Abbildung 1: Entscheidungsbaum zu den verschiedenen Ansätzen

Red-Team-Testmethodik und -Vorgehen

Das Vorgehen eines Red-Team-Assessments unterscheidet sich je nach Reifegrad und den gewünschten Schwerpunkten des Kunden teilweise stark. Um eine gemeinsame Basis zu schaffen, orientieren wir uns an der Herangehensweise von TLPT unter DORA bzw. an der Methodik von TIBER-EU und ist in grob 3 Phasen aufgeteilt: 

Abbildung 2: Testmethodik TLPT unter DORA (Quelle: Bundesbank und BaFin)

1. Vorbereitungsphase
   • Vorabstimmung, Planung
     Hier findet das Scoping und die Feinplanung des Red-Teaming Tests statt und es werden grundsätzlich erlaube Angriffsarten festgelegt.
2. Testphase
   • Sammlung von Informationen (Threat Intelligence + OSINT)
     In einer Threat-Intelligence Analyse werden aktuelle und auf den Kunden spezifische Angriffsarten und Angreifergruppen gesammelt, die als Vorbild für die Durchführung genommen werden oder sogar ganz „nachgestellt“ werden können. In einer Open-Source-Intelligence-Phase (OSINT) werden öffentliche Informationen identifiziert, gesammelt und analysiert und anschließend mit dem Auftraggeber klar definierte Szenarien erstellt.
   • Initialer Zugriff zum Netzwerk
     1. Initialer Zugriff zum Netzwerk (kein Assume-Compromise-Ansatz) 
        Mithilfe der gesammelten Informationen wird versucht Zugang zum Netzwerk zu erreichen. Erfahrungsgemäß zählen zu den erfolgreichsten Angriffen:
        • Ausnutzung von Schwachstellen in externen Systeme
        • Versenden von Phishing Mails mit Payload-Anhang
        • Physische Zutrittsversuche mit anschließendem Zugriff zum Netzwerk unter Zuhilfenahme verschiedenster Gadgets (beispielsweise Rubber Ducky, O.MG Cables, …)
     2. Initialer Zugriff zum Netzwerk (Assume-Compromise-Ansatz)
        Alternativ kann der Test auch als „Assume-Compromise“ durchgeführt werden. Bei diesem Ansatz wird davon ausgegangen, dass irgendwann sowieso ein System kompromittiert wird (beispielsweise durch eine 0-day-Schwachstelle in externen Anwendungen, ein erfolgreicher Phishing-Angriff oder ein schadhaftes Software-Update). Der Auftraggeber stellt hier den Zugriff auf ein DMZ- oder Client-System bereit oder ermöglicht das Einbringen eines Systems der Prüfer in das interne Netzwerk.
        Dieser Ansatz ermöglicht eine konsteneffizientere Defense-in-Depth-Prüfung und stellt sicher, dass auch spätere Erkennungs- und Reaktionsmechanismen geprüft werden können.
   • Durchführung von Angriffen auf IT-Systeme
     Diese Phase umfasst mehrere Aspekte auf dem Weg zur definierten Zielsetzung. Sie enthält verschiedene Schritte:
     • Persistence – Sicherstellung des Zugriffs
     • Internal Reconnaissance – Interne Erkundung
     • Lateral Movement – Weiterverbreitung
     • Privilege Escalation – Ausweitung der Zugriffsrechte
3. Abschlussphase
   • Prüfbericht, Abgleich mit dem Blue-Team
     In dieser Phase wird der Prüfbericht erstellt mit den Inhalten: 
     • Management Summary
     • Beschreibung der durchgeführten Angriffsversuche 
     • Beschreibung der gefundenen Schwachstellen mit Erläuterung, Bewertung und Empfehlungen zur Behebung

Zusätzlich findet ein Workshop mit dem Blue-Team statt um Blue Team- und SIEM-Erkennungen gegen die tatsächlich durchgeführten Prüfschritte abzugleichen

Der Zeitaufwand hängt maßgeblich von der Anzahl und Vielfalt der gewählten Szenarien sowie deren Komplexität ab, zum Beispiel davon, ob ein opportunistischer oder ein gezielter Angreifer simuliert wird. Opportunistische Angriffe lassen sich mit geringerem Aufwand darstellen, liefern jedoch nur begrenzte Erkenntnisse in Bezug auf gezielte oder staatlich gesteuerte Angriffe. Der typische Gesamtprojektaufwand für einen gezielten Angreifer liegt erfahrungsgemäß bei mindestens 40 Personentagen (PT).

