Skip to main content
Allgemein

Wie man ein Red Team in seinem Unternehmen aufbaut und betreibt, um einen nachhaltigen Cybersicherheitsansatz zu unterstützen

By 26. Feber 2025No Comments11 min read

Hacke dich selbst, um zu verhindern, gehackt zu werden. Dies beschreibt mehr oder weniger den Begriff „Red Teaming“. Aber warum braucht man ein Red Team, obwohl bereits Schwachstellenscans, Endpunktschutz, Penetrationstests, Netzwerkeinbruchssysteme und viele andere Kontrollen vorhanden sind? Die Antwort liegt in Effektivität und Effizienz. Keine Technologie oder kein Prozess kann dein System auf dem Niveau prüfen, wie es ein Hacker tun würde.

In diesem Artikel werde ich erklären:

  • den Zweck und die Mission eines Red Teams,
  • die Aufgaben eines Red Teams,
  • und wie man ein Red Team besetzt.

Dieser Artikel ist dem besten Red Teamer gewidmet, den ich je getroffen habe: David Brucker. Er hat mich wahres Red Teaming gelehrt und mich zu diesem Artikel inspiriert.

Eine kleine Anmerkung zur Klarstellung:
Der hier beschriebene Ansatz basiert auf meinen eigenen Erfahrungen und lässt das Gegenkonzept eines Blue Teams (diejenigen, die sich gegen das Red Team verteidigen) aus. Aus meiner Sicht ist die gesamte Organisation ein Blue Team, da Sicherheit die Aufgabe aller ist und nicht nur eines einzelnen Teams. Ich lasse auch das Konzept eines Purple Teams aus, das eine Mischung aus Blue und Red Team darstellt. Obwohl mein Ansatz einige Ähnlichkeiten mit einem Purple Team aufweist, bleibe ich beim Begriff Red Team.

Viel Spaß beim Lesen!

Der Zweck eines Red Teams

Viele Organisationen betrachten Red Teaming als einen kontinuierlichen Penetrationstest mit großem Umfang und weniger Kontrolle über die Aktivitäten. Das Red Team testet also alles, was es findet, und liefert Schwachstellen an die Teams, die sie beheben. Leider beschreibt diese Sichtweise nur die halbe Wahrheit. Eine bessere Definition wäre:

Der Zweck eines Red Teams besteht darin, die Effizienz und Effektivität von Sicherheitskontrollen zu testen, dabei zu helfen, reale und geschäftskritische Risiken zu identifizieren und zu beheben sowie das Sicherheitsbewusstsein in der gesamten Organisation zu stärken.

Die Aktivitäten eines Red Teams sind nicht auf technische Tests beschränkt. Auch Social Engineering, Phishing-Angriffe und jede andere Technik, die dabei hilft, Schwachstellen in der Unternehmensumgebung zu finden, sind erlaubt – selbst das Einbringen eigener Ransomware. Alles, was ein motivierter, böswilliger Hacker tun würde, um eine Umgebung zu kompromittieren, fällt in den Aufgabenbereich eines Red Teams – mit Ausnahme des verursachten Schadens.

Die Aufgaben eines Red Teams

Ein Red Team ist mehr als nur eine interne Hackergruppe. Es folgt einem kreativen Prozess, um einem Unternehmen seine Schwachstellen aufzuzeigen. Die Aufgaben des Red Teamings lassen sich wie folgt zusammenfassen:

Überwachung der Angriffsfläche und der Bedrohungslandschaft

Der erste Schritt besteht darin, Angriffsvektoren zu identifizieren, die einem Angreifer helfen könnten:

  • einen Geschäftsprozess zu stören,
  • das Unternehmen in großem Umfang lahmzulegen,
  • finanziellen Schaden zu verursachen oder
  • regulatorische Probleme herbeizuführen.

Ein Red Team pflegt die Dokumentation der Angriffsfläche eines Unternehmens und ordnet aktuelle Bedrohungen dieser Angriffsfläche zu.

Die Angriffsfläche kann aus internen Dokumentationen wie einer Configuration Management Database (CMDB) oder IT-Architekturübersichten abgeleitet werden. Am wichtigsten ist jedoch, dass auch Informationen aus Enumerationsaktivitäten aus der Sicht eines Hackers einbezogen werden. Oft hat ein Red Team eine bessere Übersicht über die digitalen Assets eines Unternehmens als jede andere Abteilung, da Legacy-Anwendungen, Shadow IT oder nicht verwaltete IoT-Geräte häufig unter dem Radar der regulären IT bleiben.

