Die Ausdrücke Penetration Test und Red Teaming sind Begriffe aus dem Bereich Cybersecurity. Doch was ist Red Teaming genau? Und worum geht es bei Penetration Tests? Was sind die Unterschiede zwischen den beiden Begriffen?
Was ist ein Penetration Test?
Bei einem Penetration Test oder umgangssprachlich auch «Pentest» wird ein System systematisch auf technische Schwachstellen überprüft. Jedes Unternehmen verfügt über eine einzigartige IT-Infrastruktur, weshalb das Vorgehen bei Pentests stets individuell ist. Es kommen unterschiedliche Techniken wie beispielsweise semiautomatische Schwachstellen-Scans, API Monitoring oder Reserve Engineering zum Einsatz. Auch die Informationslage vor Penetration Tests ist ausschlaggebend, denn es gibt den White-, Grey- oder Black-Box-Ansatz, bei denen den Pentestern jeweils alle bis beinahe keine Informationen zum Untersuchungsobjekt vorliegen. Diese Faktoren haben Einfluss auf den Ablauf eines Pentests.
Ein Unterschied vom Penetration Test zum Red Teaming ist, dass der Pentest bei der Identifikation von Schwachstellen endet. Beim Red Teaming hingegen werden die Schwachstellen aktiv ausgenutzt. Wie dies genau ablaufen kann, erfahren Sie im weiteren Verlauf des Textes.
Was ist eine Schwachstelle eines Systems? Was kann man sich darunter vorstellen?
Eine Schwäche oder eine Schwachstelle ist die nicht vorhandene Fähigkeit, einer böswilligen Aktion standzuhalten. Ein Beispiel dafür ist eine sogenannte «SQL-Injection», bei dem in jede Art von Eingabefeld bösartiger Code eingegeben werden kann und dann an den Server gesendet wird. Die eingegebenen Daten können nicht so gelesen werden, wie es vom Programm ursprünglich vorgesehen wäre. Stattdessen führt der Code eine Aktion in der Datenbank aus, die zur Kompromittierung eines Systems führen kann.
Was ist Red Teaming?
Der Begriff Red Teaming stammt wie auch sein Gegenpart Blue Teaming aus dem Militär. Eine Gruppe von offensiven Experten (Red Team) greift etwas an und eine andere Gruppe von defensiven Experten (Blue Team) verteidigt es.
Als Red Teaming in der Cybersecurity-Welt wird ein simulierter Angriff auf ein Unternehmen, den Menschen oder ein System bezeichnet. Ein Red Teaming basiert immer auf einem Szenario. Dabei werden anders wie beim Penetration Test nicht nur Schwachstellen gesucht, sondern diese auch ausgenutzt. Dadurch kann das Zusammenspiel der vorhandenen Sicherheitskomponenten geprüft werden. Das Ziel eines solchen Audits ist nicht das Suchen nach allen möglichen Schwachstellen, sondern das Identifizieren von Schwachstellen, welche eine Kompromittierung eines Systems erlauben. Somit kann es durchaus vorkommen, dass ein System noch weitere Schwachstellen besitzt, welche während des Audits nicht direkt berücksichtigt werden.
Ein weiterer wichtiger Unterschied zwischen Penetration Testing und Red Teaming ist, dass beim Pentest technische Schwachstellen identifiziert werden. Beim Red Teaming wird zusätzlich auch nach organisatorischen Schwächen gesucht, beispielsweise ein Mitarbeiter, der eine Türe offen lässt, wodurch ein Angreifer unbemerkt in ein Unternehmen eindringen kann.
Ziel eines Red-Teaming-Projekts könnte sein, herauszufinden, wie weit ein Angreifer, der sich Zugriff auf ein Laptop verschaffen konnte, käme. So wird beispielsweise versucht, möglichst hohe Rechte im Windows Active Directory zu erlangen.
Dazu werden entsprechende schwache Konfigurationen, fehlende Patches sowie ungeschützte Zugangsmöglichkeiten so miteinander kombiniert, dass daraus eine Kill Chain entsteht, über welche betroffenen Systeme komplett kompromittiert werden. Auch der Begriff «Kill Chain» ist ein militärisches Konzept und bezeichnet den Ablauf eines Angriffs.
Oftmals kommen auch simulierte Angriffe auf den Faktor Mensch zum Einsatz, wie das sogenannte «In-Person Social Engineering». Ziel dabei ist es, über physische und persönliche Interaktionen an Daten, Informationen oder auch Dokumente zu kommen, zu denen unbefugte Personen sonst keinen Zugang haben.
In einem Social Engineering werden die Gutmütigkeit, Hilfsbereitschaft aber auch das Unwissen einer Person ausgenutzt, um z.B. physisch in die Firma einzubrechen. Für diese Art von Arbeit braucht es gute Nerven. Oftmals wissen die Mitarbeitenden der angegriffenen Firma nichts von dem simulierten Angriff. Aus diesem Grund sollte ein Social Engineer schauspielerische Fähigkeiten, Überzeugungskraft und Einfallsreichtum mitbringen. Auch eine überdurchschnittliche Beobachtungsgabe und Anpassungsfähigkeiten sind zentral.
Fazit
Vereinfacht erklärt ist ein Penetration Test das Finden einer Schwäche und Red Teaming das Ausnutzen der Schwächen. Zudem beschränken Penetration Tests sich in der Regel auf technische Schwachstellen, wohingegen beim Red Teaming auch organisatorische Schwachstellen relevant sind.
Besteht Interesse für das Durchführen eines Penetration Test oder eines Red Teaming? Oder haben Sie noch offene Fragen? Über Ihre unverbindliche Kontaktaufnahme freuen wir uns.
Über den Autor
Nick Ohya absolvierte eine Lehre als Informatiker mit dem Schwerpunkt Softwareentwicklung. Danach arbeitete er 6 Jahre als Entwickler, wovon er 4 Jahre auch als (Teil-)Projektleiter und Ausbildner tätig war. Anschliessend wechselte Nick Ohya in die Systemintegration und Projektleitung. Mit dem Ziel, in der Cyber-Security-Branche Fuss zu fassen, begann er sein Studium in Cyber Security, während er als Projektleiter bei einem Elektronikfachhandel arbeitete. Seit Anfang 2022 ist Nick Ohya Pre-Sales Consultant bei der Oneconsult.
