Auf Cyberangriffe sollten Sie gut vorbereitet sein. Die vertraulichen Daten Ihres Unternehmens sind eine wertvolle Beute für böswillige Benutzer – und Angreifer werden nichts unversucht lassen, um Schwachstellen im System auszunutzen. Mit Red Team-Tests kann sich Ihr Cybersicherheitsteam durch die Simulation realer Techniken auf hochentwickelte Angriffe vorbereiten und ausnutzbare Schwachstellen im System aufdecken.

Warum Red Team-Tests nötig sind

Bei Red Team-Tests wird ethisches Hacken genutzt, um mithilfe realer Techniken (z. B. solchen, die in Social-Engineering-Angriffen genutzt werden) Kompromittierungen im Sicherheitssystem eines Unternehmens aufzudecken. Ein Red Team-Test geht über einen Penetrationstest hinaus, denn hier tritt ein Angreiferteam – das Red Team – gegen das Sicherheitsteam des Unternehmens – das Blue Team – an. Das Red Team besteht in der Regel aus hochqualifizierten Sicherheitsexperten, die sich mit den in der Praxis genutzten Taktiken zur Kompromittierung von Umgebungen auskennen. Dank der Erkenntnisse aus diesen Simulationen können Unternehmen Schwachstellen in ihrem Sicherheitssystem beseitigen und bessere Schutzmaßnahmen ergreifen.

Durch die Red Team-Tests wird die Zuverlässigkeit aller Sicherheitskontrollen im Unternehmen gründlich geprüft. Anstatt sich auf die theoretische Leistungsfähigkeit Ihres Sicherheitssystems zu verlassen, erleben Sie, wie sich das System in der Praxis schlägt. Dabei werden nicht nur potenzielle technische Schwachstellen aufgedeckt, sondern auch Sicherheitsprobleme in folgenden Bereichen identifiziert:

• Technologie: Durch Hacking-Strategien identifizieren Cybersicherheitsexperten Risiken in den Bereichen Netzwerk, Anwendungen, Router sowie bei anderen Technologietypen.
• Mitarbeiter: Mit Red Team-Tests lassen sich Schwachstellen bei den Mitarbeitern, externen Auftragnehmern sowie Geschäftspartnern aufdecken. Laut dem InfoSec Institute spielen bei geschätzt 6 bis 28 % der Cybersicherheitsangriffe aktuelle oder ehemalige Mitarbeiter eine Rolle.
• Infrastruktur: Red Team-Tests können Schwachstellen in der Sicherheit der Infrastruktur aufdecken, darunter der Zugang zu Büros, Rechenzentren und Warenlagern.

Red Team-Tests sind empfehlenswert, weil sich Sicherheitsbedrohungen ständig weiterentwickeln und Kompromittierungen sehr kostspielig werden können. Laut dem „Cost of a Data Breach Report“ von IBM entstanden Unternehmen aufgrund von Kompromittierungen im Jahr 2021 Kosten in Höhe von über 4 Millionen US-Dollar. Dies ist der höchste Wert seit der ersten Veröffentlichung dieses Berichts. Mit Red Team-Tests können Sie alle Sicherheitslücken aufdecken und feststellen, welche Anpassungen nötig sind, um kostspielige Kompromittierungen zu verhindern.

Für wen Red Team-Tests geeignet sind

Da sich Taktiken und Technologien weiterentwickeln, ist es wichtig, regelmäßig Tests der Endgerätesicherheit durchzuführen. Penetrationstests und Red Team-Tests liefern wertvolle Erkenntnisse dazu, welche Bereiche verbessert werden sollten. Je nachdem, wie ausgereift die Sicherheitsinfrastruktur im Unternehmen ist, kann jedoch eine der beiden Strategien besser dazu geeignet sein.

Wenn die Sicherheitsinfrastruktur noch neu ist, sollten Sie Penetrationstests durchführen, denn sie bieten einen allgemeineren Überblick über die Schwachstellen des Unternehmens. Während der Penetrationstests wird versucht, in verschiedene Bereiche Ihres Systems einzudringen, sodass Sie eine umfassende Liste der Schwachstellen zusammenstellen können. Penetrationstests laufen normalerweise über einen Zeitraum von ein oder zwei Wochen.

