diamond_full diamond diamond_half diamond_euro search-icon menu chat-icon close-icon envelope-icon smartphone-call-icon

Red Teaming

Was ist Red Teaming?

Für viele Unternehmen stellen zielgerichtete Angriffe eine reale Bedrohung dar. Innerhalb eines Red Team Assessments werden gezielte Angriffe durch spezialisierte Auditoren simuliert. Der Fokus liegt hierbei auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit (z.B. durch ein unternehmenseigenes Blue Team) ausgerichtet sind. Zielsetzung dieser Projekte ist die Bewertung und Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.

placeholder for background/blue-team.jpg

Ziel

Bewertung der Erkennungs- und Reaktionsfähigkeit hinsichtlich realer Angriffe durch die Simulation zielgerichteter und möglichst realistischer Angriffsszenarien

Fragestellung

Wie effektiv sind vorhandene Schutzmaßnahmen im Unternehmen und können Angriffe erkannt bzw. abgewehrt werden?

Scope

Alle IT-Systeme und Komponenten sowie Mitarbeiter und ggf. Unternehmensgebäude/-gelände

Red Teaming Ablauf: Methodik & Vorgehensweise

Abhängig von Perspektive und Szenario werden neben allen lokalen / cloudbasierten IT-Infrastrukturen und -komponenten auch Mitarbeiter, Gebäude bis hin zu Dienstleistern in die Angriffsversuche einbezogen. Diese reichen vom Exploiting zentraler Systeme über die Infizierung von Clients mit Trojanischen Pferden bis hin zu Social Engineering. Dabei wird sogenanntes Multistaging praktiziert, bei welchem die Kombination verschiedenster, erfolgreich ausgenutzter Schwachstellen angewendet wird. Dies soll zur Erreichung des gesetzten Ziels führen (z.B. persistenter Zugriff auf Kundeninfrastrukturen oder Erlangung des Zugriffs auf eine zentrale Datenbank mit sensiblen Daten/Informationen).

Es geht zu keinem Zeitpunkt eine reale Bedrohung durch das Red Team Assessment für Ihre Unternehmenswerte oder Ihre Produktion aus. Die Durchführung von Angriffen zur Erreichung eines vordefinierten Ziels soll so unauffällig wie möglich stattfinden und somit unentdeckt bleiben. Dies entspricht auch der Vorgehensweise von realen Angreifern. Eine Störung des Geschäftsbetriebs wäre auffällig und daher kontraproduktiv.

Bei der Durchführung von Red Team Assessments orientieren wir uns unter anderem am TIBER-EU Standard. In der Regel wird dabei eines der folgenden Bedrohungsszenarien und Vorgehensweisen betrachtet:

  • Advanced Persistent Threat: Angriff aus externer Perspektive
  • Assumed Breach: Angriff aus interner Perspektive

Kernbestandteile eines SCHUTZWERK Red Teaming

Das Red Teaming Assessment umfasst üblicherweise folgende Punkte:

  • Definition von Zielen, die während der Angriffssimulation erreicht werden sollen
  • Sammlung von öffentlich oder intern (bei Assumed Breach) verfügbaren Informationen, die für einen Angriff verwendet werden können (OSINT)
  • Erfassung der relevanten IT-Assets eines Unternehmens
  • Iteratives Testen verschiedener Angriffsmethoden und -wege
  • Eindringen in das interne Unternehmensnetzwerk bzw. Vordringen in weitere Netzwerkbereiche über Angriffe auf zugängliche Systeme, Phishing, Social Engineering, etc.
  • Ausweitung der Privilegien
  • Erlangen von Persistenz im Zielbereich
  • Analyse der Ergebnisse in Zusammenarbeit mit Ihrer IT-Administration / Ihrem IT-Security-Team (oder auch Blue Team falls vorhanden)
  • Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung

Alternative: Breach and Attack Simulation

Für Unternehmen, die eine kosteneffiziente Alternative zu einem vollständigen Red Team Assessment suchen, bietet SCHUTZWERK auch Breach and Attack Simulation (BAS) an. BAS ist besonders geeignet, wenn:

