Cyberangriff auf Wunsch – wenn Security-Experten die Seite wechseln

Das Ziel des Red Teams: Sicherheitslücken aufdecken, um sie anschließend schließen zu können.

André Zingsheim ist Leiter des Bereichs „Technische Security“ bei der TÜV TRUST IT der TÜV AUSTRIA Group. Er beschreibt, mit welchen Methoden und Zielen ein Red Teaming-Angriff durchgeführt wird.

Herr Zingsheim, welche Security-Projekte macht ein Unternehmen, das eher für Qualitäts-, Umwelt- und technisches Sicherheits- und Ressourcenmanagement bekannt ist?
Neben der klassischen Beratung rund um die IT-Sicherheit steht die Optimierung des Security-Konzepts, unter anderem der Netzwerksicherheit, im Vordergrund. Und hier gehen wir parallel offensiv und defensiv vor. Auf der offensiven Seite führen wir zum Beispiel Penetrationstests oder Red Teaming Assessments durch. Die defensive Seite umfasst die Arbeit an der Widerstandsfähigkeit von Unternehmensnetzwerken gegen Cyberangriffe.

Was genau ist mit Red Teaming gemeint?
Dabei geht es um simulierte Cyberangriffe durch unser Red Team, das versucht in ein System einzudringen und hier ein vorher definiertes Ziel zu erreichen. Beispielsweise möchte ein Zulieferer in der Automobilbranche wissen, ob es möglich ist, in eines seiner Werke einzudringen und dort die Produktion zu gefährden. Und wenn es möglich ist, wie Angreifer dies machen können. Dabei versuchen wir, möglichst realitätsnah vorzugehen. Das heißt, wir tun das, was auch echte Angreifer tun würden, um in das Unternehmen einzudringen.

Sie simulieren also einen Cyberangriff, zum Beispiel eine Ransomware-Attacke?Natürlich gibt es dabei ethische Grenzen. Unter anderem darf niemand – übertrieben ausgedrückt – mit vorgehaltener Waffe zur Herausgabe von Zugangsdaten genötigt werden. Und auch Geschäftspartner dürfen nicht wahllos angegriffen werden, obwohl Angreifer dies tun würden. Und wir legen es natürlich auch nicht darauf an, realen Schaden zu verursachen. Ein Restrisiko bleibt hier aber immer. Schließlich soll und muss der Angriff möglichst realistisch sein.

Welche Methoden nutzen Sie, um an das definierte Ziel zu gelangen?
Alle Methoden, die auch realen Angreifern zur Verfügung stehen würden. Am effizientesten ist nach wie vor das klassische Phishing. Eine andere Möglichkeit ist, eigene Hardware ins Unternehmen einzuschleusen oder gezielt nach Schwachstellen zu suchen, die sich gegebenenfalls auch außerhalb befinden, zum Beispiel ein extern gehostetes Lieferantenportal.

Welche Ziele verfolgen Ihre Auftraggeber mit dem Red Teaming?
Ein übergeordnetes Ziel dieser Vorgehensweise ist das Coachen der Security-Analysten des Unternehmens, dem sogenannten Blue Team, das Angriffe erkennen und abwehren soll. Entsprechend weiß auch nur ein kleiner Kreis beim Kunden im Vorfeld Bescheid, meist die Geschäftsleitung und der CISO, nicht aber das Blue Team. Die Security Analysten können und müssen also auf uns reagieren wie auf einen realen Angreifer.

Angenommen das Red Team ist erfolgreich. Was passiert im Anschluss?
Unabhängig davon, wie erfolgreich der simulierte Angriff war, wird das Assessment anschließend mit dem Blue Team gemeinsam aufgearbeitet. Dabei erläutern wir unser Vorgehen, welche Schwachstellen wir nutzen konnten, was gut lief und was nicht. Und im nächsten Schritt identifizieren Red und Blue Team zusammen Maßnahmen, die sich aus der Aufarbeitung ergeben haben. Diese werden dann idealerweise auch implementiert. Das geht nicht an einem Nachmittag. Ein solches Red Teaming Projekt läuft in der Regel über sechs bis zwölf Monate.

Und ist somit recht umfangreich und erfordert viel Engagement auf beiden Seiten?
Wir arbeiten sehr praxisorientiert und erleben einen stetigen Wandel was Technik und Methoden angeht. Die Angreifer entwickeln sich ständig weiter und wir müssen hier schritthalten. Das erfordert eine gute Portion Neugier und den Willen, sich permanent weiterzubilden und auch dem Kunden dieses aktuelle Wissen zu vermitteln. Im Laufe dieses Projekts sind wir über Monate im ständigen Austausch. Daher ist eine gute Kommunikationsfähigkeit hier übrigens genauso wichtig wie allgemeines IT-Know-how und spezialisiertes Fachwissen. Ich freue mich sehr, wenn ich neu erlerntes Wissen an unsere Kunden weitervermitteln und so etwas zur Cybersicherheit im Unternehmen beitragen kann. Eins ist sicher: Langweilig wird es nie.