Red Teaming/Threat Led Penetration Testing (TLPT)

Sie möchten sich kostenfrei und unverbindlich zu Red Teaming/TLPT beraten lassen?
Beratungstermin mit einem Red Teaming/TLPT-Experten online buchen

oder

Falls Sie noch nicht genau wissen, ob Red Teaming/TLPT wirklich das richtige Instrument ist, buchen Sie Sie gerne einen allgemeinen Beratungstermin zu Cybersicherheit.

Red Teaming ist eine fortgeschrittene Angriffssimulation, bei der ein unabhängiges Team von Sicherheitsexperten („Red Team“) reale Angriffsszenarien nachstellt, um operative und technische Schwachstellen in der IT-Sicherheitsarchitektur eines Unternehmens aufzudecken und die Reaktionsfähigkeit des Security Operation Centers (SOC) zu verbessern.
Beim Assessment definieren wir mit Ihnen ein inhaltliches Ziel, das das „Red Team“ erreichen soll. Das kann beispielsweise der Zugriff auf eine bestimmte Datenbank innerhalb des Unternehmensnetzwerks sein, das E-Mail-Postfach des Geschäftsführers oder das Erlangen administrativer Berechtigungen im Active Directory. Ihr „Blue Team“ (SOC) sollte idealerweise den Angriff erkennen und entsprechend Ihren internen Richtlinien handeln.

Ein Red Team Assessment eignet sich vor allem für Unternehmen mit einem fortgeschrittenen IT-Sicherheitskonzept und spezialisierten Ressourcen. Es zielt darauf ab, die Effektivität Ihres SOC zu bewerten, operative Schwachstellen zu erkennen und das Sicherheitspersonal gezielt zu schulen, um die bestehenden Schutzmaßnahmen weiterzuentwickeln.
Insofern stellen sich vorab Fragen wie: Haben Sie Ihre Umgebung bereits mit Penetrationstests auf technische Schwachstellen geprüft und diese geschlossen? Verfügen Sie über ein etabliertes IT-Sicherheitskonzept, das konsequent vom Personal Ihres SOC umgesetzt wird? Sind technische Überwachungsmaßnahmen Teil Ihres Schutzsystems? Dann könnte Red Teaming der nächste logische Schritt sein, um die Wirksamkeit dieser Maßnahmen von unabhängiger Seite zu überprüfen und mögliche Lücken aufzudecken.
Betreiben Sie hingegen kein eigenes SOC, setzen kein Managed SOC ein und verfügen noch nicht über ein ausgereiftes Sicherheitskonzept, ist Red Teaming möglicherweise nicht die passende Lösung. In solchen Fällen empfehlen wir alternative Dienstleistungen, da Angriffssimulationen je nach Voraussetzungen Ihrerseits teils signifikante Risiken mit sich bringen können und eine sorgfältige Planung sowie ein solides Sicherheitsfundament erfordern. Gerne beraten wir Sie hierzu individuell – sprechen Sie uns an!

Sind Sie Betreiber kritischer Infrastrukturen (KRITIS), ein Finanzinstitut oder ein Telekommunikationsanbieter? In stark regulierten Branchen wie dem Finanzwesen, der Energieversorgung, dem Gesundheitswesen und der Telekommunikation gelten höchste Anforderungen an die IT-Sicherheit. Regulatorische Rahmenwerke wie das IT-Sicherheitsgesetz, TIBER-EU oder die Mindestanforderungen an das Risikomanagement (MaRisk) verpflichten Unternehmen in diesen Bereichen zu regelmäßigen und umfassenden Sicherheitsüberprüfungen.
Besonders Finanzinstitute stehen im Fokus dieser Regelungen. Der Digital Operational Resilience Act (DORA) fordert gezielte Red Team Assessments („Threat-Led Penetration Testing“, kurz TLPT) zur realistischen Prüfung der Abwehrbereitschaft. Auch für Betreiber kritischer Infrastrukturen und Telekommunikationsanbieter gelten strenge Sicherheitsvorgaben, die eine kontinuierliche Absicherung ihrer IT-Systeme gegen hochentwickelte Angriffe verlangen.
Wir unterstützen Sie mit maßgeschneiderten Red Team Assessments, um Ihre IT-Infrastruktur, aber auch Ihre Prozesse und die Reaktionsfähigkeit Ihrer Organisation auf Schwachstellen zu prüfen und gezielt Ihre operative Resilienz zu stärken. Unser erfahrenes Team hilft Ihnen dabei, die geforderten Threat-Led Penetration Tests durchzuführen, wie sie durch DORA vorgeschrieben sind. Dabei folgen wir den Leitlinien des TIBER-EU Rahmenwerks.

Der Ablauf eines Red Teamings erfordert eine enge Abstimmung mit Ihnen. Daher werden vor Beginn der Prüfungen gemeinsam die Rahmenbedingungen und Vorgehensweisen festgelegt. Das eigentliche Assessment unterteilt sich in drei Phasen, die Vorbereitungsphase, die Testphase und die Abschlussphase.

