In einer zunehmend komplexen und dynamischen Welt ist es für Organisationen unerlässlich, ihre Sicherheits- und Verteidigungsstrategien ständig zu überprüfen und zu verbessern. Eine der effektivsten Methoden, um Schwachstellen aufzudecken und die Resilienz zu stärken, ist das sogenannte Red Teaming. Doch was genau verbirgt sich hinter diesem Konzept? Und für welche Arten von Organisationen ist es besonders geeignet?
Dieser Artikel gibt einen Einblick in die Welt des Red Teamings, beleuchtet seine Vorteile und zeigt auf, welche Unternehmen und Institutionen am meisten von dieser anspruchsvollen und zugleich kreativen Methode profitieren können.
Inhaltsverzeichnis
Was ist Red Teaming?
Die Auffassung des Begriffs “Red Teaming” im Detail variiert heutzutage von Kontinent zu Kontinent, was an kulturellen Unterschieden oder unterschiedlichen Sicherheitspraktiken liegen könnte. Unbestritten jedoch ist der militärische Ursprung des Begriffs und seine Entstehung in Nordamerika.
Das Konzept wurde ursprünglich entwickelt, um die Verteidigungsfähigkeit gegen simulierte Angriffe zu testen. Später wurde es auf den Bereich der Cybersicherheit übertragen, wo es sich im Laufe der Zeit weltweit etabliert hat.
Oneconsult beschreibt Red Teaming als eine realitätsnahe Angriffssimulation, die das Vorgehen echter Angreifer nachahmt. Dabei wird die Infrastruktur als Ganzes getestet; optional können auch die physische Sicherheit und die Awareness der Mitarbeitenden geprüft werden. Eine solche Simulation ermöglicht es Organisationen, ihre Sicherheitsvorkehrungen und strategischen Pläne aus der Perspektive eines Angreifers bewerten zu lassen. Red Teaming ist somit eine proaktive Methode, die dabei unterstützt, Schwachstellen und potenzielle Bedrohungen zu identifizieren, bevor sie von echten Gegnern ausgenutzt werden können.
Weitere Informationen über Red Teaming und darüber, wie es sich von einem Penetration Test unterscheidet, beschreiben wir ausführlich in unserem Blogartikel: Die Unterschiede zwischen Penetration Test und Red Teaming
Warum ist Red Teaming wichtig?
Mit der wachsenden Anzahl und erhöhten Komplexität von Cyberangriffen sind proaktive Sicherheitsmassnahmen unumgänglich. Dazu gehören auch regelmässige und spezifische Red-Teaming-Tests. Nur ein einziger Sicherheitsvorfall kann das Vertrauen von Kunden bereits nachhaltig schädigen. Die Kosten für die Behebung eines Sicherheitsvorfalls stehen zudem in keinem Verhältnis zu sinnvoll implementierten Verteidigungsstrategien. Oneconsult durfte bereits bei diversen grösseren Cyber Incidents Kunden unterstützen und begleiten. Daher kennen wir echte Worst-Case-Szenarien und wissen genau, worauf es ankommt. Auch die Regulierung DORA oder das TIBER-Framework, ein Rahmenwerk der Europäischen Zentralbank für Red-Teaming-Tests, zeigen klar, dass die Thematik ernst zu nehmen ist.
Hat ein Unternehmen grundlegende Verteidigungsstrategien implementiert und für einzelne Komponenten Penetration Tests durchgeführt, kann es von Interesse sein, einen Angriff zu simulieren. Damit kann zum einen die Wirksamkeit der bestehenden Verteidigung überprüft werden; zum anderen stärkt die Umsetzung der Massnahmen, die aus der Angriffssimulation abgeleitet werden können, die Cyberresilienz weiter. Dabei können verschiedene Angriffsszenarien und bekannte Bedrohungen (z.B. Emissary Panda, Fancy Bear, Midnight Blizzard etc.), sogenannte Advanced Persistent Threats (APTs), simuliert werden.
Durch die Nachahmung realistischer Angriffsszenarien können Organisationen nicht nur technische Lücken aufdecken, sondern auch organisatorische Schwächen und menschliche Faktoren analysieren. Ein Ziel von Red-Teaming-Simulationen ist somit die Identifikation von technischen Lücken. Zusätzlich sollen auch Schwächen in der Reaktion, den Abläufen, der Kommunikation, der Koordination von Angriffen und im Umgang mit den Angreifern aufgedeckt werden aufgedeckt werden. Deshalb wird Red Teaming oftmals mit Purple Teaming kombiniert.
Welche Vorteile bringt Red Teaming?
Red Teaming bietet den erheblichen Vorteil, versteckte Schwachstellen in den IT-Systemen, physischen Sicherheitsvorkehrungen und Sicherheitsprozessen einer Organisation aufzudecken, welche bei herkömmlichen Sicherheitsüberprüfungen aufgrund fehlenden Zusammenhangs übersehen werden. Durch die realitätsnahe Simulation echter Angriffe können Unternehmen ihre Verteidigungsstrategien unter realen Bedingungen testen und verbessern. Red Teaming fördert das Sicherheitsbewusstsein der Mitarbeitenden und stellt sicher, dass eine Organisation schnell und effektiv auf Sicherheitsvorfälle reagieren kann. Weiter kann es das Vertrauen zwischen Kunden und Partnern stärken, indem es zeigt, dass eine Organisation proaktiv Sicherheitsmassnahmen ergreift.
Wer braucht Red Teaming und für wen ist es geeignet?
