Pentest vs. Red Teaming

5 Aspekte zur Unterscheidung zwischen Pentests und Red Teaming

In dem sich ständig weiterentwickelnden Bereich der Cybersicherheit haben Unternehmen verschiedene Techniken entwickelt, um ihre digitale Verteidigung zu bewerten und zu verstärken. Unter diesen Techniken sind Pentests und Red Teaming zwei häufig verwendete Ansätze. Beide dienen zwar dem übergeordneten Ziel, die Sicherheit zu verbessern, unterscheiden sich jedoch erheblich in Methodik, Umfang und Zielsetzung. Dieser Artikel befasst sich mit den Unterschieden zwischen den beiden Verfahren und geht dabei auf 5 verschiedene Aspekte ein.

Definition und Hauptziele

Werfen wir einen Blick auf die Unterschiede zwischen den beiden Techniken:

Penetrationstests, oft auch als „Pentest“ bezeichnet, sind ein systematischer Prozess, bei dem ein Sicherheitsexperte die IT-Infrastruktur eines Unternehmens absichtlich sondiert, um Schwachstellen zu finden, die von böswilligen Akteuren ausgenutzt werden könnten. Das Hauptziel besteht darin, Schwachstellen zu identifizieren, ihre Auswirkungen zu verstehen und umsetzbare Empfehlungen zur Behebung zu geben. Ein Pen-Test wird in der Regel angekündigt, damit keine Verteidigungsressourcen übermäßig beansprucht werden, und über einen Systemeigner, den Leiter der IT-Abteilung oder in kleineren Unternehmen den CIO angeordnet.

Wenn Sie mehr darüber erfahren möchten, wie Sie den richtigen Pentest-Anbieter für Ihr Unternehmen finden, werfen Sie einen Blick in unser Whitepaper.

Im Gegensatz dazu ist Red Teaming ein umfassenderer und gegnerischer Ansatz, bei dem reale Cyberangriffe auf ein Unternehmen simuliert werden, um dessen allgemeine Verteidigungsfähigkeit zu testen. Daher wird es in der Regel von der Führungsebene angeordnet und keinem Teil des Unternehmens, auch nicht der IT-Abteilung, angekündigt. Er wird in der Regel von einer Gruppe ethischer Hacker, dem so genannten Red Teaming, durchgeführt, die versuchen, mit allen Mitteln – physisch, digital oder sozial – in die Verteidigungssysteme eines Unternehmens einzudringen, die üblicherweise als blaues Team bezeichnet werden. Das Hauptziel besteht nicht nur darin, Schwachstellen zu finden, sondern zu verstehen, wie sich reale Bedrohungen auf ein Unternehmen auswirken würden, und so die Bereitschaft des Unternehmens zu testen.

Umgang und Tiefe

Ein Pentest ist in der Regel enger gefasst und konzentriert sich auf bestimmte Ziele wie Webanwendungen, Netzwerke oder physische Sicherheit. Der Umfang ist im Voraus festgelegt, und der Prüfer oder das Team folgt einem strukturierten Ansatz, oft unter Verwendung einer Checkliste mit bekannten Schwachstellen. Da sie enger gefasst sind, liegt der Schwerpunkt in der Regel darauf, festzustellen, ob eine Organisation gegen bestimmte Schwachstellen geschützt ist.

Red-Teaming-Übungen sind breiter angelegt und weniger vorhersehbar. Der allgemeine Zweck besteht darin, die Erkennungs- und Reaktionsfähigkeiten einer Organisation zu testen, und hier kommt das Blue Team der Organisation ins Spiel. Das Read-Teaming ahmt reale Angreifer nach, d. h. es entscheidet spontan, welche Taktiken, Techniken und Verfahren es einsetzt, um vordefinierte Ziele zu erreichen. Letztere sind im Vergleich zu Pen-Tests lockerer definiert und lauten oft Ziele wie „das Backup-System infiltrieren und einen Code-Schnipsel platzieren“ oder „das ERP-System infiltrieren und Daten exfiltrieren“. Im Allgemeinen kann der ganzheitliche Ansatz alles umfassen, von Phishing-Versuchen bei Mitarbeitern über das Sammeln von Anmeldeinformationen als Grundlage für laterale Bewegungen bis hin zum physischen Einschleichen in Gebäude.

