Prüfung von Unternehmenssicherheit durch Red Teaming-Tests

Christoph Ritter, Abteilungsleiter Red Teaming, über Bereiche der Unternehmenssicherheit und wie sie am besten geprüft werden können

Es gibt viele unterschiedliche Ansätze, die IT-Sicherheit eines Unternehmens zu analysieren. Seit Anfang 2008 etabliert sich dafür eine neue Testmethode in Deutschland: das Red Teaming. Seit Ende 2018 verfügt die SySS GmbH über eine Red Teaming-Abteilung. Die in den USA bereits verbreitete Methode Red Teaming wird nun auch in Deutschland zunehmend angefragt und wurde mittlerweile durch die Europäische Zentralbank (EZB) im TIBER EU-Standard für Banken definiert.

Red Teaming ist nicht nur ein Test, bei dem es darum geht, Schwachstellen in Systemen zu finden. Diese Testmethode kann – je nachdem, wie sie eingesetzt wird – eine Aussage über die gesamte Unternehmenssicherheit treffen.

Unternehmenssicherheit: Bereiche und Testmethoden

Wer annimmt, dass Unternehmenssicherheit gewährleistet sei, wenn die Server und Clients gehärtet sind, unterliegt einem Irrglauben. Unternehmenssicherheit besteht im Wesentlichen aus den folgenden drei Bereichen:

  • Systemsicherheit
  • Definierte Prozesse
  • Mitarbeiterinnen und Mitarbeiter und deren Sensibilisierung

Für diese drei Bereiche gibt es unterschiedliche Prüfansätze:

Systemsicherheit

Die Systemsicherheit wird in der Regel über Penetrationstests überprüft. In diesen Tests gibt es einen klar definierten Scope. Dieser kann szenariobasiert sein, also z. B. die Fragen beantworten: Wie kann sich Reinigungspersonal Zugang zum Netzwerk verschaffen? Wie stark kann ein Praktikant seine Rechte im Netzwerk ausweiten? Bei solchen Tests wird ausschließlich die Sicherheit der Systeme überprüft. Als Ergebnisse können teilweise Prozessfehler oder nicht eingehaltene Prozesse detektiert werden. Bei einem klassischen Penetrationtest werden aber im Wesentlichen technische Fehler gefunden.

Prozesse

Es ist sehr schwierig, Statistiken über die Einhaltung von Prozessen sowie über deren Abdeckung zu erstellen. Oft wird ein Fehlen oder Missachten erst bemerkt, wenn es zu spät ist. Ein weit verbreiteter Ansatz sind Interviews mit Mitarbeiterinnen und Mitarbeitern (diese können auch in Fragebögen abgebildet werden.) Die erhobenen Daten entsprechen in vielen Fällen nicht der Realität, da die Kenntnisse zwar häufig geschult werden, in einer Alltagssituation jedoch nicht greif- und abrufbar sind.

Mitarbeitersensibilisierung

Um die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter zu testen, eignet sich z. B. der Versand gezielter Phishing-Mails an einen großen Personenkreis. Dieser Angriff wird nach Ablauf einer Frist ausgewertet. Für die Sensibilisierung gibt es verschiedene Ansätze: Zum einen kann der Mitarbeiterin nach dem Klick auf einen Link eine Onlineschulung angezeigt werden. Zum anderen ist es aber auch möglich, dass der Angriff in unterschiedlichen Phasen stattfindet. Gibt ein Mitarbeiter zusätzlich auf der Phishing-Seite Zugangsdaten ein, so wird ihm anschließend eine weiterführende Schulung empfohlen.

Red Teaming als Testmethode für Unternehmenssicherheit

Red Teaming ist eine Testmethode, welche alle drei Bereiche der Unternehmenssicherheit und deren Zusammenarbeit testet.  Dabei werden allerdings ausschließlich Stichproben der einzelnen Elemente durchgeführt. Bei Red Teaming handelt es sich nicht um eine Prüfmethode, welche alle Systeme, Prozesse und Mitarbeiter im Detail testet. Die Testtiefe der jeweiligen Bestandteile wird vom Tester im Rahmen des Tests festgelegt. Dabei liegt der Fokus darauf, einen Weg zur Zielerreichung zu finden. Das Ziel kann je nach Variante des Red Team Assessment unterschiedlich gestaltet werden.