Neben der Überwachung der unternehmenseigenen Angriffsfläche verfolgt ein Red Team auch Trends und neue Entwicklungen in der Bedrohungslandschaft. Es geht darum, Folgendes zu beobachten und zu verstehen:

  • Neue Schwachstellen wie Log4j, EternalBlue …
  • Häufig genutzte Angriffsvektoren, z. B. Excel-Dateien mit bösartigen Makros
  • Neue Technologien und wie sie angegriffen werden können
  • Neue Strategien und Techniken, die von Hackergruppen genutzt werden

Ein Red Team sucht also kontinuierlich nach Schwachstellen in der Unternehmensumgebung, die echte Angreifer ebenfalls ausnutzen könnten. Basierend auf diesen Erkenntnissen muss es diese kommunizieren und Teams innerhalb der Organisation auf erforderliche Änderungen vorbereiten.

Eine schwerwiegende Schwachstelle, die bereits aktiv ausgenutzt wird, kann möglicherweise nicht erst im nächsten Patch-Fenster behoben werden. Sicherheitslücken in Client-Software, die von Ransomware-Gruppen genutzt wird, erfordern möglicherweise sofortige Alternativen.

Ein Red Team muss innerhalb der Organisation einen guten Ruf genießen, sodass es ernst genommen wird, wenn es auf Risiken hinweist, und entsprechende Maßnahmen rechtzeitig ergriffen werden. Dies ist nicht einfach, da Red Teams oft ungeplante Zusatzaufgaben für andere Teams mit sich bringen. Eine Möglichkeit, die Priorisierung zu erleichtern? Einfach selbst durch das gemeldete Problem hacken und den Beweis liefern. 😉

Hacking und das Herausfordern von Sicherheitskontrollen

Die Kernkompetenz eines Red Teams ist das Hacking. Dabei geht es nicht um wahllose Aktivitäten, sondern um einen klaren Plan, um kontinuierlich die Fähigkeit der Organisation zu testen, Angriffe zu verhindern und Hacking-Aktivitäten zu erkennen.

Ein Red Team muss regelmäßig Angriffspfade zu geschäftskritischer Infrastruktur testen. Zudem müssen Wege identifiziert werden, um bestehende Sicherheitskontrollen zu umgehen. Je breiter die IT-Landschaft ist, desto vielfältiger müssen die Fähigkeiten der Red Team-Mitglieder sein. Ein internes Team kann jedoch nicht jede Technologie abdecken. Daher sollte ein Netzwerk externer Spezialisten bestehen, die bei Bedarf spezifische Aufgaben übernehmen.

Der Aktivitätenplan ergibt sich hauptsächlich aus der Überwachung der Angriffsfläche und der Bedrohungslandschaft. Üblicherweise werden dabei regelmäßig genutzte Angriffspfade zu kritischen Systemen überprüft. Beliebte Angriffspfade sind beispielsweise der Weg zu Domain Admin oder SAP_ALL von verschiedenen Ausgangspunkten aus. Es kann weitere regelmäßig getestete Angriffspfade geben, aber am wichtigsten ist, dass sie auf geschäftskritische Systeme und Prozesse abzielen.

Neben diesem Kernbereich agiert ein Red Team flexibel, um neu eingeführte Anwendungen, Systeme oder andere Geräte aus einer ganzheitlichen Perspektive zu testen. Der entscheidende Unterschied zu einem traditionellen Penetrationstest ist die holistische Sichtweise:

  • Während ein Pentest auf ein bestimmtes Ziel fokussiert ist, betrachtet ein Red Team das Gesamtbild.
  • Es analysiert, wie das neue System eingebunden ist, welche Abhängigkeiten bestehen und wie die Nutzung aussieht.
  • Es endet nicht an den Systemgrenzen, sondern berücksichtigt das gesamte Umfeld und konzentriert sich auf kritische Risiken für das Unternehmen.

Wann immer ein Red Team eine notwendige Maßnahme erkennt, weil sich die Bedrohungslandschaft oder die Angriffsfläche verändert hat, ergreift es die erforderlichen Schritte. Während einige Aktivitäten mit bestimmten Teams abgestimmt werden müssen, sollte ein Red Team für die meisten Tests frei agieren können.