Dauer und Häufigkeit

Pen-Tests sind in der Regel von kürzerer Dauer und dauern oft nur wenige Tage bis mehrere Wochen. Unternehmen können sie in regelmäßigen Abständen, oft jährlich, oder nach wesentlichen Änderungen an ihrer IT-Infrastruktur oder ihren Systemen durchführen. In einigen Branchen sind regelmäßige Pen-Tests sogar vorgeschrieben, um bestimmte Gesetze oder Vorschriften einzuhalten.

Aufgrund seines umfassenden Charakters kann das Red Teaming bis zu mehreren Monaten dauern. Es wird weniger häufig durchgeführt als Pentests, da diese umfangreich und oft ressourcenintensiv sind. Die längere Dauer hat zwei Gründe: Erstens möchte das Red Team möglichst unbemerkt bleiben, was umso schwieriger wird, je schneller es sich in der Infrastruktur bewegen und Angriffe durchführen muss. Eine gute Faustregel ist, die Dauer mit dem 1,5- oder 2-fachen der geplanten Personentage des roten Teams zu berechnen. Zweitens: Um einen realen Angriff so gut wie möglich zu simulieren, ist es von Vorteil, ein breiteres Spektrum an Zielen und Angriffen abzudecken. Das bedeutet, dass das rote Team möglicherweise damit beginnen muss, sich über Social Engineering oder einen physischen Einbruch Zugangsdaten zu beschaffen, um in das Notebook eines Mitarbeiters einzudringen, damit es dann auf der Grundlage dieser Zugangsdaten das Backup-System angreifen kann.

Berichterstattung und Ergebnisse

Das Ergebnis eines Pentests ist ein detaillierter Bericht, in dem die entdeckten Schwachstellen, ihr Schweregrad, ihre potenziellen Auswirkungen und Empfehlungen für ihre Behebung aufgeführt sind.

Red Teaming liefert einen eher narrativ ausgerichteten Bericht, in dem die Angriffsroute (auch Kill-Chain genannt) beschrieben wird – wie sie in das System eingedrungen sind, welche Taktiken sie verwendet haben und die Abfolge ihrer Aktionen (der sogenannte Angriffspfad). Dieser Bericht gibt Aufschluss über das Verhalten der Bedrohungsakteure und die Reaktionen des Unternehmens. Außerdem sollte er eine Zuordnung zu einem gemeinsamen Sprachrahmen wie MITRE und Empfehlungen enthalten, wie solche Angriffe in Zukunft abgewehrt werden können. Diese Empfehlungen umfassen technische, organisatorische, physische und prozessuale Maßnahmen.

Denkweise und Ansatz

Pentester gehen von einer problemlösenden Denkweise aus. Sie suchen Schwachstellen mit Hilfe einer Reihe von vordefinierten Tools und Methoden und arbeiten innerhalb der festgelegten Parameter.

Red Teamer gehen von einer gegnerischen Denkweise aus. Sie denken und handeln wie echte Angreifer und erforschen jede noch so unkonventionelle Angriffsmöglichkeit.

Fazit

Obwohl sowohl Pentests als auch Red Teaming eine zentrale Rolle in der Cybersicherheitsstrategie eines Unternehmens spielen, dienen sie unterschiedlichen Zwecken und bieten verschiedene Erkenntnisse. Pentests bieten eine gezielte, eingehende Analyse spezifischer Schwachstellen, während Red Teaming einen ganzheitlichen Überblick über die Verteidigungs- und Reaktionsfähigkeiten eines Unternehmens gegenüber realen Bedrohungen bietet.

Die Wahl zwischen den beiden Methoden (oder die Entscheidung für beide) hängt von den individuellen Sicherheitsanforderungen, dem Risikoprofil und dem Reifegrad der Sicherheitsvorkehrungen eines Unternehmens ab. Wenn Unternehmen die Feinheiten beider Ansätze verstehen, können sie ihre Cybersicherheitsbemühungen besser auf ihre spezifischen Anforderungen abstimmen und eine solide Verteidigungsposition im heutigen digitalen Zeitalter sicherstellen.

Bosch CyberCompare kann Sie bei der Bewertung des richtigen Ansatzes für Ihr Unternehmen unterstützen. Dies kann durch unseren Diagnostik-Service unterstützt werden, der hilft, den Cybersecurity-Reifegrad Ihrer Organisation zu bestimmen. Darüber hinaus kann CyberCompare eine Ausschreibung durchführen, um den richtigen Anbieter für Ihre Bedürfnisse zu finden. Wenn Sie weitere Informationen wünschen, Anbieter vergleichen oder beide Methoden diskutieren möchten, kontaktieren Sie uns bitte unter cybercompare@de.bosch.com.