Wenn dich das eigene Red Team angreift

Julia Gratzl
Expertin für Cybersecurity und O365-Champion
Mehr erfahren

Cybercrime-Abwehr lebt nicht nur vom Konzept oder der Technik, sondern auch vom Training. Wir bei der metafinanz haben uns daher von den eigenen Kollegen:innen angreifen lassen.

In der IT-Sicherheit entscheidet man sich in der Regel für eine Fraktion:

  • Blue Team – die Verteidiger des Unternehmens
  • Red Team – die Angreifer, meist externe Dienstleister

Wir in der meta können uns glücklich schätzen, ein eigenes Red Team zu haben. Normalerweise greift das allerdings Kunden in deren Auftrag an und deckt so ihre Schwachstellen auf. Da haben wir uns von der IT gedacht: Warum nutzen wir nicht die Kompetenz der Kolleg:innen, um unsere eigene IT auf Lücken zu überprüfen? Und zwar aus gutem Grund, denn wir waren nicht nur neugierig, wie unsere Systeme reagieren, sondern die metafinanz strebt auch die Zertifizierung nach ISO 27001 an. Das Red Team fand den Ansatz spannend – Challenge accepted!

Vier Monate auf Schwachstellensuche

Der Deal: Wir haben sie für rund vier Monate engagiert, in denen sie möglichst viele Lücken aufspüren sollten. Die Angreifer verhielten sich wie interne Mitarbeiter:innen (was sie ja auch sind) und versuchten, größtmöglichen Schaden anzurichten. Wir haben uns dazu entschlossen, erstmal nicht als klassisches Blue Team aufzutreten und nicht auf die Angriffe zu reagieren, sondern nur den stillen Beobachter zu spielen. Und natürlich waren wir im Blue Team ziemlich unsicher: Was, wenn sie herausfinden, wo wir richtig danebengegriffen oder etwas Selbstverständliches übersehen haben? Durch die Zweifel hatten wir latent ein ungutes Gefühl – wenn man es positiv ausdrücken will, waren wir „sensibilisiert für die Bedrohungslage“.

Viele Wege führen nach Rom

Wie jeder gute Einbrecher hat auch das Red Team möglichst viele unterschiedliche Wege ins Haus und in die Systeme verfolgt. Die Kolleg:innen wollten vom Webserver Daten abgreifen, die Firewall umgehen, ins Netzwerk eindringen, Server ohne Zugriffsrechte besuchen, andere User kompromittieren und alle Hebel in Bewegung setzen, um an Admin-Rechte zu kommen. Wir haben zwar immer wieder geschaut, was die Fünf so treiben, aber sind nicht aktiv gegen sie vorgegangen. Denn wir wollten schließlich in erster Linie sehen, wie weit sie eigentlich kommen.

Viele Wege führen nach Rom. So auch für unser Red Team, das über möglichst viele Wege versucht hat, ins Unternehmen und in die Systeme zu gelangen (Quelle: Adobe Stock / Marco2811).

Unsere Key Findings

Das Wichtigste vorneweg: Unser IT-Security-Konzept muss sich nicht verstecken. Wir haben gesehen, dass die vorhandenen Security-Maßnahmen wirken und es Angreifer:innen schwer machen, unsere Systeme zu kompromittieren. Allerdings hat es das Red Team geschafft, interessante User im Unternehmen herauszufinden. Dies ist wichtig, weil sich so beim Social Engineering bessere Angriffsmöglichkeiten ergeben. Dazu geht der Angreifer über das Active Directory auf den Benutzerkatalog, um sich von seiner Position aus zu orientieren: Gibt es Teamgruppen, wer sind Mitglieder oder Personen mit besonderen Berechtigungen?

Tools-Einsatz und Social Engineering

Je nach Active Directory und Hierarchieebene bauen die Angreifer:innen gegebenenfalls einen Hierarchiebaum auf, frei verfügbare Tools wie AzureHound helfen dabei. Dann kann man über Team Directories die Leute direkt ansprechen (etwa für Social Engineering) oder Malware auf File Servern für Kolleg:innen punktgenau platzieren. Zu wissen, auf wen ich losgehen muss, ist ein Pluspunkt. Das Red Team hat aber auch eine lokale Schutzschicht im Betriebssystem umgehen können, welche eigentlich Anomalien bemerkt und blockiert. Diese technische Ebene hilft, verdächtigen Code zu erkennen, den Angreifer beispielsweise in den Speicher eines Rechners laden wollen. Kann der Angreifer ein Script verschleiern, wird es hingegen ohne weitere Prüfung durchgewunken.

Häufig bauen die Angreifer:innen einen Hierarchiebaum, um die Betroffenen direkt ansprechen zu können (Quelle: Adobe Stock / NicoElNino).

Zugegeben: Wenn der Angreifer wie unser Red Team bereits innerhalb des Netzwerks ist, hat er natürlich einen besseren Ausgangspunkt als ein Externer. Dennoch waren wir ein bisschen überrascht über die Reichweite der Angriffe. Um Wege in die Organisation hinein zu blockieren, haben wir die gefundenen Schwachstellen analysiert und behoben. Zudem planen wir, den Angriff zu wiederholen – dieses Mal wird die IT allerdings auch als Blue Team dagegenhalten. Denn nur Training bringt dich weiter.

Wenn Sie Fragen zum Thema Cybersecurity haben, nehmen Sie einfach über unsere Autorenprofile Kontakt zu uns auf. Weitere Informationen zu unseren Security-Kompetenzen finden Sie auf der metafinanz-Website für Risk & Security.

Quelle Titelbild: AdobeStock/ Skórzewiak

Julia Gratzl
Expertin für Cybersecurity und O365-Champion
Mehr erfahren
Lisa Tünnermann
Expertin für IT-Kommunikation, Change und Adoption
Mehr erfahren

Weitere Beiträge

Risk & Security

Cybersecurity im Automobilbereich: die neue ISO 21434

Weiterlesen
Risk & Security

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Weiterlesen
Human & Relations

Vielfalt als Chance: Diversity macht stark

Weiterlesen

Diesen Beitrag teilen

Alle Beiträge von
Risk & Security