Flexible Security for Your Peace of Mind

Was ist Red Teaming?

Bevor wir intensiv in das Thema Red Teaming einsteigen, hier ein erster Eindruck von den Dimensionen durch Cyberangriffe. Die Deutsche Telekom hat zu diesem Zweck weltweit rund 3.000 sogenannte Honeypots ausgelegt. Dies sind Systeme und Netzwerke, die als Köder für Hacker dienen sollen. Hier wurden im Durchschnitt 31 Millionen Cyberattacken pro Tag (!) registriert. Seit 2017 haben sich damit die Attacken verachtfacht.

Laut einer Studie des Branchenverbands Bitkom waren im Jahr 2022 bis zu 84 Prozent deutscher Unternehmen von einem Angriff betroffen, bei denen ein Schaden von insgesamt 203 Milliarden Euro entstand. Grund genug, sich mit dem Thema Cybersecurity und Red Teaming etwas genauer zu beschäftigen. Wir klären darüber auf, was Red Teaming genau ist, für wen es infrage kommt, was der Unterschied zwischen Pentesting und Red Teaming ist und zeigen Ihnen einige konkrete Beispiele.

Was man unter Red Teaming versteht – eine Definition

Red Teaming ist ein Prozess, bei dem eine Gruppe von Experten versucht, die Sicherheitsmaßnahmen eines Unternehmens oder einer Organisation zu testen, indem sie versuchen, sich Zugang zu sensiblen Daten, Systemen oder Ressourcen zu verschaffen. Das Ziel von Red Teaming ist es, Schwachstellen im Sicherheitssystem aufzudecken und Verbesserungen vorzuschlagen, um die Sicherheit des Unternehmens zu verbessern.

Etwas geradliniger ausgedrückt: Ein Red-Team-Assessment ist eine Ziel-basierte, kontradiktorische Aktivität, die von Penetrationstestern durchgeführt wird, um einen detaillierten Einblick in Ihr Unternehmen aus der Perspektive eines Bedrohungsakteurs zu erhalten.

Ein Red Team arbeitet tendenziell vollkommen unabhängig. Je nach Scope und Absprache mit dem Auftraggeber erhält es keine internen Informationen verhält sich so, wie ein externer Angreifer es auch tun würde. In einem solchen Team vereint sich das geballte Fachwissen von Sicherheitsexperten, Systemadministratoren, Netzwerkspezialisten, Programmierern und ehemaligen (oder Ethical-) Hackern.

Übrigens: Im Gegensatz dazu handelt es sich bei einem Blue Team um organisationsinterne Fachleute, die versuchen, Schwachstellen von innen herauszufinden und zu schließen.

Was ist der Unterschied zwischen einem Pentest und Red Teaming?

Es gibt große Unterschiede zwischen den beiden Begriffen, aber auch einige Gemeinsamkeiten. Red Teaming geht viel weiter als Pentesting. Red Teaming ist gewissermaßen die übergeordnete Ebene – hier werden ganze Systeme und Netzwerke überprüft und getestet, während bei Penetrationstests in der Regel spezifischer gearbeitet wird. Hierbei geht es eher darum, eine ganz bestimmte Schwachstelle anzugreifen oder zu finden. Im Rahmen von Red Teaming werden vereinzelt auch Penetrationstests durchgeführt.

Für eine nachhaltige Cyberabwehr eignet sich Red Teaming jedoch deutlich besser, da das Thema ganzheitlich betrachtet wird. Es werden nicht nur virtuelle Angriffe gestartet, sondern auch physische. So kann bei einem umfangreichen Assessment auch einmal ein Mitarbeiter des Teams versuchen, mit einer gestohlenen Mitarbeiterzugangskarte Zugriff auf Daten vor Ort zu erlangen.

Für wen kommt Red Teaming infrage?

