Kriegsübungen, Brandschutzübungen und Generalproben wurden alle aus demselben Grund erfunden: Wenn Sie sich im Vorfeld keine Gedanken darüber machen, wie Sie in einer bestimmten Situation reagieren, dann werden Sie im Ernstfall wahrscheinlich schlechte Karten haben. Auch in der Cybersicherheit gibt es eine entsprechende Übung, um sich auf solche Szenarien vorzubereiten: Dabei wird ein Angriff simuliert, um Lücken in Ihrer Netzwerksicherheitsstrategie zu finden, bevor es Hacker tun. Das Ganze nennt sich Red und Blue Teaming und steht allen Organisationen zur Verfügung – aber natürlich nicht umsonst.

Worum genau geht es beim Red, Blue und Purple Teaming?

In der Cybersicherheit besteht das rote Team (Red Team) aus einer Gruppe „ethischer Hacker“, die die Rolle der Angreifer übernehmen und einen physischen oder digitalen Eindringversuch starten. Für ein bestmögliches Ergebnis sollte das Red Team aus externen Experten statt aus Insidern bestehen, denn sie können dieselbe externe Perspektive einnehmen wie potenzielle Angreifer. Die Gruppe kann aber natürlich auch aus eigenen Mitarbeitern zusammengestellt werden.

Bei diesen Übungen geht es zum Beispiel häufig darum, sich einen Zugriff auf das Netzwerk zu verschaffen, die Umgebung auszukundschaften, Zugangsdaten in Erfahrung zu bringen, Daten zu verschlüsseln, die Kontrolle über Browser zu erlangen und Social Engineering durchzuführen. Bei einigen Aktivitäten im Rahmen der Simulation bleibt das Red Team unter dem Radar, um nicht von Mitarbeitern oder anderen Personen, die mit der Organisation zu tun haben, entdeckt zu werden.

Der Hauptvorteil des Red/Blue/Purple Teamings gegenüber Penetrationstests ist das Überraschungsmoment: Das blaue Team (Blue Team), das als Gegenspieler zum Red Team fungiert, hat oft keine Ahnung von der Simulation. Somit geht das Blue Team (und andere im Unternehmen) von einem tatsächlichen Eindringversuch aus und setzt dieselben Threat-Hunting-Schritte und Verteidigungsstrategien um wie bei einem tatsächlichen Sicherheitsvorfall. Dies hilft dem blauen Team, bestehende Incident-Response-Pläne zu verfeinern und sicherzustellen, dass es auf einen tatsächlichen Angriff vorbereitet ist.

Neben der Weiterentwicklung von Verteidigungsmechanismen dienen solche Übungen auch dazu, das Sicherheitsbewusstsein in der Organisation zu fördern.

In vielen Simulationen kommt außerdem ein Purple Team (lila Team) zum Einsatz. Diese Gruppe besteht aus Mitgliedern des Red Teams und des Blue Teams und kann auch Personen außerhalb der Simulation wie etwa Manager und Softwareingenieure umfassen. Das Purple Team ist zwar optional, kann dem Unternehmen aber helfen, das Maximum aus seiner Red/Blue-Teaming-Übung herauszuholen, da es Erkenntnisse und Ergebnisse erfasst und dabei hilft, Anpassungen an der laufenden Simulation vorzunehmen.

Warum Red/Blue/Purple Teaming besser ist als Penetrationstests

Red/Blue/Purple-Teaming-Übungen mögen in manchen Aspekten deckungsgleich mit Penetrationstests sein, aber genau genommen handelt es sich um eine eigenständige Übung: Red-Team-Tests dauern länger und sind gründlicher. Sie haben komplexere Interaktionsregeln und erfordern eine umfangreichere Evaluierung.

Penetrationstests beschränken sich generell darauf, Schwachstellen zu beschreiben und zu erläutern, wie diese ausgenutzt wurden. Red Teaming hingegen bietet einen umfassenden Überblick darüber, wie gut das Unternehmen mit seinem Sicherheitsprogramm auf Angriffe reagieren kann.

Durch Red/Blue/Purple Teaming kann das Sicherheitskonzept eines Unternehmens auf eine Weise evaluiert werden, die allein mit Penetrationstests nicht möglich ist. Das Unternehmen kann so seine Risiken sowie den potenziellen finanziellen Schaden von Sicherheitsvorfällen ermitteln.

Die steigenden Kosten von Red/Blue/Purple Teaming

Doch das Ganze ist natürlich nicht umsonst: Die Kosten für Red-Team-Tests starten bei rund 10.000 $ und können bei komplexeren und längeren Evaluierungen bis zu 85.000 $ betragen.

Um diese Kosten möglichst zu minimieren, können Unternehmen zum Beispiel den Arbeits- und Zeitaufwand des roten Teams begrenzen, den Schwerpunkt auf eine bestimmte Angriffsfläche oder einen bestimmten Vektor beschränken oder sich nach einem Red-Team-Anbieter umsehen, der weniger kostet, aber trotzdem noch den sicherheitsbezogenen Anforderungen des Unternehmens genügt. Red/Blue/Purple Teaming ist naturgemäß kostspielig, sodass es womöglich nicht das Richtige für Organisationen ist, für die der finanzielle Aufwand in keinem Verhältnis zum Nutzen steht.

Ist Red/Blue/Purple Teaming das Richtige für Sie?

Fest steht: Die Erkenntnisse, die Red/Blue/Purple Teaming liefert, sind sehr wertvoll – allerdings für manche Unternehmen mehr als für andere. Organisationen, die auf globaler Ebene reguliert werden, in Verbindung mit einer Regierung stehen oder über komplexe Lieferketten verfügen, profitieren womöglich am meisten von solchen Tests.

Ob Red/Blue/Purple Teaming für ein Unternehmen sinnvoll ist, hängt von verschiedenen Faktoren ab, zum Beispiel von den Compliance-Vorgaben und Datenschutzanforderungen, die es beachten muss, und auch von seiner allgemeinen Risikotoleranz. Im Durchschnitt verursachen Datenpannen Kosten in Millionenhöhe. Organisationen müssen selbst bewerten und entscheiden, ob die Wahrscheinlichkeit eines Angriffs die Ausgaben rechtfertigt.

Wenn Sie die Kosten nicht – oder noch nicht – rechtfertigen können, bedeutet das nicht, dass Sie nicht trotzdem von ein paar Vorteilen von Red/Blue/Purple Teaming profitieren können. Wenn Sie mehr darüber erfahren möchten, wie Sie trotz überschaubarem Budget einige Vorteile von Red/Blue Teaming realisieren können, melden Sie sich hier für Folge 13 der Mindhunter-Webinar-Reihe an