Vor dem Assessment

Die Durchführung eines solchen Assessments benötigt einige Vorbereitungen. Ihrerseits wird ein „Control Team“ zusammengestellt, das über die Durchführung des Assessments Kenntnis besitzt und im Projektverlauf eng mit dem Red Team zusammenarbeitet.
Gemeinsam legen wir die Rahmenbedingen festgelegt, unter denen die Prüfungen durchgeführt werden. Insbesondere werden vor dem Assessment die Szenarien erarbeitet, die das Red Team ausführen soll. Die Szenarien können an bestimmten kriminellen Gruppen (so genannte „Advanced Persistent Threat“, kurz APT) orientiert sein oder durch Sie selbst definiert werden.
Wichtige Ergebnisse dieser Erarbeitung sind u.a. das sogenannte „Threat Profile“. Es beschreibt die Bedrohungen, für Ihre Organisation und bildet die Grundlage für die späteren Angriffsszenarien. Die TTPs (Tactics, Techniques, and Procedures) definieren das strategische Vorgehen des Red Teams. Hier werden entscheidende Fragen beantwortet:

• Tactics: Welche übergeordneten Ziele sollen erreicht werden?
• Techniques: Welche konkreten Methoden kommen dabei zum Einsatz? (z. B. Spear-Phishing oder Pass-the-Hash)
• Procedures: Wie wird die Umsetzung im Detail durchgeführt?

Auch die „Rules of Engagement“, die verbindlich festlegen, was – und vor allem was nicht – durch das Red Team durchgeführt werden darf, werden bestimmt.
Auch für den Start unseres Assessments existieren verschiedene Möglichkeiten, die vorab abgesprochen werden. Ein Einstiegspunkt wäre beispielsweise ein Assumed-Breach-Szenario. Hier befindet sich der Angreifer bereits im Netzwerk und fokussiert sich auf interne Prüfungen. Eine Alternative wäre Initial Compromise (Erstkompromittierung). Hier wird von der externen Perspektive ausgegangen, bei der zunächst eine Suche nach einem Angriffsvektor durchgeführt wird, um ins Zielnetzwerk einzudringen. Das kann zum Beispiel auch ein digitales „auf die Lauer legen“ sein: Wir indexieren Ihre Dienste und sofern Schwachstellen bekannt werden, werden diese sehr zeitnah ausgenutzt.
Gemeinsam legen wir fest, welcher Startpunkt für Ihre Anforderungen geeignet ist.

Vorbereitungsphase

Sofern kein Assumed Breach angenommen wird, der Vorbereitungsphase sammelt das Red Team während möglichst viele Informationen über Ihr Unternehmen, um mögliche Einfallstore in Ihr Netzwerk zu identifizieren. Dieser Schritt wird als „Open Source Intelligence“ (kurz OSINT) bezeichnet. Dabei kommen unterschiedlichste Techniken zum Einsatz, etwa das Scannen öffentlich erreichbarer Systeme, die Identifikation von Domänen, die Ihrem Unternehmen gehören, und vieles mehr.
Wir nutzen hierfür kommerziele Werkzeuge, die die Suche effizient und tief gestalten. Es werden Organisationsinformationen mit technischen Informationen aus verschiedenen Quellen analysiert und verknüpft. Ergänzend nutzen wir Suchmaschinen und technische Werkzeuge. Dies ermöglicht es uns, sehr schnell relevante Informationen zu sammeln und einen umfassenden Überblick zu erhalten.
Die Daten werden aufbereitet und in der nächsten Phase verwendet.

Testphase

In der Testphase werden mithilfe der gewonnenen Informationen die vor dem Assessment vorbereiteten Szenarien ausgeführt. Anders als bei einem Penetrationstest versuchen die Prüfer:innen die Angriffe möglichst unauffällig durchzuführen.
Hauptaufgabe ist es in das interne Netzwerk zu gelangen, sich zu persistieren, die Berechtigungen durch Privilege Escalation auszuweiten, durch Lateral Movement weitere Systeme zu kompromittieren und so die vorab definierten Ziele zu erreichen. Dabei geht das Red Team strikt nach den definierten Rules of Engagement und dem Threat Profile vor, die vor Beginn des Projekts mit Ihnen erarbeitet wurden.

Nachbereitungsphase

Sofern das SOC die Angriffe nicht erkannt hat, werden die Mitarbeitenden nun über das Assessment informiert.
In jedem Fall stellt das Red Team den Ergebnisbericht, in dem alle durchgeführten Szenarien und deren Ergebnis aufgelistet werden, dem SOC zur Verfügung. Im Rahmen eines Workshop („Purple Teaming“) können die Szenarien wiederholt werden, damit das SOC besser nachvollziehen kann, wie die Angriffe durchgeführt und vor allem wie die Angriffe (ggf. noch früher) erkannt werden können.

Penetrationstests sind zielgerichtete technische Prüfungen, um möglichst viele Schwachstellen innerhalb des definierten Scopes (beispielsweise eine Webanwendung oder ein IP-Adressbereich) zu identifizieren. Da in kurzer Zeit umfassende Tests effizient durchgeführt werden, erfolgt der Penetrationstest bewusst „auffällig“ und erzeugt einfach sichtbare Spuren im Netzwerk und betroffenen Systemen. Auch stehen in der Regel nicht die Überprüfung der Wirksamkeit von Schutzsystemen im Fokus, sondern das Auffinden und Bewerten von Sicherheitslücken.
Ein Penetrationstest soll möglichst alle Schwachstellen erfassen, bei einem Red-Team genügt die Verkettung einzelner, relevanter Schwachstellen zur Erreichung der vereinbarten Ziele.

Unsere Red Team-Experten sind CRTO-zertifiziert (Certified Red Team Operator) und verfügen über jahrelange Erfahrung in der Durchführung von Penetrationstests. Wir legen großen Wert auf eine individuelle Planung, um unsere Angriffssimulationen auf Ihre spezifischen Anforderungen und Unternehmensstrukturen abzustimmen.
Lassen Sie uns in einem persönlichen Gespräch herausfinden, wie wir Sie unterstützen können und ob wir für Sie der passende Red Teaming Anbieter sind. Nutzen Sie einfach die Terminbuchung oben auf dieser Seite.