Geht man von den oben genannten Zahlen aus, sollte sich praktisch jedes Unternehmen einmal mit dem Thema auseinandersetzen. Aber Red Teaming ist insbesondere für Unternehmen und Organisationen interessant, die ein hohes Risiko von Cyberangriffen oder anderen Sicherheitsbedrohungen haben, wie Regierungsbehörden, Finanzinstitute oder Unternehmen mit kritischen Daten. Durch Red Teaming können diese Unternehmen ihre Sicherheitsmaßnahmen verbessern und ihre Reaktionsfähigkeit im Falle eines Angriffs verbessern.

Beispiele für Red Teaming

Der Werkzeugkasten eines Red Teams ist sehr umfangreich und „schmutzig“ – aber genau das macht ein gutes Red Team am Ende aus. Immerhin sollen alle möglichen Schwachstellen aufgedeckt werden und echte Hacker nutzen in der Regel auch alle ihnen zur Verfügung stehenden Mittel. Je „schmutziger“ das Red Teaming durchgeführt wird, desto erfolgreicher wird es auch sein. Hier einige der Werkzeuge:

Phishing

Über E-Mail-Phishing oder Voice-Phishing (also fingierte Anrufe bei Mitarbeitern) wird versucht, an interne Informationen zu gelangen, die bei einem Angriff nützlich sein könnten. Durch das Ausgeben als IT-Dienstleister für das Unternehmen könnte z. B. der Standort des zentralen Servers erfragt werden. Durch Phishing E-Mails könnte zudem Schadsoftware in das Unternehmensnetzwerk geschleust werden.

Dumpster Diving

Das Durchsuchen des Mülls kann viele Erkenntnisse bringen. In einem Beispiel wurde der Lieferschein eines externen IT-Beratungsunternehmens gefunden. Die Information konnte daraufhin bei einem Phishing Anruf genutzt werden.

Drohnenflüge

Drohnenflüge über das Firmengelände können Schwachstellen aufdecken und einen möglichen physischen Zugang aufzeigen.

Physischer Zugang

Ein physischer Zugang muss nicht zwingend gewaltsam oder nächtlich erfolgen. Es besteht auch die Möglichkeit langfristig zu agieren, eine offizielle Bewerbung als Praktikant einzureichen und bei Annahme aus dem Inneren heraus sein Unwesen zu treiben. In einem ganz konkreten Beispiel konnte ein solcher „Praktikant“ einen Netzwerksniffer mit LTE-Anbindung an das System anschließen und unzählige Daten konnten problemlos übermittelt werden.

Penetrationstests

Natürlich gehören auch klassische Pentests zu den Red Teaming Methoden. Auf unterschiedlichen Ebenen wird hierbei versucht, Schwachstellen im System zu finden und sich Zugang zu den Daten zu verschaffen.

Social Engineering – Ausnutzen der Schwachstelle Mensch

Unter Social Engineering versteht man Beeinflussungen auf zwischenmenschlicher Ebene, um eine Person durch vertrauensbildende Maßnahmen dazu zu bewegen, vertraulichen Informationen, Zugangsberechtigungen etc. preiszugeben.

Einschleusen von Schadsoftware, Malware und Backdoors

Schadsoftware kann auf unterschiedliche Weise in ein Unternehmen eingeschleust werden. Dies kann durch Phishing geschehen, aber auch durch den oben genannten falschen Praktikanten. Ebenso können bei Penetrationsversuchen Wege gefunden werden, um schadhafte Software zu installieren.

Umgehen von Zugangskontrollen und -sperren

Durch das pure Austricksen oder den Diebstahl von Zugangskarten oder -codes wird versucht, sich physischen Zugang zum Unternehmensgebäude zu verschaffen. Von innen heraus kann oftmals deutlich zerstörerischer agiert werden, als von außen.

Man-in-the-Middle Angriffe auf die Funknetzwerke

Mit entsprechenden Tools lassen sich Hotspots oder Access Points des Unternehmensnetzwerkes immitieren, um so vertrauliche oder unverschlüsselte Daten abzufangen. Blue Teams versuchen mit entsprechenden Tools solche “Fakes” in ihrer Netzwerkumgebung aufzuspüren und rechtzeitig zu sperren.

Unberechtigte Rechteerweiterung

Nachdem man sich Zugriff auf das Unternehmen und einen Rechner verschafft hat, kann durch entsprechende Maßnahmen und Software versucht werden, sich mehr Rechte innerhalb des Systems zu verleihen und so an sensible Daten zu gelangen.