Red Team-Tests dagegen bieten Unternehmen mit einem ausgereifteren Sicherheitssystem mehr Vorteile, da sie detaillierte Analysen bestimmter Zielbereiche bieten. Dabei wird ermittelt, wie stark ein böswilliger Benutzer eine Schwachstelle ausnutzen kann, um Schaden anzurichten. Ein Red Team-Test simuliert einen böswilligen Benutzer, der versucht, die Erkennung zu umgehen und eine Schwachstelle auszunutzen. Red Team-Tests gehen in der Regel über drei bis vier Wochen, in denen das Blue Team die Gelegenheit hat, Abwehrtaktiken zu trainieren.

Nachteile von Red Team-Tests

Die beiden größten Nachteile von Red Team-Tests sind Abdeckung und Kosten. Bei einem Red Team-Test besteht das Hauptziel für die Teammitglieder darin, an vertrauliche Informationen zu gelangen, wobei jedoch nicht alle Bereiche getestet werden. Red Team-Tests sollten erst erfolgen, wenn bereits Penetrationstests durchgeführt wurden. Zudem sind Red Team-Tests meist teurer als Penetrationstests. Eventuell sollten Sie auf Red Team-Tests verzichten, wenn Sie Ihr Sicherheitsbudget sinnvoller zur Beseitigung bereits bekannter Schwachstellen einsetzen könnten.

Vorbereitung eines Red Team-Tests

Damit Ihr Unternehmen optimal von einem Red Team-Test profitieren kann, muss es sich darauf vorbereiten. Es sollte sein Sicherheitssystem bereits gut kennen und bestehende Schwachstellen beseitigt haben. Dann empfiehlt es sich, einen bestimmten Bereich auszuwählen, der getestet werden soll – zum Beispiel wenn Sie vertrauliche Informationen auf einem bestimmten Server haben. Sprechen Sie mit Ihrem Red Team über dieses Anliegen, damit es sich während der Red Team-Übung auf das Sammeln von Informationen und strategisch auf das ausgewählte Ziel konzentrieren kann.

So stellen Sie ein effektives Red Team zusammen

Ihr Red Team sollte aus Mitgliedern bestehen, die Ihren Angreifern ähnlich sind. Das bedeutet, dass das Team erfahren, technisch versiert und kreativ sein sollte. Die Teammitglieder sollte folgende Voraussetzungen erfüllen:

• Kompetenzen im Bereich Software-Entwicklung und Entwicklung maßgeschneiderter Tools, die Sicherheitssysteme umgehen können
• Erfahrung mit Penetrationstests und Kenntnisse über die Funktionsweise von Sicherheitssystemen, um das nötige Wissen zur Umgehung von Erkennungen mitzubringen
• Kompetenzen im Bereich Social Engineering und Kenntnisse darüber, wie man Menschen dazu bringt, vertrauliche Informationen weiterzugeben

Nachdem Sie die Teammitglieder ausgewählt haben, geht es an die Planung des Red Team-Angriffs. Die folgenden Phasen sind Bestandteile eines effektiven Red Team-Tests und helfen dem Team, beim Test des Sicherheitssystems systematisch zusammenzuarbeiten:

• Sammeln von Informationen: In der ersten Phase nutzt das Red-Team aktive Reconnaissance, um Informationen über Ihr Unternehmen, also die Mitarbeiter, die Räumlichkeiten und Sicherheitskontrollen zu erhalten.
• Angriffsplanung und Ausführung: Als Nächstes plant das Red Team gemeinsam potenzielle Angriffswege und versucht, gefundene Schwachstellen auszunutzen, um Zugang zu Ihrem System zu erlangen.
• Berichte und Behebung: Der letzte Schritt ist die Auswertung durch das Red Team. In dieser Phase berichtet das Team über die Schritte, mit denen sich der Angriff reproduzieren lässt, und gibt Empfehlungen zur Behebung der Schwachstellen.

Es gibt viele beliebte Red Team-Tools, die den Teammitgliedern das gründliche Durchlaufen der Phasen erleichtern. So gibt es beispielsweise Open-Source-Tools, die das Suchen nach Schwachstellen erleichtern, Reconnaissance durch das Sammeln von Informationen aus öffentlichen Datenquellen durchführen und die Ausführung von Angriffen durch das Erstellen von Phishing-Webseiten übernehmen. Alle Mitglieder im Red Team sollten mit einer Vielzahl von Tools vertraut sein, damit sie die Tests mit den gleichen Methoden durchführen können wie die Angreifer.

