Hacker sind eigentlich der größte Alptraum von Unternehmen – und dennoch beauftragen immer mehr Konzerne sie, um durch gezielte Angriffe Schwachstellen in der Unternehmens-IT offenzulegen. Eine besondere Rolle kommt dabei den „Red Teams“ zu. Im Interview berichtet der erfahrene Security-Experte Nico Leidecker von NVISO, was die Vorteile von ethischem Hacken sind und worauf es dabei zu achten gilt.
Herr Leidecker, was genau ist „Red Teaming“ und wie unterscheidet es sich von anderen Formen des Ethical Hacking?
Red Teaming ist eine spezialisierte Form des Ethical Hackings, bei der ein Team von Sicherheitsexperten (das „Red Team“), beauftragt wird, realistische Angriffsszenarien auf ein Unternehmen zu simulieren. Diese Simulationen sind darauf ausgerichtet, Schwachstellen in der IT-Infrastruktur, den Prozessen, aber auch den Mitarbeitern und der physischen Sicherheit des Unternehmens aufzudecken, die von böswilligen Akteuren ausgenutzt werden könnten. Red Teams verwenden dabei Taktiken, Techniken und Prozeduren (TTPs), die von echten Bedrohungsakteuren bekannt sind, um die Verteidigungsmechanismen eines Unternehmens auf die Probe zu stellen.
Der Hauptunterschied zwischen Red Teaming und anderen Formen des Ethical Hackings, wie Penetrationstests, liegt im Umfang und der Herangehensweise. Während Penetrationstests sich in der Regel auf das Identifizieren und Ausnutzen technischer Schwachstellen in spezifischen Systemen konzentrieren, umfasst Red Teaming auch physische und soziale Angriffsmethoden, wie Social Engineering oder physische Infiltration. Das Ziel ist es, die Reaktion des gesamten Sicherheitsapparats eines Unternehmens zu testen, einschließlich der menschlichen und organisatorischen Komponenten.
Ein weiterer Unterschied ist das Ziel der Übung. Red Teaming zielt darauf ab, die gesamte Sicherheitslage eines Unternehmens zu bewerten und zu verbessern, indem es die Reaktionsfähigkeit auf komplexe, mehrschichtige Angriffe testet. Im Gegensatz dazu sind Penetrationstests oft darauf fokussiert, technische Schwachstellen zu identifizieren und zu beheben, ohne den Kontext eines spezifischen Angreifers zu berücksichtigen. Durch diese umfassende Herangehensweise bietet Red Teaming wertvolle Einblicke, wie gut ein Unternehmen gegen fortgeschrittene und gezielte Angriffe gewappnet ist.
Warum gewinnt Red Teaming in der heutigen Cloud-basierten IT-Umgebung an Bedeutung?
Red Teaming gewinnt in der heutigen Cloud-basierten IT-Umgebung zunehmend an Bedeutung, da es Unternehmen ermöglicht, ihre Sicherheitsmaßnahmen gegen fortschrittliche und realistische Bedrohungsszenarien zu testen. Mit der zunehmenden Verlagerung von IT-Infrastrukturen in die Cloud stehen Unternehmen vor neuen Herausforderungen in Bezug auf Sicherheit und Datenschutz. Cloud-Umgebungen sind oft dynamisch und komplex, was es schwieriger macht, alle potenziellen Schwachstellen zu identifizieren und zu beheben.
Darüber hinaus hilft Red Teaming Unternehmen dabei, ihre Sicherheitsstrategien kontinuierlich zu verbessern. Die Erkenntnisse aus den Simulationen ermöglichen es, bestehende Sicherheitslücken zu schließen und die Reaktionsfähigkeit auf tatsächliche Bedrohungen zu erhöhen. In einer Zeit, in der Cyberangriffe immer ausgeklügelter werden und die Bedrohungslandschaft sich ständig verändert, bietet Red Teaming einen proaktiven Ansatz, um die Sicherheit in Cloud-basierten IT-Umgebungen zu stärken.
Können Sie konkrete Beispiele nennen, wie durch Red Teaming schwerwiegende Sicherheitslücken in Cloud-Infrastrukturen aufgedeckt wurden?
