Red Teaming

Ihr Partner für ganzheitliche Angriffssimulationen zur Stärkung Ihrer Cyber Resilience.

Red Teaming

Red Teaming

Sie möchten die Wirksamkeit Ihrer Cyber Defense in einer realitätsnahen Angriffssimulation überprüfen?


Sie benötigen eine realistische Sicherheitsbewertung Ihrer eingesetzten Cyber Resilience?


Wir stehen Ihnen gern mit unserem Fachwissen zur Seite.


KONTAKTIEREN SIE UNS

Ganzheitliche Angriffssimulationen

Cyberangriffe stellen eine ernsthafte Bedrohung für Unternehmen dar – unabhängig von Branche und Unternehmensgröße. Die Folgen eines erfolgreichen Angriffs können sehr vielfältig sein, angefangen beim Abfluss sensibler Unternehmens- und Kundendaten über die Störung kritischer Geschäftsprozesse bis hin zum kompletten Stillstand der IT- und OT-Infrastruktur.

Um sich bestmöglich auf solche Ernstfälle vorzubereiten und die Cyber-Resilienz nachhaltig zu steigern, bieten wir Ihnen die Durchführung von simulierten Cyberangriffen auf Ihr Unternehmen im Rahmen einer Red Teaming Kampagne an. Dabei werden bereits etablierte Sicherheitsmechanismen gezielt überprüft und Optimierungspotenziale aufgezeigt. Neben Sicherheitslücken einzelner Systeme stehen dabei besonders die Cyber-Defense-Maßnahmen Ihres Unternehmens im Fokus.

Unser Angebot für Sie

Keine zwei Unternehmen sind gleich, weshalb auch die IT-Landschaft und die dazugehörigen Schutzmaßnahmen variieren. Dem passen sich auch Angreifer an, indem sie Cyberangriffe auf das jeweilige Unternehmen zuschneiden. Die folgende Übersicht zeigt einen Überblick über verschiedene Angriffe – sowohl von außerhalb als auch innerhalb des Unternehmens.

Wir bieten Ihnen verschiedene Szenarien an, welche diese Arten von Angreifern abbilden. Das jeweilige Szenario bestimmt dabei den Ausgangspunkt für die Kampagne und beschreibt, auf welchem Weg der simulierte Angreifer versucht, in das Unternehmensnetzwerk einzudringen:

Assumed Breach

Bei diesem Szenario wird angenommen, dass sich ein Angreifer bereits Zugang zu internen IT-Systemen verschafft hat oder ein Innentäter seinen bestehenden Zugang missbraucht. Zur Simulation dieses Szenarios stellen Sie uns einen internen Zugang zur Verfügung. Ausgehend von diesem prüft unser Red Team, inwieweit ein solcher Angreifer seine Zugriffsrechte erweitern und weitere Systeme kompromittieren könnte.

Beispiele:

  • Wir simulieren, dass der Computer eines Mitarbeiters aus dem Bereich HR per Phishing-Mail kompromittiert wurde. 
  • Der Rechner eines Mitarbeiters aus dem Bereich Finance wurde mit einem maliziösen USB-Stick kompromittiert, wodurch der Angreifer Zugriff aus der Ferne erhält.

Technical Breach

Bei diesem Ansatz nehmen wir die Rolle eines Angreifers an, welcher Cyberangriffe über das Internet durchführt. Mit Hilfe verschiedener Methoden zur Informationsbeschaffung werden Schwachstellen am externen Perimeter identifiziert und unter Ausnutzung dieser versucht, das Unternehmensnetzwerk zu infiltrieren.

Beispiele:

  • Ein veraltetes Testsystem mit bekannten Schwachstellen ist im Internet exponiert. Es wird versucht, das System zu kompromittieren.
  • Interne Anmeldedaten sind durch fehlerhafte Konfiguration frei im Internet verfügbar und werden vom Angreifer genutzt.

Physical Breach

Wir agieren wie ein Angreifer, welcher durch gezielte Täuschung versucht, den physischen Perimeter-Schutz zu überwinden und ein präpariertes Gerät am Unternehmensstandort zu installieren. Ziel ist es, die Sicherheitsmaßnahmen vor Ort zu überwinden und sich unbemerkt Zugriff auf das Unternehmensnetzwerk zu verschaffen (z. B. durch die Platzierung eines Mini-PCs).

Beispiele:

  • Ihr Unternehmen verfügt über mehrere Filialen, welche an das zentrale Unternehmensnetzwerk angebunden sind. Der Angreifer versucht, die Filialinfrastruktur vor Ort zu infiltrieren und sich darüber Zugriff zum Unternehmensnetzwerk zu verschaffen.
  • Einer Ihrer Unternehmensstandorte verfügt über verschiedene, teils öffentliche Bereiche – von der Lobby und Kantine, über die Büros bis zur Produktionshalle. Ein Angreifer versucht, Zugangswege für Gäste, Mitarbeiter und Lieferanten auszunutzen und in die Produktionshalle vorzudringen.

Social Engineering

Der Fokus von Social Engineering liegt auf dem Ausnutzen menschlicher Faktoren. Das Ziel ist es, Mitarbeiterinnen und Mitarbeiter in ihren jeweiligen Rollen zur Preisgabe von sensiblen Informationen oder zur Ausführung bestimmter Aktionen zu verleiten. Ausgehend von einer erfolgreichen Kompromittierung wird versucht, die Unternehmensinfrastruktur zu infiltrieren.

