diamond_full diamond diamond_half diamond_euro search-icon menu chat-icon close-icon envelope-icon smartphone-call-icon

Red Teaming

Was ist Red Teaming?

Für viele Unternehmen stellen zielgerichtete Angriffe eine reale Bedrohung dar. Innerhalb eines Red Team Assessments werden gezielte Angriffe durch spezialisierte Auditoren simuliert. Der Fokus liegt hierbei auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit (z.B. durch ein unternehmenseigenes Blue Team) ausgerichtet sind. Zielsetzung dieser Projekte ist die Bewertung und Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.

placeholder for background/blue-team.jpg

Ziel

Bewertung der Erkennungs- und Reaktionsfähigkeit hinsichtlich realer Angriffe durch die Simulation zielgerichteter und möglichst realistischer Angriffsszenarien


Fragestellung

Wie effektiv sind vorhandene Schutzmaßnahmen im Unternehmen und können Angriffe erkannt bzw. abgewehrt werden?


Scope

Alle IT-Systeme und Komponenten sowie Mitarbeiter und ggf. Unternehmensgebäude/-gelände

Red Teaming Ablauf: Methodik & Vorgehensweise

Abhängig von Perspektive und Szenario werden neben allen lokalen / cloudbasierten IT-Infrastrukturen und -komponenten auch Mitarbeiter, Gebäude bis hin zu Dienstleistern in die Angriffsversuche einbezogen. Diese reichen vom Exploiting zentraler Systeme über die Infizierung von Clients mit Trojanischen Pferden bis hin zu Social Engineering. Dabei wird sogenanntes Multistaging praktiziert, bei welchem die Kombination verschiedenster, erfolgreich ausgenutzter Schwachstellen angewendet wird. Dies soll zur Erreichung des gesetzten Ziels führen (z.B. persistenter Zugriff auf Kundeninfrastrukturen oder Erlangung des Zugriffs auf eine zentrale Datenbank mit sensiblen Daten/Informationen).

Es geht zu keinem Zeitpunkt eine reale Bedrohung durch das Red Team Assessment für Ihre Unternehmenswerte oder Ihre Produktion aus. Die Durchführung von Angriffen zur Erreichung eines vordefinierten Ziels soll so unauffällig wie möglich stattfinden und somit unentdeckt bleiben. Dies entspricht auch der Vorgehensweise von realen Angreifern. Eine Störung des Geschäftsbetriebs wäre auffällig und daher kontraproduktiv.

Bei der Durchführung von Red Team Assessments orientieren wir uns unter anderem am TIBER-EU Standard. In der Regel wird dabei eines der folgenden Bedrohungsszenarien und Vorgehensweisen betrachtet:

  • Advanced Persistent Threat: Angriff aus externer Perspektive
  • Assumed Breach: Angriff aus interner Perspektive

Kernbestandteile eines SCHUTZWERK Red Teaming

Das Red Teaming Assessment umfasst üblicherweise folgende Punkte:

  • Definition von Zielen, die während der Angriffssimulation erreicht werden sollen
  • Sammlung von öffentlich oder intern (bei Assumed Breach) verfügbaren Informationen, die für einen Angriff verwendet werden können (OSINT)
  • Erfassung der relevanten IT-Assets eines Unternehmens
  • Iteratives Testen verschiedener Angriffsmethoden und -wege
  • Eindringen in das interne Unternehmensnetzwerk bzw. Vordringen in weitere Netzwerkbereiche über Angriffe auf zugängliche Systeme, Phishing, Social Engineering, etc.
  • Ausweitung der Privilegien
  • Erlangen von Persistenz im Zielbereich
  • Analyse der Ergebnisse in Zusammenarbeit mit Ihrer IT-Administration / Ihrem IT-Security-Team (oder auch Blue Team falls vorhanden)
  • Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung

Red Teaming und relevante Regulierungen & Standards

Red Teaming erfüllt wichtige Anforderungen verschiedener Regulierungen und Standards, die für bestimmte Branchen und Unternehmen relevant sein können. Diese fortgeschrittene Form der Sicherheitstests bietet nicht nur einen umfassenden Blick auf die Cyber-Resilienz eines Unternehmens, sondern hilft auch bei der Einhaltung gesetzlicher und branchenspezifischer Vorgaben:

