Suchen

Definition Red Team Was ist ein Red Team?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Ein Red Team führt Sicherheits- und Penetrationstests aus der Perspektive echter Angreifer durch. Es besteht aus einer unabhängigen Gruppe qualifizierter Sicherheitsexperten mit Angreifer-Know-how. Gegner des Red Teams ist das Blue Team. Im Blue Team sind die interne IT-Experten einer Organisation versammelt, die für die Sicherheit der IT-Systeme verantwortlich sind und Cyberangriffe abwehren sollen.

Firmen zum Thema

Ein Red Team dient der Überprüfung von IT-Systemen durch Sicherheits- und Penetrationstests aus der Perspektive echter Angreifer.
Ein Red Team dient der Überprüfung von IT-Systemen durch Sicherheits- und Penetrationstests aus der Perspektive echter Angreifer.
(Bild: gemeinfrei / Pixabay )

Red Team ist ein Begriff aus dem Bereich der IT-Sicherheit. Red Teams führen Sicherheits- und Penetrationstests aus der Perspektive echter Angreifer durch. Sie versuchen an sensible Daten zu gelangen oder in IT-Systeme und -Netzwerke einzudringen. Unternehmen beauftragen ein Red Team, um die Sicherheit und die Abwehrmechanismen zu testen und mögliche Schwachstellen aufzuzeigen. Aus den Ergebnissen eines Red-Team-Penetrationstests lassen sich Maßnahmen ableiten, um die IT-Sicherheit einer Organisation zu verbessern. Das Red Team setzt sich aus unabhängigen Sicherheitsexperten zusammen. Sie besitzen spezifische Fachkenntnisse in verschiedenen sicherheitsrelevanten Themengebieten und sind mit qualifiziertem Angreifer-Know-how ausgestattet. Die Angriffe des Red Teams verursachen keine tatsächlichen Schäden, da keine echte Schadsoftware aktiviert wird und Datenzugriffe nicht für unberechtigte Aktionen ausgenutzt werden. Ziel der Angriffe des Red Teams ist es, sicherheitsrelevante Prozesse, Mitarbeiter und Technologien unter realistischen Angriffsszenarien zu prüfen. Als echter oder virtueller Gegner des Red Teams agiert meist ein Blue Team. Im Blue Team sind die internen IT-Experten einer Organisation versammelt, die für die Sicherheit der IT-Systeme verantwortlich sind und deren Aufgabe es ist, Hackerangriffe zu erkennen und abzuwehren.

Zusammensetzung eines Red Teams

Ein Red Team besteht aus mehreren Personen. Sie decken verschiedene Bereiche der IT-Sicherheit ab und besitzen spezifische Fachkenntnisse. Es handelt ich um Sicherheitsexperten, Systemadministratoren, Netzwerkspezialisten, Programmierer oder Protokollspezialisten. Oft befinden sich in Red Teams auch ehemalige oder aktive Hacker, die ihre Kenntnisse für Sicherheitsüberprüfungen nutzen. Das Red Team organisiert sich in der Regel selbst und agiert mit hoher Eigenständigkeit und Flexibilität.

Abgrenzung zum Blue Team

In einem Blue Team sind die oranisationsinternen IT-Spezialisten versammelt, die für die Sicherheit der Systeme verantwortlich sind. Sie analysieren die vorhandenen Systemen, beseitigen Schwachstellen und stellen die Effizienz und Wirksamkeit von Sicherheitsmaßnahmen sicher. Sie sind sowohl für die Erkennung und Abwehr von Angriffen echter Angreifer oder Red Teams als auch für die allgemeine Verbesserung der Sicherheitslage der IT-Infrastruktur verantwortlich. Um ein realitätsnahes Bild der Sicherheitslage zu erhalten, ist es sinnvoll, Blue Teams nicht über die beauftragten Tests und Angriffsversuche eines Red Teams zu informieren.

Ziele der Tests eines Red Teams

Vorrangiges Ziel der Tests eines Red Teams ist es, festzustellen, wie gut IT-Systeme gegen verschiedene Angriffsmethoden geschützt sind und mögliche Schwachstellen zu finden. Im Fokus stehen verschiedene sicherheitsrelevante Themen wie Netzwerksicherheit, Endgerätesicherheit, Serversicherheit, physische Sicherheit, Mitarbeiterverhalten und organisatorische Sicherheitsmaßnahmen. Das Red Team prüft sowohl das Blue Team als auch normale Mitarbeiter. Fragestellungen der Tests sind beispielsweise:

  • wie reagiert das Blue Team auf Angriffe?
  • wie wirksam sind die Maßnahmen?
  • wie verhalten sich Mitarbeiter?
  • wie ist es um die physische Sicherheit bestellt?
  • werden Sicherheitsvorgaben eingehalten?

Testcharakteristika und Festlegung des Testumfangs

Red Teams führen zielgerichtet Penetrationstests durch. Die Mitarbeiter des Unternehmens sind über die Tests in der Regel nicht informiert. Allerdings unterliegen die Tests einem festgelegten Rahmen. Echte Schäden dürfen nicht entstehen. Dem Red Team genügt es, wenn es gelingt, Zugang zu bestimmten Daten oder Systemen zu erlangen oder es die Möglichkeit hat, potenziell schädliche Software einzuschleusen. Im Vorfeld lassen sich bestimmte Bereiche von den Tests ausschließen. So dürfen beispielsweise bestimmten Orte nicht betreten, definierte Systeme nicht angegriffen, bestimmte Methoden nicht benutzt oder bestimmte Personen nicht ausgeforscht werden. Um ein realistisches Bild zu erhalten, sollten jedoch ausgewählten Ziele und der Umfang der Tests möglichst wenig vom beauftragenden Unternehmen eingeschränkt werden.

Mögliche Methoden eines Red Team Tests

Red Teams setzen unter anderem folgende Methoden für ihre Tests ein:

  • Phishing
  • Social Engineering
  • Einschleusen von Schadsoftware
  • Ausnutzen nicht geschlossener Sicherheitslücken
  • Ausspionieren von Zugangskennungen
  • Zugangsversuche zu bestimmten Räumlichkeiten
  • Angriffe auf Netzwerkebene und unautorisierte Netzwerkzugriffe
  • Umgehen von Zugangskontrollen und -sperren
  • Ausnutzen der Schwachstelle Mensch
  • unberechtigte Rechteerweiterung
  • Einsatz von Malware und Backdoors
  • Reverse Engineering

(ID:46400033)

Über den Autor