Welche Angriffsszenarien kommen in Frage?

Ein Red-Team-Assessment simuliert gezielte Angriffe auf Ihr Unternehmen wie sie auch in der Realität von Cyberkriminelle, Hacktivisten oder staatliche Akteure erfolgen könnten. Dabei werden drei wesentliche Angriffsvektoren berücksichtigt:

Abbildung 3: Szenarien und Komponenten von Red-Teaming

Physische Angriffe gegen Standorte oder Bereiche

Physische Angriffe zielen darauf ab, sich vor Ort Zugang zu sensiblen Bereichen, Serverräumen oder Netzwerk-Infrastruktur zu verschaffen, etwa durch Ausnutzen schwacher Zutrittskontrollen, Social Engineering am Empfang oder einfach offene Türen.

In der Realität sind solche Angriffe häufig im Bereich der Beschaffungskriminalität (z. B. Diebstahl von Hardware oder Dokumenten) zu beobachten. Gelegentlich aber auch im Zusammenhang mit komplexeren IT-Angriffen, etwa im Fall Wirecard, bei dem laut Medienberichten eine Angreifergruppe vor Ort eine Telefon PIN ausgespäht hat oder bei WLAN-Angriffen von außen, wenn beispielsweise von einem benachbarten Gebäude versucht wird, in das interne Netzwerk einzudringen.

Social Engineering - Angriffe gegen Nutzer

Beim Social Engineering geht es darum, menschliches Verhalten gezielt auszunutzen, um Zugang zu Informationen oder Systemen zu erhalten. Besonders verbreitet und effektiv ist dabei Phishing, bei dem täuschend echten E-Mails versendet werden, die Mitarbeitende dazu verleiten sollen, vertrauliche Daten preiszugeben oder schädliche Dateien zu öffnen.

In der Realität ist das Einfallstor für Angreifende häufig ein Social-Engineering-Angriff, etwa durch Phishing-Mails mit angeblichen Sicherheitswarnungen, die Angst erzeugen und zu vorschnellen Reaktionen führen. So kann das Öffnen einer bösartigen Datei schnell zur vollständigen Kontrolle über das System des Nutzers führen und damit zum Zugang ins interne Netzwerk oder zu geschützten Bereichen.

Technische Angriffe gegen IT-Systeme

Technische Angriffe konzentrieren sich auf Schwachstellen in der IT-Infrastruktur. Dabei kann es um Sicherheitslücken in öffentlich erreichbaren Webanwendungen, veraltete oder vergessene interne Systeme oder auch um die Verwendung von Standard-Zugangsdaten in Cloud-Umgebungen gehen.

Die möglichen Angriffe sind aber bei weitem nicht auf diese Beispiele begrenzt. Die ausgenutzten Schwachstellen und Fehlkonfigurationen sind in der Realität so unterschiedlich, wie es auch die geprüften Unternehmen und ihre IT-Landschaft sind. 

Eine sehr grobe Übersicht über mögliche Angriffstechniken lässt sich im MITRE ATT&CK Rahmenwerk finden: https://attack.mitre.org/

Mehrwert von Red-Teaming

Ein Red Team liefert nach dem Test einen strukturierten Bericht mit dem Ziel, bedrohungsbasierte Risiken besser zu verstehen und beheben zu können. Während der Tests hat das Blue-Team bereits die Möglichkeit Auffälligkeiten zu erkennen, darauf zu reagieren und auf dem Papier geplante Abläufe in augenscheinlich realistischen Situationen zu trainieren. Organisationen, die Red Teams sinnvoll einsetzen, müssen nicht erst aus einem echten Sicherheitsvorfall lernen. Durch eine individuell zugeschnittene Threat-Intelligence-Phase erhalten Sie ein klares Bild über relevante Angreifergruppen, die Ihr Unternehmen vorrangig ins Visier nehmen. Diese Erkenntnisse können Sie gezielt für die Anpassung interner Schulungen nutzen.

