Ein Red Team besteht aus IT-Sicherheitsexperten, die das Sicherheitsprogramm eines Unternehmens in einem realistischen Angriffsszenario überprüfen. Red Teams testen nicht nur technische Systeme, sondern auch die Mitarbeiter und Prozesse des Unternehmens. Typischerweise beauftragen Unternehmen eine externe, unabhängige Partei mit der Durchführung eines Red-Team-Einsatzes. Diese Einsätze sind immer zielorientiert. Eine klassische Zielsetzung im Rahmen eines Red Team Einsatzes ist z.B. das Erlangen des Zugriffs auf bestimmte Systeme oder Daten des Unternehmens. Der Gegenspieler des Red Teams ist das sog. Blue Team. Es besteht aus den internen IT-Sicherheitsexperten, die das Unternehmen gegen die Angriffe des Red Teams und echte Angreifer verteidigen.
Ablauf eines Red-Team-Einsatzes
Ein Red-Team-Einsatz ist die härteste Probe für das gesamte Sicherheitsprogramm des Unternehmens. Er findet ohne Vorankündigung statt, sodass sich weder Blue Team noch sonstige Mitarbeiter vorbereiten können. Das Red Team selbst bekommt keine Informationen über das Zielunternehmen, sodass faire Ausgangsbedingungen vorliegen und das Angriffsszenario möglichst realistisch ist. Das Vorgehen des Red Teams wird sich sehr oft an folgenden Fragestellungen orientieren, die für das beauftragende Unternehmen in der Regel besonders interessant sind:
- Wie schnell reagiert das Blue Team auf Angriffe?
- Wie wirksam sind die eingeleiteten Maßnahmen?
- Halten sich Mitarbeiter und Blue Team an die Sicherheitsvorgaben?
- Sind bestehende Sicherheitsvorgaben schlüssig und vollständig?
- Wie ist die physische Sicherheit in den Gebäuden des Unternehmens?
Um diese Fragen zu beantworten, hat das Red Team in aller Regel einen großen Handlungsspielraum und geht sehr dynamisch vor. Unter anderem können Social Engineering Angriffe ausgeführt werden. Hierbei werden typische menschliche Schwächen ausgenutzt, um Mitarbeiter des Unternehmens gezielt zu manipulieren. Diese können z.B. zur Preisgabe vertraulicher Informationen überlistet werden. Neben Social Engineering und technischen Angriffen auf die IT-Infrastruktur des Unternehmens kann im Rahmen eines Red-Team-Einsatzes auch physischer Zugang erlangt werden, beispielsweise durch das oder Fälschen von Zugangskarten oder das Einschleusen von manipulierten Geräten. Es ist nicht selten, dass Red Teams falsche Fährten legen und Ablenkungsmanöver starten, um das Blue Team besonders zu fordern. Zusammenfassend lässt sich sagen, dass bei einem Red Team Einsatz Angriffe über alle Kanäle mit beträchtlichem Zeit- und Ressourceneinsatz stattfinden. Ein Red Team Einsatz ist somit eine Simulation eines Advanced Persistent Threats (ATP).
Wo liegen die Unterschiede zwischen Red Teaming und Pentration Testing?
| Red Teaming | Pentesting | |
| Modus | Verdecktes vorgehen, möglichst unter der Erkennungsschwelle. | In der Regel sehr offensichtliches Vorgehen. |
| Zielorientierung | Stark fokussiert auf das Erreichen spezifischer Ziele, die vorab festgelegt werden. | Ebenfalls fokussiert, aber dennoch etwas breiter angelegt. Der Testgegenstand wird umfangreich untersucht. |
| Voraussetzungen | Nur Unternehmen mit einem sehr reifen IT-Sicherheitsprogramm benötigen Red-Team-Einsätze. | Auch bei einer nur grundlegenden IT-Sicherheit ist ein Penetrationstest sinnvoll. |
| Ressourceneinsatz | Hoher Ressourceneinsatz. Die Durchführung wird von einem ganzen Team sichergestellt. | Geringerer Ressourceneinsatz. Oft kann ein Penetrationstest im Alleingang bewältigt werden. |
| Handlungsspielraum | Oftmals hat das Red Team einen großen Handlungsspielraum und geht dynamisch vor. | Pentestest sind starrer. Das Vorgehen wird oftmals mit dem Kunden eng abgestimmt. |
| Zeitraum | Streckt sich in der Regel über mehrere Wochen bis Monate | In der Regel 1-2 Wochen |
| Ziele | Reaktionsfähigkeit und Erkennungsfähigkeit des Blue Teams prüfen. Prozesse und deren Wirksamkeit überprüfen | Angriffsfläche beurteilen, kritische Schwachstellen aufdecken, mögliche Auswirkungen eines Angriffs bewerten |
| Informationsbasis | Keine Vorabinformationen – weder für Red Team noch für das Blue Team. Teilweise gibt es ein White Team, das eingeweiht ist und eine kontrollierte Durchführung sicherstellt. | Häufig sind Informationen über den Testgegenstand vorhanden, Mitarbeiter des Unternehmens werden oft eingeweiht |
| Kanäle | Angriffe erflogen immer über mehrere Kanäle (physisch, Mensch, Netzwerk etc.) | Oftmals beschränkt auf einen Kanal z.B. Angriffe ausschließlich über das Netzwerk |
Wer benötigt Red Teaming?
Ein hoher Reifegrad der Informationssicherhheit ist Grundvoraussetzung, um einen Red Team Einsatz zu rechtfertigen. Nur wenn es ein umfangreiches Sicherheitsprogramm gibt, lohnt es sich auch dieses zu testen. Der Kreis der Unternehmen, die einen hohen Reifegrad haben ist allerdings überschaubar. Die allermeisten Unternehmen haben kein Blue Team, das einem Red Team entgegentreten könnte. Für diese Unternehmen macht es vielmehr Sinn in den Aufbau des Sicherheitsprograms zu investieren. Erst wenn dieses steht und positive Pentest-Ergebnisse verzeichnet werden, sollte man über Red Teaming nachdenken. In der EU gibt es das sogenannte TIBER-EU Rahmenwerk (Threat Intelligence-based Ethical Red Teaming) für die freiwillige Durchführung von Red-Team-Einsätzen in der Finanzindustrie. Es richtet sich u.a an Banken, Versicherer und Betreiber von Finanzmarktinfrastruktur und zielt darauf ab die Cyberwiderstandsfähigkeit des Finanzsektors nachhaltig zu verbessern.