  • Sie eine schnelle und effiziente Bewertung Ihrer Erkennungs- und Reaktionsfähigkeiten benötigen
  • Sie bestimmte Angriffstechniken oder -szenarien gezielt testen möchten
  • Sie das Funktionieren Ihrer Security Operations Center (SOC) oder externen SOC-Dienstleistungen überprüfen möchten
  • Sie einen ersten Schritt zur Verbesserung Ihrer Sicherheitsreife machen wollen, bevor Sie in ein umfassendes Red Teaming investieren
  • Sie regelmäßige und wiederholbare Tests mit standardisierten Angriffsszenarien durchführen möchten

Mit der semi-automatisierten Angriffssimulation von BAS erhalten Sie einen guten Überblick über Ihre Erkennungsfähigkeiten, ohne den Zeit- und Ressourcenaufwand eines vollständigen Red Team Assessments. Erfahren Sie mehr über Breach and Attack Simulation .

Red Teaming und relevante Regulierungen & Standards

Red Teaming erfüllt wichtige Anforderungen verschiedener Regulierungen und Standards, die für bestimmte Branchen und Unternehmen relevant sein können. Diese fortgeschrittene Form der Sicherheitstests bietet nicht nur einen umfassenden Blick auf die Cyber-Resilienz eines Unternehmens, sondern hilft auch bei der Einhaltung gesetzlicher und branchenspezifischer Vorgaben:

  • DORA (Digital Operational Resilience Act) - Diese EU-Verordnung für den Finanzsektor führt das Threat-Led Penetration Testing (TLPT) als verpflichtende Maßnahme für bestimmte Finanzinstitute ein. TLPT ist konzeptionell eng mit Red Teaming verbunden und fordert die Simulation realistischer Angriffe unter Verwendung aktueller Bedrohungsinformationen. Die methodische Grundlage bildet dabei das TIBER-EU-Rahmenwerk, auf dem auch unsere Red Teaming-Ansätze basieren. Ein wesentliches Element des TLPT ist die Durchführung verdeckter Tests, bei denen das Verteidigerteam (Blue Team) nicht weiß, dass ein Test stattfindet, um eine authentische Bewertung der Erkennungs- und Reaktionsfähigkeiten zu ermöglichen.

  • TIBER-EU/TIBER-DE - Das Threat Intelligence-based Ethical Red Teaming (TIBER) Rahmenwerk wurde ursprünglich von der Europäischen Zentralbank entwickelt und wird in Deutschland durch die Deutsche Bundesbank in Form von TIBER-DE umgesetzt. Es bietet einen standardisierten Ansatz für fortgeschrittene Sicherheitstests im Finanzsektor, der nun auch die Basis für die DORA-Anforderungen bildet. Ein TIBER-konformes Red Team Assessment umfasst spezifische Phasen wie Threat Intelligence, Red Team Testing und Purple Teaming, wobei letzteres den gemeinsamen Lerneffekt für die Abwehrteams in den Vordergrund stellt.

  • Kritische Infrastrukturen (KRITIS/NIS2) - Für Betreiber kritischer Infrastrukturen können Red Team Assessments ein wichtiges Instrument sein, um die geforderte Cyber-Resilienz nachzuweisen. Die NIS2-Richtlinie der EU und die deutsche KRITIS-Verordnung legen hohe Sicherheitsanforderungen fest, die durch realistische Angriffssimulationen effektiv überprüft werden können.

  • Framework-Vorgaben - Verschiedene internationale Cyber-Security-Frameworks wie das NIST Cybersecurity Framework oder MITRE ATT&CK empfehlen die Durchführung von Red Team Exercises bzw. Advanced Persistent Threat (APT) Simulationen als Best Practice zur Überprüfung der Sicherheitsmaßnahmen und Abwehrfähigkeiten eines Unternehmens.

