Cyberangriff auf Wunsch – wenn Security-Experten die Seite wechseln

André Zingsheim ist Leiter des Bereichs „Technische Security“ bei der TÜV TRUST IT der TÜV AUSTRIA Group.  Er beschreibt, mit welchen Methoden und Zielen ein Red Teaming-Angriff durchgeführt wird.

Herr Zingsheim, welche Security-Projekte macht ein Unternehmen, das eher für Qualitäts-, Umwelt- und technisches Sicherheits- und Ressourcenmanagement bekannt ist?
Neben der klassischen Beratung rund um die IT-Sicherheit steht die Optimierung des Security-Konzepts, unter anderem der Netzwerksicherheit, im Vordergrund. Und hier gehen wir parallel offensiv und defensiv vor. Auf der offensiven Seite führen wir zum Beispiel Penetrationstests oder Red Teaming Assessments durch. Die defensive Seite umfasst die Arbeit an der Widerstandsfähigkeit von Unternehmensnetzwerken gegen Cyberangriffe.

Was genau ist mit Red Teaming gemeint?
Dabei geht es um simulierte Cyberangriffe durch unser Red Team, das versucht in ein System einzudringen und hier ein vorher definiertes Ziel zu erreichen. Beispielsweise möchte ein Zulieferer in der Automobilbranche wissen, ob es möglich ist, in eines seiner Werke einzudringen und dort die Produktion zu gefährden. Und wenn es möglich ist, wie Angreifer dies machen können. Dabei versuchen wir, möglichst realitätsnah vorzugehen. Das heißt, wir tun das, was auch echte Angreifer tun würden, um in das Unternehmen einzudringen.

Sie simulieren also einen Cyberangriff, zum Beispiel eine Ransomware-Attacke?Natürlich gibt es dabei ethische Grenzen. Unter anderem darf niemand – übertrieben ausgedrückt – mit vorgehaltener Waffe zur Herausgabe von Zugangsdaten genötigt werden. Und auch Geschäftspartner dürfen nicht wahllos angegriffen werden, obwohl Angreifer dies tun würden. Und wir legen es natürlich auch nicht darauf an, realen Schaden zu verursachen. Ein Restrisiko bleibt hier aber immer. Schließlich soll und muss der Angriff möglichst realistisch sein.

Welche Methoden nutzen Sie, um an das definierte Ziel zu gelangen?
Alle Methoden, die auch realen Angreifern zur Verfügung stehen würden. Am effizientesten ist nach wie vor das klassische Phishing. Eine andere Möglichkeit ist, eigene Hardware ins Unternehmen einzuschleusen oder gezielt nach Schwachstellen zu suchen, die sich gegebenenfalls auch außerhalb befinden, zum Beispiel ein extern gehostetes Lieferantenportal.

Welche Ziele verfolgen Ihre Auftraggeber mit dem Red Teaming?
Ein übergeordnetes Ziel dieser Vorgehensweise ist das Coachen der Security-Analysten des Unternehmens, dem sogenannten Blue Team, das Angriffe erkennen und abwehren soll. Entsprechend weiß auch nur ein kleiner Kreis beim Kunden im Vorfeld Bescheid, meist die Geschäftsleitung und der CISO, nicht aber das Blue Team. Die Security Analysten können und müssen also auf uns reagieren wie auf einen realen Angreifer.

Angenommen das Red Team ist erfolgreich. Was passiert im Anschluss?
Unabhängig davon, wie erfolgreich der simulierte Angriff war, wird das Assessment anschließend mit dem Blue Team gemeinsam aufgearbeitet. Dabei erläutern wir unser Vorgehen, welche Schwachstellen wir nutzen konnten, was gut lief und was nicht. Und im nächsten Schritt identifizieren Red und Blue Team zusammen Maßnahmen, die sich aus der Aufarbeitung ergeben haben. Diese werden dann idealerweise auch implementiert. Das geht nicht an einem Nachmittag. Ein solches Red Teaming Projekt läuft in der Regel über sechs bis zwölf Monate.

Und ist somit recht umfangreich und erfordert viel Engagement auf beiden Seiten?
Wir arbeiten sehr praxisorientiert und erleben einen stetigen Wandel was Technik und Methoden angeht. Die Angreifer entwickeln sich ständig weiter und wir müssen hier schritthalten. Das erfordert eine gute Portion Neugier und den Willen, sich permanent weiterzubilden und auch dem Kunden dieses aktuelle Wissen zu vermitteln. Im Laufe dieses Projekts sind wir über Monate im ständigen Austausch. Daher ist eine gute Kommunikationsfähigkeit hier übrigens genauso wichtig wie allgemeines IT-Know-how und spezialisiertes Fachwissen. Ich freue mich sehr, wenn ich neu erlerntes Wissen an unsere Kunden weitervermitteln und so etwas zur Cybersicherheit im Unternehmen beitragen kann. Eins ist sicher: Langweilig wird es nie.

André Zingsheim

ist Leiter des Bereichs „Technische Security“ und seit zehn Jahren bei der TÜV TRUST IT tätig.

Lesen Sie auch : Angriffsziel Krankenhaus
Roger Homrich

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago