Red Team

Als Red Team oder als Rotes Team wird eine unabhängige Gruppe bezeichnet, welche bei einer Organisation oder einem Unternehmen eine Verbesserung der Effektivität im Sicherheitsmanagement bewirken soll, indem sie als Gegner auftritt. Ziel ist es dabei immer, Sicherheitslücken aufzuspüren, bevor ein externer Dritter diese ausnutzen kann. Es ist besonders effektiv in Organisationen mit starren Strukturen und eingefahrenen Verfahrensweisen. Diese Art von Test bringt ein realistischeres Bild der Sicherheitslage, als Übungen, Rollenspiele und andere angekündigte Tests. Als Folge des Tests werden dann Gegenmaßnahmen ergriffen.^[1]

Einsatzgebiete[Bearbeiten | Quelltext bearbeiten]

Einsatz im öffentlichen Sektor[Bearbeiten | Quelltext bearbeiten]

Die Idee und der Begriff des Red Teams haben ihren Ursprung im US-Militär.^[2] Eine der ersten schriftlichen Erwähnungen des Begriffs Red Team (respektive Blue Team) findet sich in einem Artikel des Kolumnisten George Dixon aus dem Jahr 1963.^[3] Auch heute zählen das Militär und der öffentliche Sektor im Allgemeinen noch zu den Einsatzgebieten von Red Teams.

Die Geheimdienste der Vereinigten Staaten, sowohl militärisch als auch zivil, haben rote Teams, die sich in die Position feindlicher Staaten versetzen und entsprechende Szenarien durchspielen und Berichte schreiben.^[4]

Auch private Unternehmen, welche mit Regierungsorganisationen der USA zusammenarbeiten oder Rüstungsunternehmen sind, wie IBM und Leidos, sowie Regierungsbehörden wie die CIA nutzen bereits seit langer Zeit Red Teams. In den Streitkräften der Vereinigten Staaten werden sie verstärkt eingesetzt, seit der Prüfungsausschuss des Verteidigungsministeriums sie empfohlen hat.^[4]

Einsatz im privaten Sektor[Bearbeiten | Quelltext bearbeiten]

Neben Behörden und Organisationen im öffentlichen Sektor kommen Red Teams auch bei Unternehmen im privaten Sektor zum Einsatz. In diesem Fall geht es vorrangig um die Informationssicherheit der Unternehmen. Dies schließt die physische Sicherheit und den Faktor Mensch als potenzielle Schwachstellen ein.

Für einen möglichst realistischen Test ihrer IT-Sicherheit beauftragen die betreffenden Unternehmen meist externe Informationssicherheitsunternehmen, die das Red Team stellen und das Security Operations Center (SOC) des Unternehmens über einen längeren Zeitraum hinweg angreifen.

In der Regel verfügen nur große Unternehmen oder Konzerne über genügen Ressourcen und Fachwissen, um alle Voraussetzungen für die Durchführung eines Red Teamings zu erfüllen. Das Unternehmen muss beispielsweise über Fachkräfte verfügen, die sich speziell um Themen der IT Security kümmern. Hierzu zählen beispielsweise Security Operations Center (SOC), Computer Emergency Response Team (CERT) und Vulnerability Management^[5]. Die entsprechenden Personen stellen als Blue Team das Pendant zum Red Team dar. Das Blue Team ist für die Erkennung, Abwehr und Bearbeitung der Angriffe durch das Red Team verantwortlich.^[6]

Red Teaming von Sprachmodellen[Bearbeiten | Quelltext bearbeiten]

Die Analyse von Red Teaming bei Sprachmodellen ermöglicht es, die Agilität und Verhaltensweise von LM-Sprachmodellen besser zu verstehen und sie auf potenzielle schädliche Verhaltensweisen zu testen^[7][8]. Dabei werden ähnliche Konzepte wie beim Red Teaming im physischen Sicherheitsbereich angewendet, um realistische Angriffsszenarien zu entwickeln und die Reaktion der Sprachmodelle auf diese zu überprüfen.^[9] Automatisierte Tests und maschinelles Lernen werden in diesem Zusammenhang verwendet, um unerwartete Verhaltensweisen und Schwachstellen in den Modellen zu identifizieren.^[10]

Abgrenzung Red Teaming und Penetrationstest[Bearbeiten | Quelltext bearbeiten]

Ein Red Team im Bereich IT Security nutzt grundsätzlich ähnliche Strategien, Methoden und Tools wie ein Penetrationstest. Zudem schließen beide Varianten neben technischen Angriffswegen die physische Sicherheit und den Faktor Mensch (Social Engineering) ein.