Red Teaming-Varianten

Variante 1: Red vs. Blue -> Auftrag: Hacke das Unternehmen; Red Team und Blue Team sind zwei voneinander unabhängige Teams, die nicht kommunizieren

Variante 2: Red & Blue -> Red Team und Blue Team arbeiten zusammen, stimmen sich ab und sprechen regelmäßig über Ergebnisse 

Variante 1: Red vs. Blue alias APT-Simulation

In dieser Gestaltungsmöglichkeit eines Red Teaming Assessment will das Unternehmens herausfinden, wie gut es gegen einen APT (Advanced Persistent Threat) aufgestellt ist. Das Red Team stellt einen Angreifer dar, welcher über kein Insiderwissen verfügt. Das Team muss sich alle nötigen Informationen selbst erarbeiten. Dabei besteht die Herausforderung darin, möglichst unentdeckt zu bleiben und mit minimalem Aufwand das gesteckte Ziel zu erreichen. Das Ziel ist in der Regel die vollständige Kompromittierung der Windows-Domäne oder das Extrahieren von Zieldaten. Dieses Vorgehen eignet sich außerdem, um eine Notfallübung durchzuspielen. In diesem Fall verhält sich das Red Team absichtlich auffällig. Wenn es entdeckt wird, kann überprüft werden, ob die nicht eingeweihten Mitarbeiterinnen und Mitarbeiter in dieser stressigen Situation richtig reagieren und alle nötigen Prozesse definiert sind. Auch wird offensichtlich, ob es dem Unternehmen möglich ist, die Angreifer vollständig aus dem Netzwerk zu entfernen.

Erkenntnisgewinn: Das Unternehmen erhält eine Einschätzung, wie gut es gegen einen APT gewappnet ist. Sollte das Red Team erfolgreich sein, erhält das Unternehmen darüber hinaus die Information über eine Kombination von Schwachstellen, welche es ermöglicht, das Unternehmensnetzwerk zu kompromittieren. Des Weiteren können bei der Nachbereitung Lücken im Monitoring entdeckt werden. Da Social Engineering ebenfalls ein mögliches Werkzeug ist, wird auch exemplarisch die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter getestet. 

Variante 2: Red & Blue alias Purple Teaming

In dieser Variante steht die effektive Zusammenarbeit beider Teams im Vordergrund. In einem vorgelagerten Workshop werden verschiedene Bedrohungsszenarien besprochen. Diese werden in den darauffolgenden Wochen getestet. Dabei wird im Vorfeld angekündigt, was angegriffen wird. Wie angegriffen wird, wird hingegen nicht besprochen. Die Aufgabe des Red Teams besteht darin, verschiedene Angriffsarten durchzuführen. Das Blue Team hingegen hat die Aufgabe, diese Angriffe zu erkennen und abzuwehren. Im Nachgang wird genau analysiert, welche Angriffe erkannt wurden und welche nicht. Daraus lassen sich direkte Maßnahmen ableiten, wie z. B. ein erhöhtes Monitoring an verschiedenen Schnittstellen. Bei dieser Testmethodik wird nur begrenzt die reelle Effektivität des Blue Teams erfasst, da das Team eine erhöhte Wachsamkeit für die im Vorfeld besprochenen Schnittstellen aufweist. Diese Maßnahme dient dazu, eine Soll-Ist-Analyse durchzuführen und das Abwehr-Team auf verschiedene Angriffsarten vorzubereiten. Die Effektivität im Vergleich zu Variante 1 ist erheblich höher. 

Erkenntnisgewinn: Das Blue Team wird geschult und technische Maßnahmen werden weiter ausgebaut. Dem Unternehmen wird aufgezeigt, wo bisher Lücken in der Abwehr von Angriffen sind. Außerdem werden dabei Schwachstellen in Systemen, bei der Erkennung von Angriffen durch Mitarbeiterinnen und Mitarbeitern sowie in Prozessen detektiert.

Red Teaming Ready?

Damit ein Red Teaming Assessment erfolgreich starten kann, ist eine umfangreiche Vorbereitung erforderlich. In den nachfolgenden Abschnitten werden die einzelnen Bereiche angesprochen, in welchen Vorbereitungen geleistet werden sollten.

Kritische oder instabile Systeme 

Bei einem Red Teaming-Test handelt es sich um einen Blackbox-Test. Das bedeutet: Der Angreifer – in diesem Fall das Red Team – hat keinerlei Informationen über die Umgebung, die er angreift. Er verfügt lediglich über die Informationen, die er sich selbst erarbeitet hat. Besonders in kritischen und instabilen Umgebungen kann dies zu unerwünschten Effekten führen. Das Red Team muss ein System scannen, um dessen Funktion zu ermitteln. Dieser Schritt kann z. B. bei Industriesteuerungsanlagen zu Verfügbarkeitsproblemen führen, da diese oft empfindlich auf solche Scans reagieren. Um derartige Risiken zu reduzieren, muss dem Red Team im Vorfeld eine Liste mit Subnetzen oder IP-Adressen zur Verfügung gestellt werden, in welcher instabile und kritische Systeme aufgeführt sind. Diese werden nur nach ausdrücklicher Absprache analysiert. Um möglichst wenig Einfluss auf den Blackbox-Test zu nehmen, kann diese Liste auch bei einem erreichten Meilenstein freigegeben werden.