Unsere Red Team Assessments werden nach anerkannten Methoden und Standards durchgeführt und können an die spezifischen regulatorischen Anforderungen Ihrer Branche angepasst werden. Durch die Zusammenarbeit mit unseren Experten stellen Sie sicher, dass Ihre Sicherheitsmaßnahmen nicht nur theoretisch vorhanden, sondern auch praktisch wirksam sind und den für Ihre Organisation relevanten Compliance-Anforderungen entsprechen.

Red Team Assessment Ergebnisse & Lieferumfang

Bei allen Red Team Assessments wird während des Projekts jeder Schritt detailliert dokumentiert. So kann nach Projektabschluss nachvollzogen werden, welche Faktoren zu einem erfolgreichen Angriff geführt haben aber auch welche Verteidigungsmechanismen (z.B. durch das unternehmenseigene Blue Team) bereits ausreichend umgesetzt sind.

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

Red Teaming vs. Penetrationstest: Die Unterschiede

Im Gegensatz zu einem Red Team Assessment , das meist über einen längeren Zeitraum erfolgt und als Ziel Ihre Abwehrmechanismen testet, werden im Penetrationstest zielgerichtete Angriffe in kurzer Zeit auf einen meist eingeschränkten Umfang (zum Beispiel ein konkreter IP-Adressbereich oder ein konkretes Bedrohungsszenario) ausgeführt. Bei einem Penetrationstest wird üblicherweise kein Wert darauf gelegt, dass die Angriffe unentdeckt bleiben, da diese für alle Beteiligten möglichst transparent durchgeführt werden. Der Fokus liegt auf einer möglichst effizienten Durchführung der Tests.

Der Fokus beim Red Teaming liegt hingegen auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit ausgerichtet sind. Zielsetzung dieser Projekte ist die Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.

Red Teaming vs. Breach and Attack Simulation: Wesentliche Unterschiede

Obwohl sowohl Red Teaming als auch Breach and Attack Simulation (BAS) darauf abzielen, die Sicherheit Ihres Unternehmens zu verbessern, unterscheiden sie sich in mehreren wichtigen Aspekten:

  • Methodologie: Red Teaming setzt auf hochspezialisierte Experten, die manuelle und kreative Angriffstechniken einsetzen und sich kontinuierlich an die spezifischen Gegebenheiten Ihrer Umgebung anpassen. BAS hingegen verwendet semi-automatisierte Tools und vordefinierte Szenarien mit standardisierten Angriffsmustern.

  • Umfang: Red Teaming bietet einen umfassenderen Ansatz mit einem größeren Spektrum an möglichen Angriffsvektoren, einschließlich physischer Sicherheit, Social Engineering und maßgeschneiderter Exploits. BAS konzentriert sich gezielter auf das Testen von Erkennungs- und Reaktionsfähigkeiten gegen bekannte Angriffsmuster.

  • Zeitrahmen: Ein Red Team Assessment erstreckt sich typischerweise über mehrere Wochen oder Monate, um einen realistischen, langfristigen Angriff zu simulieren. BAS wird in einem kürzeren, projektierten Zeitrahmen durchgeführt.

  • Agilität und Anpassungsfähigkeit: Red Teams passen ihre Strategien kontinuierlich an, ähnlich wie reale Angreifer, und können auf unerwartete Hindernisse oder Verteidigungsmaßnahmen reagieren. BAS folgt eher vordefinierten Szenarien und Playbooks.

  • Ressourcenaufwand: Ein Red Team Assessment erfordert einen höheren Ressourceneinsatz hinsichtlich Zeit, Personal und Budget, bietet jedoch auch tiefere Einblicke und umfassendere Bewertungen. BAS ist kosteneffizienter und schneller durchzuführen.

Für eine optimale Sicherheitsstrategie können beide Ansätze komplementierend eingesetzt werden: BAS für regelmäßige, standardisierte Tests der Erkennungsfähigkeiten und Red Teaming für tiefgreifende, umfassende Bewertungen der gesamten Sicherheitslage gegen hochentwickelte Bedrohungen.

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder vereinbaren Sie direkt einen Termin

+49 731 977 191 - 0 Termin vereinbaren
Kostenfreies Erstgespräch