Was ist ein Red Team?

Ein Red Team besteht aus IT-Sicherheitsexperten, die das Sicherheitsprogramm eines Unternehmens in einem realistischen Angriffsszenario überprüfen. Red Teams testen nicht nur technische Systeme, sondern auch die Mitarbeiter und Prozesse des Unternehmens. Typischerweise beauftragen Unternehmen eine externe, unabhängige Partei mit der Durchführung eines Red-Team-Einsatzes. Diese Einsätze sind immer zielorientiert. Eine klassische Zielsetzung im Rahmen eines Red Team Einsatzes ist z.B. das Erlangen des Zugriffs auf bestimmte Systeme oder Daten des Unternehmens. Der Gegenspieler des Red Teams ist das sog. Blue Team. Es besteht aus den internen IT-Sicherheitsexperten, die das Unternehmen gegen die Angriffe des Red Teams und echte Angreifer verteidigen.

Ablauf eines Red-Team-Einsatzes

Ein Red-Team-Einsatz ist die härteste Probe für das gesamte Sicherheitsprogramm des Unternehmens. Er findet ohne Vorankündigung statt, sodass sich weder Blue Team noch sonstige Mitarbeiter vorbereiten können. Das Red Team selbst bekommt keine Informationen über das Zielunternehmen, sodass faire Ausgangsbedingungen vorliegen und das Angriffsszenario möglichst realistisch ist. Das Vorgehen des Red Teams wird sich sehr oft an folgenden Fragestellungen orientieren, die für das beauftragende Unternehmen in der Regel besonders interessant sind:

  • Wie schnell reagiert das Blue Team auf Angriffe?
  • Wie wirksam sind die eingeleiteten Maßnahmen?
  • Halten sich Mitarbeiter und Blue Team an die Sicherheitsvorgaben?
  • Sind bestehende Sicherheitsvorgaben schlüssig und vollständig?
  • Wie ist die physische Sicherheit in den Gebäuden des Unternehmens?

Um diese Fragen zu beantworten, hat das Red Team in aller Regel einen großen Handlungsspielraum und geht sehr dynamisch vor. Unter anderem können Social Engineering Angriffe ausgeführt werden. Hierbei werden typische menschliche Schwächen ausgenutzt, um Mitarbeiter des Unternehmens gezielt zu manipulieren. Diese können z.B. zur Preisgabe vertraulicher Informationen überlistet werden. Neben Social Engineering und technischen Angriffen auf die IT-Infrastruktur des Unternehmens kann im Rahmen eines Red-Team-Einsatzes auch physischer Zugang erlangt werden, beispielsweise durch das oder Fälschen von Zugangskarten oder das Einschleusen von manipulierten Geräten. Es ist nicht selten, dass Red Teams falsche Fährten legen und Ablenkungsmanöver starten, um das Blue Team besonders zu fordern. Zusammenfassend lässt sich sagen, dass bei einem Red Team Einsatz Angriffe über alle Kanäle mit beträchtlichem Zeit- und Ressourceneinsatz stattfinden. Ein Red Team Einsatz ist somit eine Simulation eines Advanced Persistent Threats (ATP).

Wo liegen die Unterschiede zwischen Red Teaming und Pentration Testing?

Red Teaming Pentesting
Modus Verdecktes vorgehen, möglichst unter der Erkennungsschwelle. In der Regel sehr offensichtliches Vorgehen.
Zielorientierung Stark fokussiert auf das Erreichen spezifischer Ziele, die vorab festgelegt werden. Ebenfalls fokussiert, aber dennoch etwas breiter angelegt. Der Testgegenstand wird umfangreich untersucht.
Voraussetzungen Nur Unternehmen mit einem sehr reifen IT-Sicherheitsprogramm benötigen Red-Team-Einsätze. Auch bei einer nur grundlegenden IT-Sicherheit ist ein Penetrationstest sinnvoll.
Ressourceneinsatz Hoher Ressourceneinsatz. Die Durchführung wird von einem ganzen Team sichergestellt. Geringerer Ressourceneinsatz. Oft kann ein Penetrationstest im Alleingang bewältigt werden.
Handlungsspielraum Oftmals hat das Red Team einen großen Handlungsspielraum und geht dynamisch vor. Pentestest sind starrer. Das Vorgehen wird oftmals mit dem Kunden eng abgestimmt.
Zeitraum Streckt sich in der Regel über mehrere Wochen bis Monate In der Regel 1-2 Wochen
Ziele Reaktionsfähigkeit und Erkennungsfähigkeit des Blue Teams prüfen. Prozesse und deren Wirksamkeit überprüfen Angriffsfläche beurteilen, kritische Schwachstellen aufdecken, mögliche Auswirkungen eines Angriffs bewerten
Informationsbasis Keine Vorabinformationen – weder für Red Team noch für das Blue Team. Teilweise gibt es ein White Team, das eingeweiht ist und eine kontrollierte Durchführung sicherstellt. Häufig sind Informationen über den Testgegenstand vorhanden, Mitarbeiter des Unternehmens werden oft eingeweiht
Kanäle Angriffe erflogen immer über mehrere Kanäle (physisch, Mensch, Netzwerk etc.) Oftmals beschränkt auf einen Kanal z.B. Angriffe ausschließlich über das Netzwerk

Wer benötigt Red Teaming?

Ein hoher Reifegrad der Informationssicherhheit ist Grundvoraussetzung, um einen Red Team Einsatz zu rechtfertigen. Nur wenn es ein umfangreiches Sicherheitsprogramm gibt, lohnt es sich auch dieses zu testen. Der Kreis der Unternehmen, die einen hohen Reifegrad haben ist allerdings überschaubar. Die allermeisten Unternehmen haben kein Blue Team, das einem Red Team entgegentreten könnte. Für diese Unternehmen macht es vielmehr Sinn in den Aufbau des Sicherheitsprograms zu investieren. Erst wenn dieses steht und positive Pentest-Ergebnisse verzeichnet werden, sollte man über Red Teaming nachdenken. In der EU gibt es das sogenannte TIBER-EU Rahmenwerk (Threat Intelligence-based Ethical Red Teaming) für die freiwillige Durchführung von Red-Team-Einsätzen in der Finanzindustrie. Es richtet sich u.a an Banken, Versicherer und Betreiber von Finanzmarktinfrastruktur und zielt darauf ab die Cyberwiderstandsfähigkeit des Finanzsektors nachhaltig zu verbessern.

Share on linkedin
LinkedIn
Share on email
Email
Share on print
Print
Dennis Kionga

Dennis Kionga

Dennis ist Geschäftsführer bei Cloud Cape, einem IT Dienstleistungsunternehmen, das zukunftsfähige IT-Sicherheits- und Cloud-Lösungen implementiert und betreibt. Zuvor arbeitete er als Business Development Manager in der Lufthansa Group, wo er Verantwortung für den globalen Vertrieb von Outsourcing-Lösungen für Airlines übernahm. Er schloss sein Studium an der Universität Mannheim ab und erwarb einen Master of Laws (LL.M.) sowie ein Postgraduate Certificate im Projektmangement der Universität Kapstadt. In seiner Laufbahn hatte er längere Auslandsaufenthalte in Portugal, Tschechien und Südafrika.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Über Cloud Cape

Wir helfen Unternehmen Transparenz in der eigenen IT-Landschaft zu schaffen und begleiten auf dem Weg der sicheren digitalen Transformation. Als ‚Cloud-first‘ Unternehmen haben wir uns insbesondere auf Cloud-Lösungen und Cloud-Sicherheit spezialisiert.

Neuste Posts

Möchten Sie mehr von uns erfahren?