste Mal in dieser Situation. Sie können sp nicht nur fachlich richtig handeln, sondern auch aus einem Erfahrungsschatz schöpfen.
- Theoretische Fehler in Sicherheitskonzepten können meist nur durch Red Teaming erkannt und so verbessert werden.
- Red Teaming zeigt auf, was Sicherheitssysteme leisten können und was nicht.