Red Team

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Als Red Team oder als Rotes Team wird eine unabhängige Gruppe bezeichnet, welche bei einer Organisation oder einem Unternehmen eine Verbesserung der Effektivität im Sicherheitsmanagement bewirken soll, indem sie als Gegner auftritt. Ziel ist es dabei immer, Sicherheitslücken aufzuspüren, bevor ein externer Dritter diese ausnutzen kann. Es ist besonders effektiv in Organisationen mit starren Strukturen und eingefahrenen Verfahrensweisen. Diese Art von Test bringt ein realistischeres Bild der Sicherheitslage, als Übungen, Rollenspiele und andere angekündigte Tests. Als Folge des Tests werden dann Gegenmaßnahmen ergriffen.[1]

Einsatzgebiete[Bearbeiten | Quelltext bearbeiten]

Einsatz im öffentlichen Sektor[Bearbeiten | Quelltext bearbeiten]

Die Idee und der Begriff des Red Teams haben ihren Ursprung im US-Militär.[2] Eine der ersten schriftlichen Erwähnungen des Begriffs Red Team (respektive Blue Team) findet sich in einem Artikel des Kolumnisten George Dixon aus dem Jahr 1963.[3] Auch heute zählen das Militär und der öffentliche Sektor im Allgemeinen noch zu den Einsatzgebieten von Red Teams.

Die Geheimdienste der Vereinigten Staaten, sowohl militärisch als auch zivil, haben rote Teams, die sich in die Position feindlicher Staaten versetzen und entsprechende Szenarien durchspielen und Berichte schreiben.[4]

Auch private Unternehmen, welche mit Regierungsorganisationen der USA zusammenarbeiten oder Rüstungsunternehmen sind, wie IBM und Leidos, sowie Regierungsbehörden wie die CIA nutzen bereits seit langer Zeit Red Teams. In den Streitkräften der Vereinigten Staaten werden sie verstärkt eingesetzt, seit der Prüfungsausschuss des Verteidigungsministeriums sie empfohlen hat.[4]

Einsatz im privaten Sektor[Bearbeiten | Quelltext bearbeiten]

Neben Behörden und Organisationen im öffentlichen Sektor kommen Red Teams auch bei Unternehmen im privaten Sektor zum Einsatz. In diesem Fall geht es vorrangig um die Informationssicherheit der Unternehmen. Dies schließt die physische Sicherheit und den Faktor Mensch als potenzielle Schwachstellen ein.

Für einen möglichst realistischen Test ihrer IT-Sicherheit beauftragen die betreffenden Unternehmen meist externe IT Security Dienstleister, die das Red Team stellen und das Security Operations Center (SOC) des Unternehmens über einen längeren Zeitraum hinweg angreifen.

In der Regel verfügen nur große Unternehmen oder Konzerne über genügen Ressourcen und Fachwissen, um alle Voraussetzungen für die Durchführung eines Red Teamings zu erfüllen. Das Unternehmen muss beispielsweise über Fachkräfte verfügen, die sich speziell um Themen der IT Security kümmern. Hierzu zählen beispielsweise Security Operations Center (SOC), Computer Emergency Response Team (CERT), Vulnerability Management oder Security Department. Die entsprechenden Personen stellen als Blue Team das Pendant zum Red Team dar. Das Blue Team ist für die Erkennung, Abwehr und Bearbeitung der Angriffe durch das Red Team verantwortlich.[5]

Abgrenzung Red Teaming und Penetrationstest[Bearbeiten | Quelltext bearbeiten]

Ein Red Team im Bereich IT Security nutzt grundsätzlich ähnliche Strategien, Methoden und Tools wie ein Penetrationstest. Zudem schließen beide Varianten neben technischen Angriffswegen die physische Sicherheit und den Faktor Mensch (Social Engineering) ein.

Der Unterschied zwischen Penetrationstest und Red Teaming liegt hauptsächlich in der Zielgestaltung der Projekte und damit einhergehend in deren zeitlichem Umfang und dem Realismusgrad. Bei Penetrationstests wird vorab festgelegt, welche Sicherheitsaspekte konkret getestet werden sollen. Sie zielen eher auf das grundsätzliche Vorhandensein bestimmter Sicherheitskomponenten ab. Beim Red Teaming hingegen wird ein zu erreichendes Ziel (Objective) festgelegt. Um dieses Objective zu erreichen, nutzt das Red Team alle Wege, die auch echte Angreifer nutzen könnten. Es zielt eher auf Personen und Prozesse ab als auf Komponenten.

Red Teaming ist in der Regel langfristiger angelegt als ein Penetrationstest. Daher kann das Red Team auf Support seitens des zu testenden Unternehmens verzichten und bei der Informationsbeschaffung und Zugriffsversuchen wie echte Angreifer vorgehen. Bei Penetrationstests hingegen ist es aus Zeit- und Kostengründen üblich, vorab einige Informationen an die Pentester auszuhändigen und beispielsweise durch an das Zielnetzwerk angeschlossene Boxen ein physisches Eindringen von Angreifern zu simulieren.

Zusammenfassend prüft ein Red Team bei Unternehmen mit ausgebautem (und vorab durch Penetrationstests überprüftem) Sicherheitsmanagement, wie die zuständigen Personen und Prozesse auf reale Angriffe reagieren.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Jack Young: The Real Architect of Pearl Harbor. In: Wings of Gold. 2005, S. 3, archiviert vom Original am 11. März 2007; abgerufen am 27. Juni 2019 (englisch).
  2. Micah Zenko: Red team : how to succeed by thinking like the enemy. Basic Books, New York 2015, ISBN 978-0-465-04894-6, S. 111 ff.
  3. George Dixon: Pentagon Wages Weird Backward Inning Game. In: Cape Girardeau Southeast Missourian. In: King Features Syndicate. 31. Mai 1963, S. 6.
  4. a b Brendan S. Mulvaney: Strengthened Through the Challenge (PDF) In: Marine Corps Gazette. Juli 2012. Abgerufen am 23. Oktober 2017.Vorlage:Cite web/temporär
  5. Yuri Diogenes, Erdal Ozkaya: Cybersecurity - Attack and Defense Strategies. Infrastructure security with Red Team and Blue Team tactics. Packt Publishing, Birmingham 2018, ISBN 978-1-78847-529-7, S. 19 f.

Weblinks[Bearbeiten | Quelltext bearbeiten]