Aufgrund der zunehmenden Digitalisierung in Unternehmen sind technische IT-Sicherheitsüberprüfungen keine Besonderheit mehr und gehören mittlerweile zum Alltag. Meist werden sie als klassische Penetrationstests durchgeführt, bei denen ausgewählte Systeme und Netzwerke auf Schwachstellen überprüft werden. Die IT-Sicherheit eines Unternehmens hängt jedoch von mehr ab, wie beispielsweise auch vom Verhalten der Mitarbeiter beim Umgang mit Informationen und Daten.

Neben gezielten Penetrationstests sollten deshalb vor allem in mittleren und größeren Unternehmen umfangreiche und ganzheitliche Red Teaming Assessments durchgeführt werden. Ein Red Teaming Assessment ist ein simlulierter Cyber-Angriff gegen die Infrastruktur eines Unternehmens, der die Widerstandsfähigkeit und Verteidigungsmechanismen gegen professionelle Cyber-Angriffe prüft. Die Angreifer (Red Team) versuchen dabei mit allen verfügbaren und ethisch vertretbaren Mitteln Zugang zu Unternehmensinformationen und –daten zu erlangen.

Die TÜV TRUST IT hat für Red Teaming Assessments 10 Erfolgsfaktoren zusammengestellt:

1. Management Commitment

Im Rahmen von Red Teaming Assessments ist nur ein sehr kleiner Personenkreis über das Projekt informiert (z.B. GF, CIO, DSB, Betriebsrat). Es sollte sichergestellt sein, dass alle relevanten Entscheidungsträger hinter diesem Projekt stehen, jedoch keine weiteren Mitarbeiter über das geplante Vorhaben informieren.

2. Vertrauen in den Dienstleister

Wie in jedem Projekt, das durch externe Unterstützung durchgeführt wird, ist das Vertrauen in den jeweiligen Dienstleister von großer Bedeutung. Für Red Teaming Assessments ist es jedoch besonders hervorzuheben, da der Dienstleister als „Red Team“ in der Regel sehr frei agiert. Es wird zwar vor Beginn des Projekts festgelegt, wo die Grenzen der beauftragten Angriffsversuche liegen und welche Ziele diese haben sollen. Dennoch liegt die Wahl der einzelnen Maßnahmen letztendlich beim Red Team, um einen möglichst großen Erkenntnisgewinn der Tests zu gewährleisten.

3. Know-how und Vielseitigkeit des Dienstleisters

Ein Red Teaming Assessment ist ein sehr umfassendes Projekt, in dem die unterschiedlichsten Methoden und Angriffsszenarien zum Einsatz kommen. Dies erfordert vom durchführenden Dienstleister eine Menge Fachwissen, Vielseitigkeit, Erfahrung und Fingerspitzengefühl.

4. Flexibel und agil operieren

Red Teaming Assessments werden dynamisch und flexibel durchgeführt, einen festen Zeitpunkt gibt es nicht. Werden beispielsweise Details zu neuen Schwachstellen bekannt, von denen das Unternehmen betroffen ist, so kann sich auch das Red Team die temporär erhöhte Angriffsfläche zu Nutze machen.

5. Alle Instrumente des Red Teamings nutzen

Um ein möglichst genaues Bild der Sicherheitssituation zu erhalten, sollten möglichst viele Instrumente des Red Teamings angewendet werden. Nach dieser Vorgehensweise agieren auch „reale Hacker“. Social Engineering Angriffe sind hier eine enorm wichtige Komponente, müssen jedoch mit Feingefühl und Rücksichtnahme gegenüber Mitarbeitern angewendet werden.

6. Einschränkungen von Produktivsystemen

Im Gegensatz zu klassischen Penetrationstests werden Angriffsversuche bei Red Teaming Assessments nicht nur zu Hauptgeschäftszeiten, sondern auch an Wochenenden und in der Nacht durchgeführt, um möglichst unentdeckt agieren zu können. Ebenso werden nicht nur Testsysteme, sondern vor allem Produktivsysteme getestet. Dabei sollten Produktivsysteme möglichst nicht gefährdet werden. Ein Restrisiko, dass es zu systemseitigen Einschränkungen kommt, bleibt jedoch bestehen, sodass dafür vonseiten des Auftraggebers Vorkehrungen getroffen werden sollten.

7. Unbekannte Prüfer für Social Engineering Maßnahmen einsetzen

Klassische Penetrationstests werden in der Regel mehrmals im Jahr mit unterschiedlichen Dienstleistern durchgeführt. Vor allem bei Social-Engineering-Einsätzen im Rahmen von Red Teaming Assessments sollte dringend darauf geachtet werden, unbekannte Prüfer einzusetzen. Damit wird sichergestellt, dass der Prüfer vor Ort von niemandem erkannt und so das Ergebnis nicht verfälscht wird.

8. Effektive Fehlerkultur

Red Teaming Assessments werden durchgeführt, um Sicherheitslücken aufzudecken. Dennoch muss klar sein, dass für ermittelte Defizite kein „Sündenbock“ im Unternehmen gesucht wird, sondern konstruktiv mit den Schwachstellen umgegangen wird.

9. Spielregeln festlegen

Was ist erlaubt? Welche Systeme und Anwendungen sind ausgenommen? Auch wenn stets das gesamte Unternehmen im Fokus des Assessments steht, gibt es Fälle, in denen Systeme und Anwendungen von der Prüfung ausgenommen werden sollten. Diese „Spielregeln“ und die konkreten Ziele müssen zu Beginn klar abgesteckt werden.

10. Lessons Learned & Coaching

Alle während des Red Teaming Assessments gewonnenen Erkenntnisse zu Sicherheitslücken sollten in eine nachgelagerte Lessons Learned Phase einfließen. Die ausführliche Dokumentation und Reproduizierung der einzelnen Testschritte ermöglichen dem getesteten Unternehmen, die eigenen Einfallstore wirksam und nachhaltig zu schließen.

Fazit

Red Teaming Assessments erstrecken sich über einen längeren Projekt-Zeitraum und stellen für Unternehmen eine nicht unerhebliche Investition dar. Die Projekterfahrung der TÜV TRUST IT zeigt jedoch, dass bei Beachtung der genannten 10 Erfolgsfaktoren tatsächlich eine nachhaltige und messbare Erhöhung des Sicherheitsniveaus erreicht werden kann, welches weit über die Verbesserung rein technischer Sicherheitsmaßnahmen hinaus geht und sich auch betriebswirtschaftlich spürbar auszahlt.