Neben klassischem Phishing per E-Mail sind auch alternative Kommunikationswege wie zum Beispiel Messenger-Dienste oder Social Media möglich.

Beispiele:

  • Über LinkedIn werden relevante Zielpersonen ermittelt. Zusammen mit einer im Internet exponierten Login-Seite wird eine individuelle Spear-Phishing-Kampagne konzipiert, um an Login-Daten zu gelangen.
  • Ein Angreifer gibt sich als jemand aus, der eine vertrauenswürdige Beziehung zum Opfer hat und erfindet ein Szenario, um das Opfer zur Herausgabe sensibler Informationen zu bewegen.

Vorgehensweise bei einer Red Teaming Kampagne

Das Ziel der Red Teaming Kampagne ist es, unter realen Bedingungen zu simulieren, welche Auswirkungen ein Cyberangriff auf das Zielunternehmen hätte. Um mögliche Auswirkungen auf Betriebsprozesse und IT-Systeme zu minimieren, ist eine enge Abstimmung zwischen den Beteiligten von hoher Bedeutung.

Beteiligte Akteure 

Die folgenden Akteure sind an der Durchführung der Kampagne beteiligt:

  • Blue Team – Das Blue Team stellt den Verteidiger dar, der die Infrastruktur gegen Angriffe schützt. Hierbei handelt es sich um die IT-Abteilung des Zielunternehmens. Um die Simulation möglichst realistisch zu gestalten, wird das Blue Team in der Regel nicht über die laufende Kampagne informiert.
  • Red Team – Unsere Experten agieren nach den vereinbarten Rules of Engagement und stellen als Red Team den Angreifer dar.
  • White Team – Das White Team steuert die Kampagne und steht im regelmäßigen Austausch mit dem Red Team. Es besteht aus ein bis zwei Personen, welche Kenntnis über die Infrastruktur des Unternehmens haben. Zentrale Aufgabe des White Teams ist es, sicherstellen zu können, dass mögliche Beeinträchtigungen ohne große Verzögerungen gelöst werden können.


Ablauf der Red Teaming Kampagne

Die detaillierten Schwachstellen und Wege, über die ein Angreifer in das Unternehmen eindringen bzw. weiter innerhalb des Netzwerks vordringen kann, sind stark vom jeweiligen Unternehmen abhängig. Der grundlegende Ablauf der Red Teaming Kampagne lässt sich in die folgenden Stufen gliedern:


Nachfolgend werden die einzelnen Schritte der Testphase im Detail beschrieben:

Aufklärung (Reconnaissance)

In der Aufklärungsphase werden Informationen über das zu prüfende Unternehmen gesammelt. Diese Informationen werden aus frei verfügbaren Quellen mittels Open-Source Intelligence (OSINT) beschafft.

Ziel ist es, ein Lagebild zu erhalten und mögliche Angriffspfade zu identifizieren, welche für den weiteren Verlauf der Red Teaming Kampagne essenziell sind.

Initialer Zugriff (Initial Access)

Der initiale Zugriff auf das Netzwerk erfolgt über den im Vorfeld vereinbarten Einstiegspunkt. Die folgenden Einstiegspunkte sind hierbei möglich:

Persistierung im Unternehmensnetzwerk und Erweiterung des Zugriffs (Post-Exploitation)

Die Post-Exploitation Phase ist die Kernphase der Kampagne und beinhaltet mehrere wiederkehrende Schritte:

  • Maßnahmen zum Erhalt von persistentem Zugriff (Persistence)
  • Sammlung von Informationen über das kompromittierte System (Situational Awareness)
  • Analyse der Netzwerkumgebung, weiterer Systeme, Nutzer oder Applikationen ausgehend vom kompromittierten System (Internal Reconnaissance) 
  • Erweiterung der Berechtigungen durch das Ausnutzen von Fehlkonfigurationen oder Schwachstellen (Privilege Escalation)
  • Ausweitung des Zugriffs auf weitere Systeme, Nutzer oder Applikationen (Lateral Movement)

Erreichens der Kampagnenziele (Objectives)

Das Erreichen der für die Kampagne festgelegten Ziele wird dem White Team durch gemeinsam definierte Aktionen nachgewiesen, beispielweise:

  • Erstellen eines Benutzers mit den höchsten Berechtigungen
  • Zugriff auf relevante Serversysteme
  • Exfiltrieren von sensiblen Unternehmensdaten

Methodiken und Frameworks

Es existieren viele etablierte Methodiken und Frameworks, welche als Leitfaden für eine Red Teaming Kampagne dienen. Ziel ist es sicherzustellen, dass die Ergebnisse stets vergleichbar sind und Regularien wie dem Digital Operation Resilience Act (DORA) oder NIS-2 entsprechen. 

  • Das MITRE ATT&CK Framework (Adversarial Tactics, Techniques & Common Knowledge) beinhaltet Angriffstaktiken und -verfahren (Tactics, Techniques and Procedures), welche auf der Grundlage von realen Beobachtungen bei Cyberangriffen entstanden und von Sicherheitsexperten dokumentiert worden sind.
  • Threat-Led Penetration Testing  ist eine Weiterentwicklung des Threat Intelligence-based Ethical Red Teaming Frameworks (TIBER), welches als Rahmenwerk für Red Teaming Kampagnen im Finanz- und Bankensektor gilt und in Kombination mit der Verordnung DORA zum Einsatz kommt.
  • Die Lockheed Martin Cyber Kill Chain beschreibt die Vorgehensweisen eines Angreifers in mehreren aufeinander aufbauenden Stufen.

Kontaktieren Sie uns!