Ein Red Team muss wissen, wie weit es gehen kann, bevor es eine Genehmigung einholt. Dabei kann es hilfreich sein, Management-Unterstützung zu haben.

Ein echter Angreifer fragt nicht um Erlaubnis oder kündigt einen Angriff an – warum sollte es also ein Red Team tun?

Das Resultat von Hacking-Aktivitäten sollte eine Liste potenzieller Verbesserungen sein. Diese beschränkt sich nicht nur auf gefundene Schwachstellen, sondern umfasst auch:

  • Gegenmaßnahmen,
  • Möglichkeiten zur Erkennung der durchgeführten Aktivitäten,
  • architektonische Vorschläge zur Verbesserung der Sicherheit.

Ein Red Team ist die technische Sicherheits-Experteneinheit. Es muss die Organisation mit seinem Wissen unterstützen, um effiziente und effektive Lösungen zu entwickeln.

Schulung

Nachdem Hacks durchgeführt wurden, schreibt ein Red Team nicht nur Berichte, sondern versucht, nachhaltige Wege zu finden, um die Umgebung zu verbessern. Sie arbeiten gegen sich selbst, um ihre eigene Arbeit schwieriger zu machen. Der effizienteste Weg, die Sicherheit zu verbessern, besteht darin, durch Schulung das Bewusstsein zu schärfen. Nach einem erfolgreichen Red Teaming-Einsatz steht in der Regel viel Material zur Verfügung. Dieses Material muss nur verständlich und spannend an Teams und Nutzer vermittelt werden.

Der Hauptvorteil der Bewusstseinsbildung durch ein Red Team besteht darin, sich auf die Realität zu konzentrieren. Red Teams sprechen über echte Vorfälle und machen sie sichtbar. Dadurch wissen die Menschen, dass es sich um echte Geschichten handelt und nicht um Theorien aus der Ferne.

Hier sind einige Strategien zur Bewusstseinsbildung:

  • Arbeite mit Mitarbeitern zusammen, die dein Red Teaming-Erlebnis irgendwie erlebt haben, und nutze sie, um ihren Kollegen Geschichten zu erzählen. Wenn du versucht hast, eine Empfangsmitarbeiterin durch Social Engineering zu täuschen, bitte sie, ihre Geschichte zu teilen – warum sie erfolgreich widerstanden hat oder warum sie darauf hereingefallen ist und was sie beim nächsten Mal anders machen würde. Bitte Netzwerktechniker, ihre Erfahrungen darüber zu teilen, dass sie etwas Ungewöhnliches in den Firewall-Logs bemerkt haben und wie sie reagiert haben. Menschen erinnern sich an echte Erfahrungen und lernen daraus.
  • Erstelle Videos erfolgreicher Hacks und schneide sie auf ein verständliches Minimum herunter. Ergänze sie mit Texten und beende diese Videos mit der Erklärung, wie der Hack hätte verhindert werden können. Zeige diese Videos den Teams und diskutiere sie mit ihnen.
  • Führe Live-Hacking-Sessions durch. Falls Mitarbeiter nicht glauben, dass bestimmte Dinge funktionieren, zeige es ihnen – entweder in einer realen Umgebung oder in einer selbst erstellten Laborumgebung. Versuche, es so realistisch wie möglich zu halten.
  • Halte kleine Bewusstseinssitzungen spontan ab. Zum Beispiel, wenn du Leute an der Kaffeemaschine triffst, erzähle ihnen coole Sachen über Hacks. Du wirst in Gespräche verwickelt, in denen du die Gelegenheit hast, das Bewusstsein für Sicherheit zu schärfen.
  • Vermittle Sicherheitsbewusstsein mit Leidenschaft. Zeige deinem Publikum, dass du liebst, was du tust, und dass dein größtes Ziel darin besteht, an einer sicheren Zukunft zu arbeiten.
  • Konzentriere dich in der Kommunikation auf großartige Verbesserungsmöglichkeiten, nicht auf falsches Verhalten oder vergangene Aktivitäten. Kein Beschuldigen, kein Bloßstellen – nur gemeinsames Arbeiten an einem positiven Ergebnis.

Vermittle Sicherheit auf eine positive Weise, als eine Gelegenheit, das Unternehmen zu stärken und zu unterstützen. Sicherheit durch Angst ist eine falsche Strategie. Sie führt nur dazu, dass Menschen falsche Entscheidungen treffen – oder gar nichts tun.

Wie man ein Red Team aufstellt

Idealerweise besteht ein Red Team aus einer Mischung aus internen und externen Ressourcen.