In vergangenen Red Team-Übungen haben wir mehrere schwerwiegende Sicherheitslücken aufgedeckt. Ein bemerkenswertes Beispiel betraf eine hybride Cloud-Umgebung, in der Benutzer über ein lokales Active Directory verwaltet wurden. Durch gezielte interne Phishing-Angriffe gelang es in kürzester Zeit, die Zugangsdaten eines Mitarbeiters mit Administratorrechten in der Cloud zu erlangen. Entscheidend war im nächsten Schritt das Fehlen einer Zwei-Faktor-Authentifizierung (2FA) bei der Anmeldung in die Cloud-Umgebung. Diese kurze Angriffskette führte letztlich zur vollständigen Kompromittierung der Cloud-Infrastruktur ohne, dass der Angriff erkannt wurde. Wäre 2FA implementiert gewesen, hätte dieser Angriffsweg nicht zum Erfolg geführt. Wir hätten deutlich mehr Risiken eingehen müssen, was möglicherweise zu einer Entdeckung geführt hätte. Dieses Beispiel verdeutlicht, wie bedeutend selbst scheinbar kleine Sicherheitsmaßnahmen sein können, um die Integrität einer gesamten IT-Infrastruktur zu schützen.
Die technische Sicherheit ist das eine, doch welche Rolle spielt Social Engineering bei den simulierten Hacker-Angriffen?
Social Engineering ist ein zentraler Aspekt bei echten und simulierten Cyber-Angriffen, da es gezielt die menschlichen Schwächen in der Sicherheitsarchitektur ausnutzt. Während technische Sicherheitsvorkehrungen wichtige Barrieren gegen unbefugten Zugriff darstellen, bleibt der Mensch oft das anfälligste Element. Social Engineering umfasst Techniken, die psychologische Manipulation einsetzen, um Personen dazu zu bringen, vertrauliche Informationen preiszugeben oder sicherheitskritische Handlungen vorzunehmen.
Ein häufiges Beispiel für Social Engineering ist das klassische Phishing, bei dem Angreifer überzeugend gestaltete E-Mails verwenden, um Benutzer dazu zu verleiten, auf schädliche Links zu klicken oder sensible Daten preiszugeben.
Eine andere Variante ist das „Vishing“, oder Voice Phishing. Hierbei verwenden Angreifer Telefongespräche, um Informationen zu stehlen. Techniken wie Caller-ID-Spoofing werden eingesetzt, um Anrufe so erscheinen zu lassen, als kämen sie von legitimen Quellen. In Kombination mit Deepfakes, bei denen künstliche Intelligenz genutzt wird, um täuschend echte Stimmen zu erzeugen, wird es zunehmend schwieriger, solche Angriffe zu erkennen. Während Phishing mittels E-Mails häufig Bestandteil von Awareness-Schulungen ist, und Mitarbeiter entsprechend sensibilisiert sind, ist man mit Vishing-Angriffen eher weniger vertraut.
Hacker einzubinden, kennt man bisher eher von Großkonzernen oder KRITIS-Betreibern. Wie können auch KMU davon profitieren und weshalb sollten auch sie diesen Schritt in Erwägung ziehen?
Auch KMUs stehen zunehmend im Fokus von Cyberangriffen, da sie auch oft weniger Ressourcen für IT-Sicherheit zur Verfügung haben als große Konzerne. Auch hier spielen also Angriffsimulationen eine wichtige Rolle. Bei der Planung einer solchen Simulation berücksichtigen wir auf die Bedürfnisse und die Ressourcen des Unternehmens. So können wir auch für KMUs realistische Angrifssszenarien wie beispielsweise die Simulation eines Randsomwareangriffes durchführen. Solche Simulationen helfen KMUs, die Effektivität ihrer bestehenden Sicherheitsmaßnahmen zu bewerten und gezielte Verbesserungen vorzunehmen. Darüber hinaus fördern sie das Sicherheitsbewusstsein der Mitarbeiter und bereiten das Unternehmen besser auf potenzielle Cyberangriffe vor.
Wie wird man überhaupt zum „Ethical Hacker“? Welche Fähigkeiten muss man besitzen und gibt es standardisierte Ausbildungswege?
Neben einer formalen Ausbildung im Bereich der Informationssicherheit sind insbesondere praktische Fähigkeiten entscheidend. Ethical Hacker müssen sich mit verschiedenen Hacking-Tools und Techniken vertraut machen, um Schwachstellen in Systemen effektiv zu identifizieren und auszunutzen. Zertifizierungen wie Offensive Security Certified Professional (OSCP) oder Certified Red Team Operator (CRTO) bieten strukturierte Lernpfade und sind weithin anerkannte Qualifikationen, die das Wissen und die grundlegenden Fähigkeiten eines Ethical Hackers validieren. Ebenso ist das „Mindset“ nicht zu vernachlässigen. Ich bin davon überzeugt, dass ein guter „Ethical Hacker“ großes Interesse an einem kontinuierlichen Lernen und Anpassung hat, dass man die Ursache der gefundenen Schwachstellen verstehen und damit experimentieren möchte. Dadurch entwickelt man sich und seine Fähigkeiten stets weiter.
Danke für das Gespräch, Herr Leidecker!
