Immer mehr Unternehmen unterziehen ihre Sicherheitsarchitektur einem Stresstest. Bei sogenannten „Pentests“ werden externe IT-Spezialisten von Unternehmen mit dem Versuch beauftragt, die eigene Infrastruktur zu hacken. Das Ziel dabei ist, mit realistischen Angriffsmöglichkeiten die Sicherheitsarchitektur des Unternehmens herauszufordern. Wird ein solcher Angriff von der Sicherheit entdeckt oder gestoppt, spricht das für die Maßnahmen, die das Unternehmen bereits getroffen hat.
Nach jedem Einsatz bekommt das Unternehmen einen Bericht zu gefundenen Schwachstellen und wie sich diese beheben lassen. Diese externen Angriffssimulationen werden allgemein als „Red Teaming“ bezeichnet – im Gegensatz zum „Blue Team“, also der hauseigenen bzw. defensiven Sicherheitsabteilung.
Doch der Begriff bezieht sich nicht nur auf die IT-Komponente allein. Menschliche Faktoren und klassische Sicherheitsaspekte, wie der ungeschützte Zugang zu Gebäuden etc., können ebenfalls Risiken darstellen. Folglich sind diese Bereiche immer öfter Teil der Red Teaming Konzepte. Allerdings vernachlässigt die Mehrzahl der Unternehmen diese Bereiche immer noch sträflich – trotz der Tatsache, dass die meisten Angriffe derzeit durch Social Engineering erfolgen. Für gefährdete Unternehmen ist eine gute Objektsicherheit verpflichtend. Es gibt es immer wieder Fälle von Informationsabfluss oder Spionage, weil Türen offenstehen oder Fenster nicht richtig gesichert sind. Red Teaming ermöglicht wertvolle Einsichten in die Risikolandschaft des Unternehmens und gibt Hinweise, welche kritischen Schwachstellen beseitigt werden müssen, um den wirtschaftlichen Erfolg nicht zu gefährden.
Social Engineering
Unter Social Engineering versteht man die Beeinflussung von Menschen hin zu einem gewünschten Verhalten – meist in der Absicht, dem Zielunternehmen oder der Zielperson zu schaden. Kriminelle Social Engineers versuchen mittels falscher Identität, Verschleierungstaktiken und einer guten Überzeugungswirkung, Informationen von Mitarbeitenden zu entlocken. Dies kann im persönlichen Gespräch, telefonisch, per E-Mail oder über soziale Netzwerke erfolgen. Oft ist hierbei das Ziel, Informationen für den Zugang in ein IT-System zu erhalten – beispielsweise Passwörter, 2-Faktor-Authentifizierungscodes oder Antworten auf Sicherheitsabfragen. Aber auch Betriebsabläufe und physische Details des Firmengeländes können wertvolle Informationen darstellen. So sind beispielsweise Arbeitszeiten kritisch. Weiß man, dass der Mitarbeiter stets von 9 bis 17 Uhr im Büro ist, so hat man danach ungestörten Zugriff auf sein System (oder währenddessen freie Bahn, um im Privatwohnsitz einzubrechen). Social Engineering im Job kann also auch Auswirkungen auf Privatpersonen haben – zumal viele Social Engineers der organisierten Kriminalität angehören und unspezifische Ziele verfolgen – was sich lohnt, das lohnt sich.
Die Techniken der Informationsbeschaffung sind dabei stets darauf ausgerichtet, Vertrauen oder Druck aufzubauen. Sehr oft wird auch Phishing eingesetzt – der Begriff bezeichnet die Versendung von E-Mails mit schädlichen Links oder getarnter Schadsoftware im Anhang. Gibt der Mitarbeiter Passwörter oder Zugangsdaten auf der verlinkten Webseite an oder öffnet den E-Mail-Anhang, so ist der Rechner schnell infiziert oder übernommen und damit der Zugang zum System vorhanden. Solche E-Mails erwecken oft den Anschein von Partnerunternehmen oder potenziellen Kunden zu kommen, um Mitarbeiter zur Interaktion zu animieren.
Im Red Teaming wird häufig versucht, alle Arten von Social Engineering anzuwenden. Phishing-E-Mails sind schnell erstellt und werden großflächig an das Zielunternehmen verteilt. Treffer sind (leider) keine Seltenheit. Bei einem professionellen Test sollte aber auch überprüft werden, ob Mitarbeiter per Telefon oder im persönlichen Gespräch sicherheitskritische Daten herausgeben.
Physische Sicherheit
Ein umfassendes Assessment kombiniert Social Engineering, IT und physische Sicherheit. Mit physischer Sicherheit sind sämtliche Aspekte der Objektsicherheit gemeint, die weder in den IT-Bereich fallen noch Social Engineering direkt betreffen. Sie umfassen beispielsweise Türschlösser und -konfigurationen, die Umzäunung des Firmengeländes, Kontrollen an der Pforte, Schließsysteme und Zugangsberechtigungen.
Beim Assessment wird beispielsweise versucht, mit Methoden des Social Engineering auf das Firmengelände oder in Gebäude zu gelangen. Eine Form ist das „Tailgating“, bei dem Angestellte, welche die Tür öffnen, genutzt werden, um selbst mit ins Gebäude zu kommen – ohne Schlüssel! Auch physische Methoden (Schlösser knacken, durch Fenster steigen etc.) werden genutzt, um in das Gelände oder die Räumlichkeiten des Unternehmens einzudringen und an die Rechnersysteme, Lagerräume o.ä. zu kommen. Oftmals stellt sich heraus, dass das Personal einfacher zu überlisten ist als die Technik oder das Schloss.
Nach dem Red Teaming wird ein Bericht erstellt, der je nach Sicherheitsstatus und Auftragsumfang umfassender ausfallen kann. Motto jedes Red Teaming Einsatzes ist aber dennoch: Erwischt werden ist gut – schließlich ist es eine Angriffssimulation. Die Chance, dass ein bösgewillter Angreifer ebenfalls erwischt würde, ist hoch. Ein Einsatz, der sofort vom Personal bemerkt wird, ist kein Scheitern. Er ist ein Zeichen für Resilienz.
Fazit
Wer das eigene Unternehmen auf Herz und Nieren testen will, kommt an Red Teaming nicht vorbei. Insbesondere die Gefahr durch externe Spionage oder Sabotage kann durch einen solchen Auftrag mit Social Engineering und physischer Testung gut eingeschätzt werden. Man sollte sich allerdings bewusst sein, dass ein solcher Auftrag zu Folgekosten führen kann, denn frei von Mängeln ist kein Unternehmen.
Red Teaming zeigt auf, welche weiteren Investitionen in Sicherheit notwendig sind. Ob das Schulungen für das Personal sind, wiederholte Phishing-Tests, eine Überholung der digitalen Infrastruktur oder neue Türen und Zäune, es gibt immer Aspekte, die man verbessern könnte. Gerade bei den Empfehlungen trennt sich die Spreu vom Weizen. Ein gutes Assessment erkennt man daran, dass zwar alle Bereiche, die ein Risiko darstellen können, geprüft und getestet werden, die vorgeschlagenen Maßnahmen jedoch 1) umsetzbar und 2) realistisch sind bzw. 3) im Budget liegen. Überzogene oder unverhältnismäßige Maßnahmen sind weder für die Berater noch für die Kunden zielführend.
Der Autor:
Oliver Reithmaier ist Consultant im Bereich Informationsschutz und Social Engineering bei Corporate Trust in München.
Kontakt: reithmaier@corporate-trust.de
Corporate Trust Sicherheitsblog 