Red Teaming Operations

Nicht selten wiegen sich Unternehmen in Sicherheit und sind der Annahme, dass, solange ihre Computersysteme sicher und intakt sind, auch Geschäftsdaten und -informationen sicher und geschützt sind. Um die Sicherheit ihrer Computersysteme zu verstärken, führen sie oftmals Penetrationstests durch – simulierte Angriffsversuche auf die Computersysteme, die darauf abzielen, Lücken und Schwachstellen zu identifizieren, die echte Risiken nach sich ziehen könnten. In Wirklichkeit beschränken sich Angreifer jedoch nicht auf den Missbrauch der Systeme, deren Sicherheitswirksamkeit mithilfe von Penetrationstests auf die Probe gestellt wird, und in der Regel haben sie es nicht einmal auf ein bestimmtes IT-System abgesehen. Neuerdings werden wesentlich kompliziertere Angriffe inszeniert. Unterschiedliche Elemente kommen zum Tragen, die über die Computersysteme hinausgehen und miteinander kombiniert werden, um den Weg des geringsten Widerstands zu orten. Daraus folgt, dass Penetrationstests allein – aufgrund ihres begrenzten Umfangs und stereotypisierten Ablaufs – die von Angreifern oder Angriffen ausgehenden Risiken nicht adäquat abwenden und Unternehmen nach wie vor realistischen Angriffen zum Opfer fallen können.

Ein realistischer Angriff zielt im Allgemeinen auf drei miteinander verknüpfte Elemente der

Informationssicherheit ab:

• Physische Sicherheit: Gebäude, Schreibtische, Tresore und die physische IT-Infrastruktur
• Cyber-Sicherheit: die Online-Welt, das Internet sowie das Intranet eines Unternehmens und die Interkonnektivität mit Zulieferern und Geschäftspartnern
• Menschliche Sicherheit: Mitarbeiter, Kunden und Dritte, die innerhalb eines Unternehmens mit Informationen umgehen

Die Ortung des schwächsten Glieds

Die meisten der in den letzten Jahren begangenen Cyber-Verstösse gehen auf menschliches Verhalten zurück – eines der schwächsten Elemente, das von Penetrationstests nicht erfasst werden kann. Red Teaming überprüft nicht nur technische Präventivkontrollen, sondern auch menschliche Verteidigungskapazitäten, die in den herkömmlichen Penetrationstests nicht inbegriffen sind.

Ein wichtiger Faktor eines tatsächlichen Angriffs ist das Auskundschaften. In dieser Phase verwendet ein Angreifer mehrere Tools und Methoden, um möglichst viele Informationen über ein Opfer zu erhalten und so den geplanten Angriff noch erfolgreicher werden zu lassen. Ein Beispiel: Ein Angreifer könnte sich Open-Source-Software zunutze machen, um das Internet und das Dark Web nach relevanten Informationen über ein Unternehmen zu durchsuchen (z. B. Benutzernamen, Kennwörter, Unternehmensregeln usw.). Die klassischen Penetrationstests lassen diese Vorgänge aufgrund ihres begrenzten Umfangs und vordefinierten Ablaufs unberücksichtigt und können somit die Anfälligkeit des Unternehmens nicht vollständig abwenden.

Red Teaming Operations befähigen Unternehmen dazu, die Funktionsbereitschaft und Sensibilität des Sicherheitsmassnahmenkatalogs im Falle eines realistischen Angriffs mittels szenariobasierter, gesteuerter Vorfälle zu testen. Diese Verfahren berücksichtigen alle drei Elemente – menschliche, physische und Cyber-Sicherheit – innerhalb eines Unternehmens.

Erfolgsfaktoren und unsere Empfehlung

Erfolgreiche Verfahren im Rahmen von Red Teaming Operations erfordern gründliche Planung, um realistische Simulationen feindlicher Angriffe auf ein Unternehmen zu inszenieren. Zufallsangriffe und Zufallsziele liefern keinen angemessenen Nutzen. Die beste Planung entspringt dem eingehenden Verständnis und Know-how über die geschäftliche Tätigkeit und die Organisationsstruktur des Unternehmens, auf deren Grundlage unter Einbeziehung der Ansätze des Risiko- und Bedrohungsmanagements realistische Szenarios erstellt werden können. In der Planungsphase gilt es unbedingt die Kernrisiken eines Unternehmens zu identifizieren. Diese Risiken variieren je nach Unternehmen und dienen als Grundlage für die Simulation von realistischen, szenariobasierten und gesteuerten Vorkommnissen.

Nach unserer Erfahrung beruhen erfolgreiche Red Teaming Operations auf drei Grundsätzen:

1. Wissensmix: Red-Teaming-Manöver müssen technische und unternehmensbezogene Kenntnisse im richtigen Verhältnis berücksichtigen, um nützlich und repräsentativ zu sein.
2. Kenntnis des Gegners: Für ein erfolgreiches Red-Teaming-Manöver muss man den potenziellen Angreifer verstehen. Das heisst, dass das Team, abgesehen von der Kenntnis um die Kompetenzen und das Wissen eines potenziellen Angreifers, auch die Fähigkeit besitzen muss, wie ein potentieller Feind zu denken. Kurzum: Die Ziele des Angreifers müssen auf die Risiken des Unternehmens abgestimmt und in die definierten Szenarien integriert sein, auf denen die Red-Teaming-Manöver beruhen.
3. Zusammenarbeit der Teams: Teamarbeit ist unerlässlich. Das positive Ergebnis eines erfolgreichen Testmanövers oder einer Wirksamkeitsprüfung beruht auf Zusammenarbeit sowie der Bündelung der Bemühungen und Kompetenzen des Red Teams und des Verteidigungsteams. Die Arbeit in einem solchen Kooperationsumfeld ermöglicht herausragende Red-Teaming-Manöver, die sich durch Relevanz, Fokus, Agilität und Adaption sowie Rentabilität auszeichnen und so die Verteidigungskompetenzen eines Unternehmens verbessern.

Ein Beispiel eines Cyber-Angriffs

Es steht zu hoffen, dass wir nie Zeuge eines tatsächlichen Cyber-Angriffs werden und die Folgen in Echtzeit mitansehen müssen. Um Ihnen dennoch eine Vorstellung davon zu geben, wie ein solches Szenario aussehen könnte, haben wir für Sie zwei Videos erstellt. Achten Sie auf die Geschwindigkeit und Intensität eines Cyber-Angriffs. Sehen Sie, wie sich die Handlung entfaltet, und erfahren Sie, wie Unternehmen sich selbst verteidigen, die Situation in den Griff bekommen und effektiv zurückschlagen können.

Video Beispiele:

• Unternehmen wie Ihres
  
• Cyber-Sicherheit auf dem neuesten Stand
  

Wenn Sie ein erstes Gespräch über Red Teaming Operations führen und den erfolgreichen Ansatz von Deloitte zu seiner Einführung kennenlernen möchten, setzen Sie sich bitte mit unserem Team in Verbindung.