Ausspionieren von Zugangskennungen

Über Drohnen oder einfacher Beobachten aus der Ferne mit einem starken Fernglas können Mitarbeiter dabei beobachtet werden, wenn sie sich mit einem Zahlencode Zugang zum Unternehmen verschaffen. Nachts kann das Red Team dann mithilfe dieses Codes selbst in das Gebäude gelangen.

Reverse Engineering

Der Begriff kommt eigentlich aus der Industrie. Hierbei wird ein Produkt in seine Einzelteile zerlegt, um es dann im Details kopieren zu können. Ähnlich wird auch beim Red Teaming und bei bösartigen Hackern gearbeitet. Man besorgt sich die im Unternehmen verwendete Software oder Hardware, zerlegt diese in seine Einzelteile und sucht nach Schwachstellen, die man angreifen könnte.

Red Teaming Reverse Engineering

Was sind die Vorteile und Nachteile von Red Teaming?

Die Vorteile von Red Teaming, aber auch Pentesting liegen natürlich auf der Hand – es geht in allererster Linie darum, die Cyberabwehr zu stärken und die Sicherheit sensibler Unternehmensdaten zu gewährleisten. Unternehmen der Finanzbranche müssen aus Zertifizierungsgründen gar entsprechende Tests nachweisen. Zudem bietet Red Teaming neue Erkenntnisse und zeigt entsprechenden Schulungsbedarf auf.

Der Hauptnachteil besteht in den hohen Kosten. Ein umfangreiches und gründliches Red Teaming Assessment kann bis zu sechs Monaten laufen, mit vielen beteiligten, hoch spezialisierten und teuren Fachkräften.

Fazit – Cybersicherheit fängt bereits bei Passwörtern an

Die Sicherheit von Daten – ob nun personenbezogen oder wirtschaftlich von Bedeutung – ist in der heutigen Zeit ungeheuer wichtig. Durch Red Teaming und Pentesting können mögliche Sicherheitslücken aufgedeckt und die Cyberabwehr gestärkt werden. Die Sicherheit der Daten beginnt aber bereits bei der Password Policy im Unternehmen und zieht sich durch viele weitere Bereiche. Geben Sie Angreifern keine Chance!

(Zuletzt aktualisiert am 07/03/2023)

Tags: , , , , ,

Zurück zum Blog

Related Articles

  • Alles über Passwort Entropie

    Dieser Artikel befasst sich damit, wie wir die Entropie für Passwörter in Specops Password Auditor berechnen. Was ist Entropie? Die Entropie ist der Informationstheorie entlehnt. Im Hinblick auf Passwörter lässt sich die Entropie wie folgt zusammenfassen: Wie viele Versuche wären nötig, um ein Passwort mit Brute-Force-Raten zu erraten? In Specops Password Auditor berechnen wir die…

    Read More
  • Arten von Cyberangriffen und wie sich Unternehmen davor schützen können

    Bereits 1984 wurde der Begriff Computervirus geprägt. Das war 2 Jahre nachdem eines der ersten Schadprogramme, der sogenannte Elk Cloner in Apple Systemen bereits im Umlauf war. Computerveteranen erinnern sich vielleicht noch an Michelangelo aus dem Jahr 1992. Zum ersten Mal schaffte es ein Virus in die breite Öffentlichkeit und löste eine mittlere Hysterie aus…

    Read More
  • Apache Log4j Vulnerability – CVE-2021-44228

    Die Apache Software Foundation hat am 9. Dezember 2021 ein Notfall-Update für eine kritische Zero-Day-Schwachstelle veröffentlicht. Die Schwachstelle betrifft das Open-Source-Logging-Tool Log4j, das in fast jeder Java-Anwendung enthalten ist. Specops hat seine Produkte überprüft und es gibt keine Auswirkungen der Apache Log4j-Schwachstelle auf Specops-Produkte. Specops hat alle betroffenen Tools von Drittanbietern überprüft und Patches und…

    Read More