Meldeprozesse

Um einen Red Teaming-Test möglichst realistisch zu gestalten, wird in der Regel nur ein sehr kleiner Personenkreis informiert. Dieser Personenkreis wird anhand der definierten Prozesse ausgewählt. Es werden genau die Mitarbeiterinnen und Mitarbeiter informiert, die informiert sein müssen. Wichtig ist, dass im Falle eines Angriffs das Red Team für Rückfragen erreichbar ist und Auskünfte erhalten kann, ob es sich um einen Angriff im Rahmen des Tests oder einen illegalen Angriff handelt. Wird ein Meldeprozess nicht eingehalten, kann dies weitreichende Folgen haben. Wird z. B. eine Phishing-E-Mail direkt an die Rechtsabteilung weitergeleitet anstatt an die im Prozess definierte Abteilung, kann dies schnell zu zusätzlichen Kosten führen sowie einen erheblichen administrativen Mehraufwand nach sich ziehen. Dieser Mehraufwand lässt sich reduzieren, indem zusätzlich jeweils die Vertretung des Verantwortlichen informiert wird. Auch sollten Führungsverantwortliche in der Rechtsabteilung sowie in der Unternehmenskommunikation informiert werden.

Risikomanagement

Immer wieder werden im Rahmen von Red Teaming-Tests kritische Schwachstellen detektiert, welche über das Internet direkt ausnutzbar sind. Werden sie direkt nach dem Fund behoben, verfälscht dies den Test. Werden sie bewusst offen gelassen, entsteht das Risiko, dass Dritte die Schwachstelle ebenfalls entdecken und das System darüber kompromittieren. Aus diesem Grund muss bei jeder gefundenden Schwachstelle mit einem hohen Gefahrenpotenzial eine Risikoanalyse durchgeführt werden. Für den Fall, dass die Schwachstelle direkt geschlossen wird, sollte anschließend betrachtet werden, inwieweit der gewonnene Zugriff des Red Teams weitergeführt werden kann, ohne die Verwundbarkeit öffentlich erreichbar zu machen.

Social Engineering

Social Engineering ist eine Angriffsart, die eine hohe reelle Bedrohung darstellt. Aus diesem Grund kann Social Engineering ein Teil des Red Teaming Assessment sein. In einem Red Teaming Assessment der SySS GmbH wird Social Engineering als "Plan B" verwendet. Ist ein weiteres Eindringen nicht über einen rein technischen Weg möglich, wird zu dieser Methodik gegriffen. Mitarbeiter, die vom Red Team über diese Angriffsmethode angegriffen werden und den Angriff realisieren, sind oft verärgert. Dies kann deutlich reduziert werden, indem die Mitarbeiter im Vorfeld gewarnt werden. Werden Social Engineering-Tests angekündigt, ist die Akzeptanz der Mitarbeiter wesentlich höher. Hierfür sollte ein großer Zeithorizont gewählt werden, z. B.: "Im nächsten halben Jahr werden wir einen Social Engineering-Test durchführen".

Genehmigungen

Wie bei einem Penetrationstest werden bei einem Red Teaming Assessment Genehmigungen benötigt. Diese fallen in der Regel in zwei Bereichen an:

Hoster-Genehmigungen: Ist die Infrastruktur ausgelagert – z. B. weite Teile bei einem Cloud-Anbieter –, so wird für den Test eine Genehmigung benötigt. Genehmigungen für extern gehostete Webseiten werden eher selten benötigt, da auf diesen keine Informationen für die Zielerreichung zu erwarten sind. Die Genehmigungen müssen für den gesamten Projektzeitraum gelten.

Gebäudegenehmigungen: Wird im Rahmen des Red Teaming Assessments auch ein Physical Assessment durchgeführt, kann eine Genehmigung des Gebäudebetreibers erforderlich sein. Dies ist dann der Fall, wenn das Gebäude angemietet ist. Ähnlich wie bei einem Server darf die SySS GmbH nur in Gebäude einbrechen, für welche sie eine Testgenehmigung hat. Ist der Auftraggeber der Eigentümer, ist keine weitere Genehmigung erforderlich.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer