:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
CISOs schützen Systeme mit Simulationen Das bringen Red-Team- und Blue-Team-Übungen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Während ein „rotes Team“ sich in ein Netzwerk einhackt, versucht das „blaue Team“ den Angriff angemessen abzuwehren. Solche Trainingsstrategien aus dem Militärbereich sind bei der Bewertung von Schwachstellen sehr hilfreich und geben Security-Teams die Möglichkeit, in Simulationen zu üben.
Das Ziel einer Rot-Team- und Blau-Team-Übung ist nicht nur, Sicherheitslücken zu identifizieren und zu schließen, sondern auch die Schulung von Sicherheitspersonal und Management. Der Gedanke dahinter ist recht einfach: Eine Gruppe von Sicherheitsexperten (rotes Team) greift ein Netzwerk bzw. System eines Unternehmens an, und eine gegnerische Gruppe (blaues Team) verteidigt es. Ursprünglich wurden die Übungen vom Militär genutzt, um ihre Einsatzbereitschaft zu testen. Sie wurden ebenfalls dazu verwendet, um die physische Sicherheit sensibler Standorte zu testen.
:quality(80)/p7i.vogel.de/wcms/1d/88/1d885d7f07be0ea7e35f0fc17f94892f/90158893.jpeg "Die Red Teams decken Lücken mit Charme, gefälschten Keycards und technischer Expertise auf. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 24
So funktioniert Red Teaming
Abgrenzung zu Penetrationstests
Während Penetrationstests (Pentests) ein entscheidender Aspekt beim Testen von IT-Security-Infrastrukturen sind und sowohl manuelle Tests als auch kontinuierliche automatisierte Penetrationstests umfassen können, geht das „Red Teaming“ viel weiter. Das rote Team simuliert die Bedrohungen realer Hacker, wobei Pentests nur als eine Art Vorstufe dazu bezeichnet werden können.
Abhängig vom vereinbarten Umfang der Übung kann das rote Team alle Techniken verwenden, die echten Angreifern zur Verfügung stehen, um simulierte Angriffe durchzuführen, Sicherheitslücken auszunutzen und an sensible Daten zu gelangen.
Das bedeutet nicht nur Angriffe auf die IT-Infrastruktur, Netzwerksicherheit und Anwendungssicherheit, sondern auch der Versuch, die physische Sicherheit zu umgehen. Die Angriffe eines roten Teams können unter Umständen sogar mehrere Wochen dauern und Social-Engineering-Angriffe wie beispielsweise Identitätsbetrug oder Phishing beinhalten – eine der Hauptursachen für Datenschutzverletzungen in Unternehmen.
Zusammenstellung des roten Teams
Der vielleicht einfachste Ansatz besteht darin, eine interne Gruppe von IT-Security-Experten zu einem roten Team zu ernennen, sofern diese Fähigkeiten vorhanden sind. Oftmals werden jedoch deutlich bessere Ergebnisse erzielt, wenn die Mitglieder des roten Teams externe Experten sind, die auf ethisches Hacken spezialisiert sind.
Dies führt häufig auch deshalb zu einer genaueren Bewertung der IT-Security-Abwehr, da interne Mitarbeiter möglicherweise einige Angriffsvektoren übersehen oder (absichtlich oder nicht) Tests in bestimmten Bereichen überspringen, die sie für gut gesichert halten. Zu den dedizierten roten Teams gehören in der Regel ethische Hacker, Pentester, Social-Engineering-Experten und andere IT-Security-Experten mit Erfahrung in der Umgehung verschiedener Sicherheitsmaßnahmen.
:quality(80)/p7i.vogel.de/wcms/c0/9c/c09c500509c2d498c4af5458d3f8382b/97218148.jpeg "Die Methoden der Cyberkriminellen werden immer komplexer und raffinierter. Arbeiten Sicherheitsteams schon beim Security Testing frühzeitig zusammen, erreichen sie schneller und effizienter mehr Sicherheit. (©Peter Atkins - stock.adobe.com)")
Dank schnellem Informationsaustausch gemeinsam zum Ziel
Hacking-Abwehr in Teamarbeit
Aufbau des blauen Teams
Bei einer Übung zwischen Team-Rot und Team-Blau ist das Team-Blau der Verteidiger. Wenn ein Unternehmen über ein dediziertes Security Operations Center (SOC) verfügt, kann es die SOC-Mitarbeiter als das blaue Team ernennen. Andernfalls könnte sich das blaue Team auch aus dem internen IT-Security-Team zusammensetzen.
Anmerkung zu einem violetten Team
Die Farbe Violett vermittelt die Vorstellung, dass es sich um eine Kombination aus roten und blauen Teams handelt, sodass beide zusammenarbeiten und auf diese Weise ihre Fähigkeiten verbessern können. Das bedeutet, dass Mitglieder beider Teams bei der Übung oder sogar im Rahmen ihrer Arbeit kooperieren und sich austauschen.
Durchführung der Übung
Im Gegensatz zu mehr oder minder einmaligen Aktivitäten wie beispielsweise Pentests, Risikobewertungen oder IT-Security-Audits wird bei einer Rot-Team- und Blau-Team-Übung die Belastbarkeit einer Organisation im Tagesgeschäft über einen längeren Zeitraum simuliert und getestet. Abhängig vom vereinbarten Einsatzumfang kann das rote Team diese Zeit nutzen, um alle Arten von Eingriffen auf alle Ebenen der Organisation zu starten. In Bezug auf die IT-Security können dies nicht nur direkte Angriffe auf Websites, Webanwendungen, Netzwerk-Infrastruktur und interne Systeme sein, sondern auch Social-Engineering-Tricks und Phishing-E-Mails, um Anmelde-Informationen zu erhalten oder Malware zu installieren.
Die physische Sicherheit kann auch untersucht werden, indem versucht wird, mithilfe gefälschten Mitarbeiter-IDs physischen Zugang zum Kunden-Standort und zu den Endpunkten zu erhalten oder sich einfach als Lieferfahrer, Reinigungskraft oder Bauarbeiter auszugeben.
Das verteidigende blaue Team muss auf der anderen Seite wachsam und organisiert bleiben, um Infiltrationsversuche zu erkennen und zu verhindern. Um sicherzustellen, dass die Übung umsetzbare Ergebnisse liefert, sollten erkannte Angriffe, ausgenutzte Sicherheitslücken und Blue-Team-Reaktionen sorgfältig protokolliert und dokumentiert werden, um sie nachträglich zu analysieren und zu beheben.
:quality(80)/images.vogel.de/vogelonline/bdb/1489900/1489955/original.jpg "Im Gegensatz zu einem Penetrationstest versuchen Security-Experten eines Red-Teams einen erfolgreichen, simulierten Angriff bis zum Ende durchzuführen. (Pixabay)")
Angriffssimulationen durch Red Teams
Anatomie eines simulierten Cyberangriffs
Vorteile dieser Übung
Durch die Simulation realer Angriffsszenarien liefern Red-Team- versus Blue-Team-Übungen wertvolle Informationen über den Zustand der IT-Security-Infrastruktur eines Unternehmens. In Kombination mit anderen laufenden IT-Security-Programmen wie beispielsweise IT-Security-Audits, physische IT-Security-Überprüfungen und kontinuierlichen Scans der Schwachstellen von Webanwendungen sind sie eine effektive Maßnahme, um Schwachstellen zu beseitigen und eine robuste Sicherheitslage in einer sich ständig weiterentwickelnden Bedrohungsumgebung aufrechtzuerhalten.
Eine Rot-Team- und Blau-Team-Übung kann viele Vorteile bieten und IT-Security-Teams zu folgenden Resultaten zu verhelfen:
- Identifikation von Schwachstellen.
- Netzwerksicherheit stärken.
- Wertvolle Erfahrungen in der Erkennung und Eindämmung von Bedrohungen sammeln.
- Entwicklung von Reaktionsplänen und –verfahren.
- Gesunden Wettbewerb und Kooperationen schaffen.
- Schärfung des Sicherheitsbewusstseins bei Mitarbeitern.
(ID:49581400)
:quality(80)/p7i.vogel.de/wcms/e8/dd/e8dd9cd92a19a52f7c87ed0d08991525/0109794094.jpeg "Die proaktive Arbeit der ethischen Hacker trägt dazu bei, die Sicherheitslage eines Unternehmens zu optimieren. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")