  • Interne Ressourcen bilden den zentralen Wissenspool, der Bedrohungen, Risiken und die Angriffsfläche überwacht. Sie sind zudem für Schulungsaktivitäten verantwortlich und bereiten Materialien vor, um das Bewusstsein innerhalb der Organisation zu stärken. Das interne Team ist das Kompetenzzentrum für alles, was mit Bedrohungen und deren Abwehr zu tun hat.
  • Externe Ressourcen bringen ein breites Spektrum an Fähigkeiten und Erfahrungen ins Team ein.

Während das Hacken selbst auch vom internen Team durchgeführt wird, sollten für die meisten dieser Aktivitäten externe Experten hinzugezogen werden.

  • Externe Ressourcen sollten von hoher Qualität sein und regelmäßig rotieren, um verschiedene Perspektiven in die Aktivitäten einzubringen.
  • Unterschiedliche Personen haben unterschiedliche Spezialisierungen – es ist effizienter, diese Experten nach Bedarf einzusetzen, anstatt alle Fähigkeiten innerhalb eines Teams aufzubauen.
  • Ein rein internes Team kann mit der Zeit betriebsblind werden oder voreingenommen sein, wenn es immer wieder dieselbe Umgebung testet.
  • Talentierte Bug-Bounty-Hacker oder erfahrene Hobby-Hacker können eine wertvolle Quelle für externe Unterstützung sein. Es ist besser, Personen einzusetzen, die wissen, wie echte Angriffe ablaufen, anstatt nur eine Checkliste abzuarbeiten.
  • Eine hervorragende Möglichkeit, externe Perspektiven einzubinden, ist das regelmäßige Anbieten von Praktika für talentierte Nachwuchs-Hacker.

Personalvorschlag für ein Red Team in mittelgroßen bis großen Unternehmen:

  1. Ein Relationship Manager und interner Koordinator, der:
    • die enge Verbindung zu den Abteilungen der Organisation hält und externe Mitarbeiter steuert,
    • Aktivitäten und Ergebnisse kommuniziert und abstimmt,
    • das Red Team und seine Aktivitäten verwaltet,
    • Awareness-Aktivitäten innerhalb der Organisation koordiniert.
  2. Ein bis zwei Hacking-Profis, die ein breites technisches Skillset haben und für Folgendes zuständig sind:
    • Überwachung der Bedrohungslandschaft und der Angriffsfläche des Unternehmens,
    • Durchführung von Hacking-Aktivitäten,
    • Erstellung von Materialien zur Bewusstseinsbildung und Unterstützung bei Schulungen.
  3. Ein Netzwerk externer Experten, das je nach Bedarf für Red Teaming-Aktivitäten hinzugezogen wird. Sei kreativ beim Aufbau dieses Netzwerks!

Vielen Dank fürs Lesen! Ich freue mich über jeden Applaus oder Kommentar und beantworte gerne eure Fragen!

Related Posts

Allgemein

Komplexes Passwort vs. Buffer Overflow? And the winner is…

David Brucker2. Oktober 2023
Allgemein

Einfallstor IP-Kamera – Von Shodan zur Reverse Shell (RCE)

David Brucker2. März 2023
Allgemein

Create your own Darknet website to protect your organization from Tor traffic

David Brucker4. September 2022

Nachweisbare Erfolge...

„Die mindsetters GmbH hat uns mit ihrem umfangreichen Red Teaming Assessment einen echten Schritt nach vorne gebracht. Die Zusammenarbeit war transparent, zielführend und hat uns gezeigt, wie wir unsere Sicherheitsmaßnahmen noch weiter optimieren können. Absolute Empfehlung!“

Herbert Frohner
Global CIO – NovaTaste GmbH

“From zero to ISO27001 certification in 4 months – thank you, mindsetters for pushing us through this mission impossible. After a year, we can confirm we not only received a certification but, more importantly, a running and effective ISMS!”

Ivan Skowronski
Konux GmbH

Sixt Logo

... und geprüfte Expertise

Sichern Sie Ihr Unternehmen!

Unsere Experten stehen Ihnen zur Verfügung, um Ihre Cybersicherheit zu verbessern.

Kostenloses Erstgespräch

mindsetters GmbH
Urstein Süd 15
A-5412 Puch bei Hallein

info@mindsetters.com
+43 664 88988214
+43 664 1081527

Impressum | Datenschutz