Rot gegen Blau – Spie­le­risch zu mehr IT-Sicherheit

Unab­hängig von der Größe oder Branche einer Orga­ni­sation, ist der effek­tivste Weg die IT-Sicherheit zu über­prüfen, Angriffe auf das interne System vor­zu­nehmen. Bei einem Red/Blue Team Asses­sement werden Cyber­an­griffe simu­liert, um die Stärke der vor­han­denen Sicher­heits­funk­tionen des Unter­nehmens zu bewerten und Bereiche mit Ver­bes­se­rungs­bedarf in einer Umgebung mit geringem Risiko zu identifizieren.

In Anlehnung an mili­tä­rische Trai­nings­übungen begibt sich das rote Team in die Rolle des Angreifers und setzt reale geg­ne­rische Tech­niken ein, um die IT-Umgebung der Orga­ni­sation zu mani­pu­lieren. Es besteht größ­ten­teils aus Com­­puter- und Netzwerk-Expert:innen (siehe auch [externe] Ethische Hacker), die wissen wie man Systeme angreift und in Ver­tei­di­gungs­systeme ein­bricht, jedoch keine Kennt­nisse über die ein­ge­setzten Schutz­me­cha­nismen der besagten Orga­ni­sation besitzen. Hier werden ver­schiedene Methoden ein­ge­setzt, um sich Zugang zum Netzwerk zu ver­schaffen. Bei­spiele hierfür sind:

• Pene­tra­ti­onstest (kurz Pentest)
• Social Engi­neering
• Phishing
• Port Scans

Das blaue Team auf der anderen Seite, das aus Sicherheitsexpert:innen besteht, stellt die Defensive da. Sie sind für die Auf­recht­erhaltung der internen Netz­werk­ver­tei­digung gegen Cyber­an­griffe ver­ant­wortlich. Im Wissen um interne Geschäfts­ziele und Sicher­heits­stra­tegien, schützen sie die wich­tigen Res­sourcen der Orga­ni­sation vor jeg­licher Art von Bedrohung. Bei­spiele für mög­liche Auf­gaben des blauen Teams sind unter anderem:

• Risk Assessment
• Auf­stellen von Passwortrichtlinien
• Mit­ar­bei­tende schulen
• Durch­führen von Datenanalysen
• DNS Audits (domain name system)
• Einsatz von IDS- und IPS-Software als defektive und prä­ventive Sicherheitskontrolle
• Durch­führen von DDoS-Tests (Dis­tri­buted Denial of Service)

Obwohl rote und blaue Teams ein gemein­sames Ziel haben — die all­ge­meine Sicher­heitslage des Unter­nehmens zu stärken — sind sie oft poli­tisch nicht auf einer Seite. Hier kommt ein zusätz­liches Team — das Purple Team — ins Spiel. Ziel dieses Teams ist es sowohl das rote als auch das blaue Team zusam­men­zu­bringen und sie zu moti­vieren, als Team zu arbeiten, um Erkennt­nisse aus­zu­tau­schen und eine Feed­back­schleife zu schaffen, um das zuvor erwähnte gemeinsame Ziel beider Teams zu erreichen.

Die Kom­mu­ni­kation zwi­schen den beiden Teams ist der wich­tigste Faktor für ein erfolg­reiches Resultat der Übung. Wenn die Red/Blue Team Assess­ments abge­schlossen ist, sammeln beide Teams Infor­ma­tionen und berichten über ihre Erkennt­nisse. Das rote Team teilt dem blauen Team mit, ob es gelungen ist, die Ver­tei­di­gungs­maß­nahmen zu durch­dringen, und gibt Hin­weise, wie ähn­liche Ver­suche in einem realen Sze­nario abge­wehrt werden können. Ebenso sollte das blaue Team das rote Team darüber infor­mieren, ob seine Über­wa­chungs­ver­fahren einen Angriffs­versuch auf­ge­spürt haben oder nicht. Beide Teams sollten dann zusam­men­ar­beiten, um bei Bedarf stärkere Sicher­heits­kon­trollen zu planen, zu ent­wi­ckeln und zu imple­men­tieren, um das höchste Maß an IT-Sicherheit in der Orga­ni­sation zu gewährleisten.