  • DORA (Digital Operational Resilience Act) - Diese EU-Verordnung für den Finanzsektor führt das Threat-Led Penetration Testing (TLPT) als verpflichtende Maßnahme für bestimmte Finanzinstitute ein. TLPT ist konzeptionell eng mit Red Teaming verbunden und fordert die Simulation realistischer Angriffe unter Verwendung aktueller Bedrohungsinformationen. Die methodische Grundlage bildet dabei das TIBER-EU-Rahmenwerk, auf dem auch unsere Red Teaming-Ansätze basieren. Ein wesentliches Element des TLPT ist die Durchführung verdeckter Tests, bei denen das Verteidigerteam (Blue Team) nicht weiß, dass ein Test stattfindet, um eine authentische Bewertung der Erkennungs- und Reaktionsfähigkeiten zu ermöglichen.

  • TIBER-EU/TIBER-DE - Das Threat Intelligence-based Ethical Red Teaming (TIBER) Rahmenwerk wurde ursprünglich von der Europäischen Zentralbank entwickelt und wird in Deutschland durch die Deutsche Bundesbank in Form von TIBER-DE umgesetzt. Es bietet einen standardisierten Ansatz für fortgeschrittene Sicherheitstests im Finanzsektor, der nun auch die Basis für die DORA-Anforderungen bildet. Ein TIBER-konformes Red Team Assessment umfasst spezifische Phasen wie Threat Intelligence, Red Team Testing und Purple Teaming, wobei letzteres den gemeinsamen Lerneffekt für die Abwehrteams in den Vordergrund stellt.

  • Kritische Infrastrukturen (KRITIS/NIS2) - Für Betreiber kritischer Infrastrukturen können Red Team Assessments ein wichtiges Instrument sein, um die geforderte Cyber-Resilienz nachzuweisen. Die NIS2-Richtlinie der EU und die deutsche KRITIS-Verordnung legen hohe Sicherheitsanforderungen fest, die durch realistische Angriffssimulationen effektiv überprüft werden können.

  • Framework-Vorgaben - Verschiedene internationale Cyber-Security-Frameworks wie das NIST Cybersecurity Framework oder MITRE ATT&CK empfehlen die Durchführung von Red Team Exercises bzw. Advanced Persistent Threat (APT) Simulationen als Best Practice zur Überprüfung der Sicherheitsmaßnahmen und Abwehrfähigkeiten eines Unternehmens.

Unsere Red Team Assessments werden nach anerkannten Methoden und Standards durchgeführt und können an die spezifischen regulatorischen Anforderungen Ihrer Branche angepasst werden. Durch die Zusammenarbeit mit unseren Experten stellen Sie sicher, dass Ihre Sicherheitsmaßnahmen nicht nur theoretisch vorhanden, sondern auch praktisch wirksam sind und den für Ihre Organisation relevanten Compliance-Anforderungen entsprechen.

Red Team Assessment Ergebnisse & Lieferumfang

Bei allen Red Team Assessments wird während des Projekts jeder Schritt detailliert dokumentiert. So kann nach Projektabschluss nachvollzogen werden, welche Faktoren zu einem erfolgreichen Angriff geführt haben aber auch welche Verteidigungsmechanismen (z.B. durch das unternehmenseigene Blue Team) bereits ausreichend umgesetzt sind.

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

Red Teaming vs. Penetrationstest: Die Unterschiede

Im Gegensatz zu einem Red Team Assessment , das meist über einen längeren Zeitraum erfolgt und als Ziel Ihre Abwehrmechanismen testet, werden im Penetrationstest zielgerichtete Angriffe in kurzer Zeit auf einen meist eingeschränkten Umfang (zum Beispiel ein konkreter IP-Adressbereich oder ein konkretes Bedrohungsszenario) ausgeführt. Bei einem Penetrationstest wird üblicherweise kein Wert darauf gelegt, dass die Angriffe unentdeckt bleiben, da diese für alle Beteiligten möglichst transparent durchgeführt werden. Der Fokus liegt auf einer möglichst effizienten Durchführung der Tests.

Der Fokus beim Red Teaming liegt hingegen auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit ausgerichtet sind. Zielsetzung dieser Projekte ist die Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder vereinbaren Sie direkt einen Termin

Kostenfreies Erstgespräch