Der Unterschied zwischen Penetrationstest und Red Teaming liegt hauptsächlich in der Zielgestaltung der Projekte und damit einhergehend in deren zeitlichem Umfang und dem Realismusgrad. Bei Penetrationstests wird vorab festgelegt, welche Sicherheitsaspekte konkret getestet werden sollen. Sie zielen eher auf das grundsätzliche Vorhandensein bestimmter Sicherheitskomponenten ab und testen diese in der Breite. Beim Red Teaming hingegen wird ein zu erreichendes Ziel (Objective) festgelegt. Um dieses Objective zu erreichen, nutzt das Red Team alle Wege, die auch echte Angreifer nutzen könnten. Es zielt eher auf die hinter den Sicherheitskomponenten stehenden Personen und Prozesse und deren Reaktion auf einen Angriff ab.^[11]

Red Teaming ist in der Regel langfristiger angelegt als ein Penetrationstest. Daher kann das Red Team auf Support seitens des zu testenden Unternehmens verzichten und bei der Informationsbeschaffung und Zugriffsversuchen analog zu echten Angreifern vorgehen. Bei Penetrationstests hingegen ist es aus Zeit- und Kostengründen üblich, vorab einige Informationen an die Pentester beispielsweise über das Zielnetzwerk und dessen Komponenten auszuhändigen.

Zusammenfassend prüft ein Red Team bei Unternehmen, wie die zuständigen Personen und Prozesse auf reale Angriffe reagieren.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Jack Young: The Real Architect of Pearl Harbor. In: Wings of Gold. 2005, S. 3, archiviert vom Original am 11. März 2007; abgerufen am 27. Juni 2019 (englisch). 
2. ↑ Micah Zenko: Red team : how to succeed by thinking like the enemy. Basic Books, New York 2015, ISBN 978-0-465-04894-6, S. 111 ff. 
3. ↑ George Dixon: Pentagon Wages Weird Backward Inning Game. In: Cape Girardeau Southeast Missourian. In: King Features Syndicate. 31. Mai 1963, S. 6. 
4. ↑ ^{a b} Brendan S. Mulvaney: Strengthened Through the Challenge. (PDF) Marine Corps Gazette via marines.mil, Juli 2012, abgerufen am 23. Oktober 2017 (englisch). 
5. ↑ Marcus J. Carey, Jennifer Jin: Tribe of Hackers Red Team. Tribal Knowledge from the Best in Offensive Cybersecurity. Wiley, 2019, ISBN 978-1-119-64332-6, S. 64, 197. 
6. ↑ Yuri Diogenes, Erdal Ozkaya: Cybersecurity - Attack and Defense Strategies. Infrastructure security with Red Team and Blue Team tactics. Packt Publishing, Birmingham 2018, ISBN 978-1-78847-529-7, S. 19 f. 
7. ↑ Kira Hutchinson: Red Teaming Agility (Briefing Charts). Defense Technical Information Center, Fort Belvoir, VA 1. Juni 2014 (dtic.mil [abgerufen am 7. Februar 2024]). 
8. ↑ RedTeamer IT Security: Eine Analyse von Red Teaming von Sprachmodellen: Aufdecken und Beheben schädlicher Verhaltensweisen. 20. Juli 2023, abgerufen am 20. Juli 2023 (deutsch). 
9. ↑ Erin E. Bonar, Harold Rosenberg: Using the health belief model to predict injecting drug users' intentions to employ harm reduction strategies. In: Addictive Behaviors. Band 36, Nr. 11, November 2011, ISSN 0306-4603, S. 1038–1044 (arxiv.org [PDF; abgerufen am 20. Juli 2023]). 
10. ↑ Problem Solving, Simulation, and Computational Red Teaming. In: Simulation and Computational Red Teaming for Problem Solving. 18. Oktober 2019, S. 1–9, doi:10.1002/9781119527183.ch1 (google.de [abgerufen am 20. Juli 2023]). 
11. ↑ Alexander Guedez: Red Teaming Vs. Penetration Testing: Which One Is Best Suited For You? Forbes, 11. Januar 2021, abgerufen am 29. November 2022 (englisch). 

Weblinks[Bearbeiten | Quelltext bearbeiten]

• UK Military Red Team Handbook v.2
• GAO Red Team reveals Nuclear material can easily be smuggled into the United States years after 911 attack (Memento vom 10. März 2007 im Internet Archive)
• Red Team Final Report (Memento vom 19. April 2009 im Internet Archive)
• Officers With PhDs Advising War Effort
• Red Team U. creates critical thinkers
• Red Team Journal
• Reflections from a Red Team Leader – From Military Review
• Defense Science Board – Task Force on The Role and Status of DoD Red Teaming Activities
• A Guide To Red Teaming, DCDC, UK
• Defining and Categorizing Red Team (Memento vom 2. April 2015 im Internet Archive)
• Army approves plan to create school for Red (Memento vom 22. Juni 2007 im Internet Archive)