Red Teaming ist für eine Vielzahl von Organisationen und Branchen relevant, welche ihre Sicherheitsmassnahmen verbessern und auf potenzielle Bedrohungen vorbereitet sein möchten. Unternehmen, die sensible Daten verwalten oder in stark regulierten Branchen wie dem Finanzwesen, Gesundheitswesen und Energiesektor tätig sind, profitieren besonders von dieser Form der Sicherheitsprüfung. Ebenso sind grosse Unternehmen mit komplexen IT-Infrastrukturen und globalem Tätigkeitsbereich auf Red Teaming angewiesen, um potenzielle technische oder prozessuale Schwachstellen zu identifizieren und zu beheben.
Selbst kleinere Unternehmen, die zwar über begrenzte Ressourcen verfügen, aber dennoch attraktive Ziele für Cyberkriminelle darstellen, können durch Red Teaming erhebliche Sicherheitsverbesserungen erzielen.
Auch bei grösseren Veränderungen in einer Organisation kann Red Teaming eine Variante sein, um die daraus entstandenen und kaum offensichtlichen Sicherheitsrisiken aufzudecken. Nachfolgend einige Beispielszenarien, in denen Red Teaming sinnvoll ist:
- Bezug eines neuen Bürogebäudes
- Akquisition oder Zusammenführung von Firmen
- Grössere Investitionen in die Cybersecurity nach einem Vorfall oder als Prävention
- Standortbestimmung vor grösseren Investitionen
Warum ist eine Simulationsplanung entscheidend?
Die Planung einer solchen Simulation ist für den Erfolg des Projekts entscheidend. Es sollte festgelegt werden, ob eine ganze Angriffskette oder einzelne «Bausteine» eines Angriffs simuliert und getestet werden sollen. Die Ausgangslage ist ein definiertes Szenario, wobei der Fokus stets auf der Erreichung eines Ziels liegt.
Beispiele für solche Szenarien sind:
- Welchen Schaden kann ein Angreifer anrichten, wenn er Zugang zu einem Endgerät erlangt?
- Was sind die Auswirkungen der Ausnutzung einer Zero-Day-Sicherheitslücke? Wie einfach kann sich ein Angreifer, der sich über eine Schwachstelle Zugang zu einem Server verschafft hat, im Netzwerk ausbreiten und andere Systeme übernehmen?
- Kann ein Angreifer physischen Zugang zum Bürogebäude oder einem spezifischen Raum erlangen und welche weiteren Angriffe sind dadurch möglich?
Für die genannten Szenarien gibt es folgende Möglichkeiten der Angriffssimulation:
- (Spear-)Phishing Assessment: Gezielter Phishing-Angriff auf eine einzelne Person oder eine bestimmte Benutzergruppe, zum Beispiel eine Abteilung der Zielorganisation.
- Phishing-Simulation mit Codeausführung: Phishing-Angriff, der die Ausführung von Code auf dem System des Opfers zum Ziel hat.
- Threat-Intelligence-Analyse: Analyse extern erreichbarer Systeme und öffentlich verfügbarer Informationen aus Sicht eines Angreifers.
- Local Privilege Escalation auf einem Endbenutzergerät: Überprüfung eines Endbenutzergeräts auf Schwachstellen in Software und Konfigurationen, die eine Ausweitung der Rechte ermöglichen, um diese anschliessend auszunutzen.
- Social Engineering Assessment: Durchführung einer Social-Engineering-Kampagne, um zu versuchen, sich über verschiedene Szenarien physischen Zugang zu den Räumlichkeiten zu verschaffen.
- Physical Security Assessment: Identifikation und Ausnutzung physischer Schwachstellen, um sich Zugang zum Zielgebäude zu verschaffen und so wiederum Zugriff auf vertrauliche Daten oder interne Systeme zu erlangen.
- Lateral Movement und Privilege Escalation (Domain-Administrator-Berechtigungen): Versuche, sich durch Lateral Movement im Netzwerk auszubreiten und durch bekannte Schwachstellen und Fehlkonfigurationen weiteren Zugriff zu erlangen. Dieser Prozess wird wiederholt, um die höchstmöglichen Rechte im Active Directory zu erlangen.
- Lateral Movement und Privilege Escalation (Zugriff auf kritische/sensible Daten): Versuche, sich durch Lateral Movement im Netzwerk auszubreiten und durch bekannte Schwachstellen und Fehlkonfigurationen weiteren Zugriff zu erlangen. Dieser Prozess wird wiederholt, um entsprechende Privilegien für den Zugriff auf kundenbezogene Informationen zu erlangen.
Fazit
Red Teaming ist eine effektive Methode, um die Sicherheit der gesamten Infrastruktur und – je nach Szenario – auch die physische Sicherheit zu testen. Dabei werden nicht nur einzelne Aspekte oder Anwendungen geprüft, sondern auch die Interaktionen im Netzwerk untersucht. Red-Teaming-Projekte sind besonders für Organisationen geeignet, die bereits ein gewisses Sicherheitsniveau aufweisen, können aber auch ein guter Einstieg sein, um das allgemeine Sicherheitsniveau einzuschätzen.
Die Ausgangslage, das zu erreichende Ziel sowie gewisse Vorgaben bezüglich des Vorgehens können individuell gestaltet und angepasst werden, um relevante Angriffsszenarien für die jeweilige Organisation abzudecken und maximalen Mehrwert zu generieren.
Insgesamt ist Red Teaming eine unverzichtbare Massnahme für jede Organisation, die ihre Sicherheitsmassnahmen proaktiv und umfassend überprüfen möchte, um gegen die ständig zunehmenden Bedrohungen gewappnet zu sein.