Red Teaming
Red Teaming ist eine zielorientierte Angriffssimulation. Anders als bei einem breiten Test geht es hier darum, die Detektions- und Reaktionsfähigkeiten einer Organisation gegenüber einem hartnäckigen, verdeckt operierenden Angreifer zu überprüfen.
Abgrenzung: Red Teaming vs. Penetrationstest
Penetrationstest
Ziel: Identifikation möglichst vieler Schwachstellen in einem definierten Zeitfenster. Die Vorgehensweise kann auffällig sein.
Frage: "Gibt es ausnutzbare Lücken in unserem System?"
Red Teaming
Ziel: Erreichen eines vordefinierten Ziels (z.B. Datenexfiltration) ohne Entdeckung durch die Verteidiger. Die Vorgehensweise ist verdeckt und andauernd.
Frage: "Würden wir einen echten, zielgerichteten Angriff bemerken und darauf reagieren?"
Zentrale Fragen an eine Red Team Operation
Der Wert einer Red Team Operation bemisst sich an den Antworten, die sie auf kritische Fragen zur Verteidigungsfähigkeit gibt.
Unsere Philosophie: Ein Wettkampf oder ein Werkzeug zur Verbesserung?
Der alleinige Zweck einer Red Team Operation ist die Verbesserung der Verteidigungsfähigkeiten. Es ist kein Wettkampf, sondern ein kontrolliertes Sparring, das aufzeigt, wo technologische oder prozessuale Lücken in der gesamten Abwehrkette – von der Erkennung bis zur Reaktion – existieren.
Die Authentizität: Wie realistisch ist die Simulation?
Unsere Simulationen basieren nicht auf zufälligen Mustern. Die Grundlage bilden Taktiken, Techniken und Prozeduren (TTPs) realer Angreifergruppen, die für die Branche des Kunden relevant sind. Wir nutzen dafür aktuelle Threat Intelligence und strukturieren unsere Angriffe nach etablierten Frameworks wie dem MITRE ATT&CK.
Der Umfang: Welche Angriffsvektoren werden genutzt?
Eine Operation kann verschiedene Angriffsvektoren umfassen, die je nach Zielsetzung einzeln oder als Gesamtpaket beauftragt werden:
Technisches Eindringen
Simulation von Angriffen auf die externe und interne Netzwerkinfrastruktur zur Erlangung von Persistenz und zur lateralen Bewegung im Netz.
Social Engineering
Gezielte Angriffe auf ausgewählte Mitarbeiter, um Zugangsdaten zu erlangen, Informationen zu sammeln oder Aktionen auszulösen.
Physische Sicherheit
Versuche, physisch in Gebäude, Büros oder gesicherte Bereiche einzudringen, um direkten Zugriff auf Systeme zu erlangen.
Das Ergebnis: Was passiert nach dem Angriff?
Am Ende einer Operation erhalten Sie einen umfangreichen Report, der den gesamten Angriffsverlauf ("Attack Narrative") von der initialen Kompromittierung bis zum Erreichen des Ziels dokumentiert. In einer gemeinsamen Besprechung mit Ihren Verteidigern werden die Ergebnisse analysiert, um Detektionslücken zu identifizieren. Für Kunden in einer laufenden Betreuung entwickeln wir daraus konkrete Empfehlungen zur Verbesserung der Abwehr.
Ein Gespräch dient dazu, ein realistisches Angriffsszenario und die Ziele einer Red Team Operation für Ihr Unternehmen zu definieren.