Der Beitrag untersucht die Prozesse und Strategien, die bei Red Teaming und Penetrationstests zum Einsatz kommen sowie deren Vorteile und Herausforderungen. Zudem beschäftigt sich der Beitrag auch mit den rechtlichen und ethischen Aspekten diese Techniken. Für Organisationen ist es wichtig, die richtige Bewertung für den richtigen Zweck zu wählen. Obwohl die beiden Methoden oft synonym verwendet werden, ist es wichtig, den Unterschied zwischen den beiden zu verstehen. Die beiden Autoren Dr. iur. Dr. rer. pol. LLM. Fabian Teichmann und Sonia Boticiu möchten Organisationen bei der Auswahl der besten Techniken zur Sicherheitsbewertung helfen und zeigen, wie Penetrationstests und Red Teaming zusammenarbeiten sollen. Zudem soll ein besseres Verständnis, wie die Sicherheitslage einer Organisation gestärkt werden kann, vermittelt werden.
Da Unternehmen zunehmend von der Technologie abhängig sind, hat die Bedrohung durch Cyberangriffe exponentiell zugenommen. Als Antwort darauf, haben sich auch die von Unternehmen eingesetzten Sicherheitsbewertungsverfahren weiterentwickelt. Vor allem Penetrationstests und Red-Team-Bewertungen haben sich zu den wichtigsten Methoden entwickelt, um die technische Infrastruktur und die Sicherheitsresistenz einer Organisation zu testen.
Bei Penetrationstests verwenden erfahrene Tester eine Kombination von Tools und manuellen Ausnutzungstechniken, um Schwachstellen zu identifizieren, welche ein potenzieller Angreifer ausnutzen könnte. Beim Read Teaming wird ein echter Angreifer imitiert, der eine Kombination aus verschiedenen Tools und Techniken einsetzt, um sich Zugang zu den Daten oder Systemen des Unternehmens zu verschaffen.
Aus rechtlicher Sicht hat ein Unternehmen sicherzustellen, dass die Penetrationstests allen geltenden Vorschriften und Gesetzen entsprechen. Zudem sind Bestimmungen zum Schutz der Vertraulichkeit der Testinformationen wie beispielsweise Informationen zu Schwachstellen unerlässlich. Des weiteren sollten detaillierte Aufzeichnungen über den Penetrationstest geführt werden, um im Falle eines Sicherheitsverstosses, die gebotene Sorgfalt nachweisen zu können. Um Sicherheitsbewertungen auf ethische Weise durchführen zu können, ist eine ordnungsgemässe Genehmigung durch die Organisation erforderlich. Zudem ist der Umfang der Tests klar zu dokumentieren. Ethische Hacker haben ihre Methoden gegenüber ihren Kunden vollständig offenzulegen.
Penetrationstests dienen dazu, Zielsysteme oder Sicherheitspositionen zu erkunden und konzentrieren sich vor allem auf bestehende Schwachstellen. Dies dient vor allem Organisationen, mit einem geringen Sicherheitsreifegrad. Möchte ein Unternehmen das Potenzial eines echten Angriffs auf ein System oder eine Umgebung verstehen, und die Wirksamkeit der Reaktion auf einen solchen Vorfall bewerten, eignet sich Read Teaming. Dies dient eher Organisationen mit einer fortgeschrittenen Cybersicherheit oder einer grossen Angriffsfläche. Bei Penetrationstests wissen die Mitarbeitenden, was vor sich geht. Bei Red Teaming hingegen muss das Unternehmen völlig ahnungslos sein, um ein wahrheitsgetreues Bild zu erhalten. Somit sind beispielsweise zuerst Erkenntnisse aus einem Penetrationstest zu sammeln, darauf basierende Empfehlungen auszusprechen und danach eine Red-Team-Übung durchzuführen, um die internen Fähigkeiten gegenüber den Techniken des Gegners zu testen.