Gängige Red Team-Taktiken

Bei Red Team-Tests werden vielschichtige Cyberangriffe simuliert, bei denen die Teams mit mehreren verschiedenen Taktiken versuchen, Zugang zu einem System zu erlangen. Dies sind einige der gängigsten Red Team-Taktiken:

• Bei Penetrationstests für Web-Anwendungen wird nach Schwachstellen im Aufbau und der Konfiguration von Web-Anwendungen gesucht. Schädliche Techniken wie gefälschte Cross-Site-Anfragen dienen dabei der Schaffung von Eintrittspunkten.
• Bei Netzwerk-Penetrationstests wird nach Schwachstellen im Netzwerk oder System gesucht, indem Eintrittspunkte wie offene Ports im WLAN-Netzwerk aufgespürt werden.
• Physische Penetrationstests suchen nach Schwachstellen in den physischen Sicherheitskontrollen. Hier wird versucht, Zugang zu den physischen Anlagen zu erlangen, zum Beispiel wenn ein Mitglied des Red Teams Mitarbeitern mit Ausweisen folgt, um in abgeschlossene Bereiche des Bürokomplexes zu gelangen.
• Social-Engineering-Taktiken dienen dazu, das Verhalten von Mitarbeitern zu manipulieren. Dabei werden Taktiken wie Phishing oder Bestechung eingesetzt, um Mitarbeiter, die mit dem System vertraut sind, zur Herausgabe vertraulicher Informationen (z. B. Anmeldedaten) zu bewegen.

Während der Red Team-Tests wird in der Regel eine Vielzahl an Taktiken gleichzeitig eingesetzt, um die Stärke des Sicherheitssystems umfassend zu testen. Durch diesen mehrschichtigen Ansatz können Sie die Stärken und Schwächen Ihres Unternehmens eingehend kennenlernen. Zudem lassen sich Schwachstellen in der technischen Konfiguration sowie Bereiche ermitteln, in denen zusätzlicher Schulungsbedarf für Ihre Mitarbeiter besteht. Wenn ein großer Anteil Ihrer Belegschaft auf einen Link in einer Phishing-E-Mail geklickt hat, empfiehlt es sich, eine Schulung zu schädlichen E-Mail-Anfragen zu veranstalten.

Um Ihr Cybersicherheitsteam besser auf die Abwehr gezielter Angriffe vorzubereiten, können Sie Team-Übungen simulieren. Bei einer solchen Angriffssimulation lernt Ihr Reaktionsteam mehr über gängige Taktiken und die besten Reaktionstools. Böswillige Benutzer beispielsweise verwenden verborgene Services, um der Erkennung zu entgehen. Unternehmen können jedoch den gleichen Mechanismus zur Verteidigung einsetzen. Es ist wichtig, sich über die neuesten Taktiken zu informieren, um auf Angriffe vorbereitet zu sein und optimale Schutzmaßnahmen ergreifen zu können.

Der Einstieg in die Emulationsübungen

Für Unternehmen sind Red Team-Tests eine effektive Möglichkeit, die Stärke des eigenen Sicherheitssystems umfassend zu prüfen. In Kombination mit anderen Sicherheitsmaßnahmen wie Endgeräteschutz und Bedrohungssuche helfen Ihnen Red Team-Tests, sich zuverlässig vor potenziellen Angreifern zu schützen.

Das CrowdStrike Services-Team führt in Ihrem Auftrag Angriffssimulationen durch, die Ihnen den Einstieg erleichtern und die Vorbereitung Ihrer Reaktionsstrategie für einen gezielten Angriff unterstützen. Das Team entwickelt eine maßgeschneiderte Kampagne für Ihr Unternehmen, damit Sie die Methoden und Folgen eines echten Angriffs simulieren können, ohne dass es zu den Schäden durch eine tatsächliche Kompromittierung kommt. Ihr Unternehmen kann daraufhin proaktiv Verbesserungen vornehmen, damit Ihr System einen höheren Reifegrad erreicht und besser auf zukünftige Zwischenfälle vorbereitet ist. Über unser Kunden-Kontaktformular können Sie Informationen anfordern und mehr über die CrowdStrike Services-Angebote für Ihr Unternehmen erfahren.