Durch die realistische Überprüfung Ihrer technischen und menschlichen Erkennungs-, Reaktions- und Behandlungs-Vorkehrungen, steigern Sie ihre operationelle Resilienz und verringern die Wahrscheinlichkeit bei einem echten Angriff unvorbereitet, unkoordiniert oder überfordert zu sein.

Im Gegensatz zu klassischen Penetrationstests verfolgt ein Red Team ein konkretes Ziel, zum Beispiel den Zugriff auf eine sensible Kundendatenbank oder das langfristige, unbemerkte Eindringen in interne Netzwerke, um vertrauliche Geschäftsgeheimnisse zu stehlen. Dabei geht es nicht darum, möglichst viele Schwachstellen zu identifizieren, sondern aufzuzeigen, wie ein realistischer und entschlossener Angreifer ein kritisches Unternehmensziel erreichen kann und welche Sicherheitsmechanismen er dabei überwinden würde.

Wie kann HiSolutions Sie dabei unterstützen?

HiSolutions hat in den über 30 Jahren ihres Bestehens eine große Anzahl an Unternehmen aus fast allen Branchen sowie zahlreiche Bundes- und Landesbehörden in Projekten unterstützt. 

Besonders qualifizierte und mit den am Markt relevantesten Zertifizierungen ausgestattete Pentest- und Red-Teaming-Spezialisten bilden gemeinsam mit Social-Engineering- und Threat-Intelligence-Experten unser Team für Angriffssimulationen. Dieses Team ist verantwortlich für die Durchführung von Red- und Purple-Teaming-Einsätzen sowie Hacking-Simulationen in anspruchsvollen Umgebungen. Unsere eigene Forensik und Incident-Response-Abteilung hat mit jährlich über 500 bearbeiteten Vorfällen und 2000 abgearbeiteten PT einen fundierten Überblick über aktuelle Akteure und Angriffsmethoden und kann so die relevantesten Bedrohungen für Ihr Unternehmen bereitstellen, die in die Feinplanung der Red-Teaming-Tests fließen.

Unsere individuellen Lösungen und Berichte unterstützen Sie beim Verständnis von Risiken und geben ihnen maßgeschneiderte Empfehlungen und Unterstützung um diese zu beheben. Gerne können wir für Sie bei Bedarf einen Beispielbericht sowie relevante Referenzen aus den unterschiedlichsten Sektoren bereitstellen.

Dank unserer renommierten Expertise im Bereich des IT-Managements unterstützen wir Sie ebenso dabei, strukturierte Maßnahmen für Probleme aus beispielsweise den Feldern IT-Governance, Risikomanagement oder Compliance abzuleiten oder begleiten Sie gezielt bei den nächsten Schritten. 

Als unabhängiger, externer Berater vertreibt HiSolutions keine Produkte und ist daher in Empfehlungen frei von eigenen oder fremden Verkaufsinteressen. Durch unsere langjährige Erfahrung verfügen wir dennoch über einen fundierten Überblick über die gängigsten Tools am Markt. Annahmen, Verzerrungen, Missverständnisse und Unglaube haben einen erheblichen Einfluss auf Sicherheitsversagen in IT-Umgebungen. Ein unvoreingenommenes Red Team hilft dabei, die Lücke zwischen dem „Ist-Zustand“ und dem „Soll-Zustand“ messbar zu machen und so die tatsächliche Wirksamkeit der Sicherheitsmaßnahmen objektiv zu bewerten.

Als deutscher Anbieter erfolgt keine Weitergabe Ihrer sensiblen Daten an Dritte. Des Weiteren setzen wir ausschließlich festangestelltes, geschultes Personal ein. Das Unternehmen verfügt auch über eine Zertifizierung seines Qualitätsmanagementsystems (ISO 9001) und seines IT-Sicherheitsmanagementsystems (ISO 27001 auf Basis von IT-Grundschutz).