Sicherheitslücken aufdecken, um sie anschließend schließen zu können – das ist das Ziel des sogenannten Red Teams bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA. André Zingsheim ist Leiter des Bereichs „Technische Security“ und bereits seit zehn Jahren im Unternehmen tätig. Er verrät, mit welchen Methoden und Zielen ein Red Teaming Angriff durchgeführt wird und was ihm an diesem Job besonders gefällt.
Herr Zingsheim, Sie sind Leiter der Technischen Security bei der TÜV TRUST IT. Wo genau liegen Ihre Aufgabenfelder?
Neben der klassischen Beratung rund um die IT-Sicherheit steht die Optimierung des Security-Konzepts, unter anderem der Netzwerksicherheit, [ZA1] im Vordergrund. Und hier gehen wir parallel offensiv und defensiv vor. Auf der offensiven Seite führen wir zum Beispiel Penetrationstests oder Red Teaming Assessments durch. Die defensive Seite umfasst die Arbeit an der Widerstandsfähigkeit von Unternehmensnetzwerken gegen Cyberangriffe.
Sie sprechen das Red Teaming an. Was genau versteht man darunter?
Dabei geht es um simulierte Cyberangriffe durch unser Red Team, das versucht in ein System einzudringen und hier ein vorher definiertes Ziel zu erreichen. Beispielsweise möchte ein Zulieferer in der Automobilbranche wissen, ob und wenn ja, wie es möglich ist, in eines seiner Werke einzudringen und dort die Produktion zu gefährden. Das ist dann genau unser Ziel und wir versuchen, möglichst realitätsnah vorzugehen. Das heißt, wir tun das, was auch echte Angreifer tun würden, um in das Unternehmen einzudringen. Natürlich gibt es dabei ethische Grenzen. Unter anderem darf niemand – übertrieben ausgedrückt – mit vorgehaltener Waffe zur Herausgabe von Zugangsdaten genötigt werden. Und auch Geschäftspartner dürfen nicht wahllos angegriffen werden, obwohl Angreifer dies tun würden. Und wir legen es natürlich auch nicht darauf an, realen Schaden zu verursachen. Ein Restrisiko bleibt hier aber immer. Schließlich soll und muss der Angriff möglichst realistisch sein.
Welche Methoden nutzen Sie, um an das definierte Ziel zu gelangen?
Alle Methoden, die auch realen Angreifern zur Verfügung stehen würden. Am effizientesten ist nach wie vor das klassische Phishing. Eine andere Möglichkeit ist, eigene Hardware ins Unternehmen einzuschleusen oder gezielt nach Schwachstellen zu suchen, die sich gegebenenfalls auch außerhalb befinden, zum Beispiel ein extern gehostetes Lieferantenportal. Ein übergeordnetes Ziel dieser umfangreichen Vorgehensweise ist das Coachen der Security Analysten des Unternehmens, dem sogenannten Blue Team, das Angriffe erkennen und abwehren soll. Entsprechend weiß auch nur ein kleiner Kreis beim Kunden im Vorfeld Bescheid, meist die Geschäftsleitung und der CISO, nicht aber das Blue Team. Die Security Analysten können und müssen also auf uns reagieren wie auf einen realen Angreifer.
Angenommen das Red Team ist erfolgreich. Was passiert im Anschluss?
Unabhängig davon, wie erfolgreich der simulierte Angriff war, wird das Assessment anschließend mit dem Blue Team gemeinsam aufgearbeitet. Dabei erläutern wir unser Vorgehen, welche Schwachstellen wir nutzen konnten, was gut lief und was nicht. Und im nächsten Schritt identifizieren Red und Blue Team zusammen Maßnahmen, die sich aus der Aufarbeitung ergeben haben. Diese werden dann idealerweise auch implementiert. Das geht natürlich nicht an einem Nachmittag. Ein solches Red Teaming Projekt läuft in der Regel über sechs bis zwölf Monate.
Und ist somit recht umfangreich und erfordert viel Engagement auf beiden Seiten. Was gefällt Ihnen am meisten an diesem Job?
Die abwechslungsreiche Tätigkeit und der Umgang mit dem Kunden. Wir arbeiten sehr praxisorientiert und erleben einen stetigen Wandel was Technik und Methoden angeht. Die Angreifer entwickeln sich ständig weiter und wir müssen hier schritthalten. Das erfordert eine gute Portion Neugier und den Willen, sich permanent weiterzubilden und auch dem Kunden dieses aktuelle Wissen zu vermitteln. Im Laufe dieses Projekts sind wir über Monate im ständigen Austausch. Daher ist eine gute Kommunikationsfähigkeit hier übrigens genauso wichtig wie allgemeines IT-Know-how und spezialisiertes Fachwissen. Ich freue mich sehr, wenn ich neu erlerntes Wissen an unsere Kunden weitervermitteln und so etwas zur Cybersicherheit im Unternehmen beitragen kann. Eins ist nämlich ganz sicher: Langweilig wird es nie.
Vielen Dank für das Interview Herr Zingsheim!