Standort: fm4.ORF.at / Meldung: "Security-Check der anderen Art"

Sarah Kriesche

Sarah Kriesche

Sarah Kriesche

18. 6. 2014 - 15:03

Security-Check der anderen Art

Red Teams greifen Unternehmen an - und testen damit deren Sicherheitsvorkehrungen.

von Sarah Kriesche

"Red Teams", der Begriff kommt ursprünglich aus dem Militär, überprüfen nicht nur Firewalls oder Computersicherheit sondern testen im Auftrag der Kunden deren Unternehmen auf Herz und Nieren. Sei es technisch, psychisch oder physisch. "Wie... physisch?", frage ich bei Chris Nickerson, CEO der IT-Sicherheitsberatungsfirma Lares nach und setze ein stotterndes: "you mean physically as in physically?" dran. Immerhin hatten wir kurz davor über sein Jiu Jitsu-Training geredet. Die Bilder, die ich im Kopf habe , erinnern auf einmal weniger an IT-Security, als an einen abgefahrenen Wuxia-Film, wo eine Gruppe von rot gekleideten Ninjas in Gebäuden rumfliegt, Menschen zerlegt und gleichzeitig aus dem supergeheimen Raum den Mikrochip klaut. Ganz so ist es natürlich nicht. Irgendwie aber doch.

"In order to prepare our clients for the experience of getting attacked, we have to model that adversary and try and mirror the capabilities of that particular adversary. So whether it's a small bank, whether it's a small business, whether it's an insurance company, whether it's a hospital, or whether it's a nation state, our job is to work with them to analyze their business and understand how they work and what the most likely adversaries are and then become that adversary," erklärt Nickerson.

Chris Nickerson am Laptop

CC BY-SA 2.0 von Alexandre Dulaunoy flickr.com/adulau/

CC-BY-SA 2.0 Chris Nickerson at hack.lu 2010

"Und bist du nicht willig, so brauch ich Gewalt"

Attacken seien nicht immer rein technischer Natur. Um an Firmengeheimnisse oder Geld zu kommen, ist Angreifern jedes Mittel recht: Angriffe, Einbrüche, Social Hacking. Es ist es Nickersons Job, die Unternehmen auf derartige Angriffe vorzubereiten und abzusichern. Und so bezirzen sie Mitarbeiter*innen um an Informationen zu kommen, verkleiden sich als Putztrupp, um Zutritt zum Gebäude zu bekommen, oder testen die technische Infrastruktur auf Schwachstellen ab. Ganz nach dem Motto: Theorie ist gut, Praxis besser.

Dementsprechend ist auch alles erlaubt, was erlaubt ist.
"Some adversaries are more physically driven than they are electronically driven, so whatever that adversary or model is, it's on us to mirror it as closely as possible. So obviously, you know, I'm not going to break encryption by putting a gun on someone's head unless that's in scope and at that point, I'll happily put a gun to their head. That might seem extreme, but if it's the thing that's most likely to happen and you prepair for it, then putting the gun to their head is safer. Because you understand what the protocol is for that. And when it actually happens, when you're gone through that exercise you'll be much more calm and are able to follow the protocol that you set forward you'll usually be more successful in the defense."

The show must go on

Teams, die sich wie Schauspieler in die Rolle des Feindes versetzen und als Sparringpartner fungieren, haben Tradition. In der Wüste Nevadas führt die Air Force bis zu sechs Mal im Jahr das sogenannte "Red Flag"-Manöver durch. Mit erbeutetem (oder ersteigertem) Kriegsmaterial werden möglichst realistische Szenarien nachgestellt, Bomber dürfen im Tiefflug schon mal die Kulissen zerstören. Bei den gespielten Luftmanövern liegt es an den Red Teams, möglichst realistische Ziele für die Piloten der "Blue Teams", also der Verteidiger, abzugeben.

Umgemünzt auf die IT ist es Nickerson wichtig, dass seine Kunden verstehen und spüren, was für eine Auswirkung der vermeintlich kleine Einbruch in einen Firmen-PC haben kann:

"It's not just 'I can get a show on that machine.' It's 'I can get a show on that machine, I can move over to here, I can then get into the badge system, I can open the store, I can let someone in, in the middle of the night.' They can go into this person's office, because we read everyone's email and found out that Mary has the first half of the safe code and Jim has the second half of the safe code. So we get into their office, go into the vault, turn all the cameras off and then we'll leave the building with all the money in the bank. That show is important. Whereas before they could've cared less but now they see it as the seed that could've broken the entire company. And then all of these things in the chain become a part of something they must respond to because they see that end product."

Dust Eatin’ Cowboys

Getreu dem Wildwest-Klischee und der strikten Aufteilung in "Blackhats", also die Bösen und "Whitehats", somit die Guten, scheint es in dieser Facette der Security wenig Platz für Variationen zu geben.

Technisches Knowhow und was man aus gewonnener Erfahrung lernen könne, wird mit bunten Geschichten garniert. Um viele Themen hüllt sich aber auch ein Mantel des Schweigens. Eventuell zwielichtige Geschäftspraktiken hier, eventuell fragwürdige Vorgänge dort - auf ihrer Suche nach Schwachstellen sehen Red Teams oft mehr, als ihnen lieb ist. Nicht zuletzt Non-Disclosure-Agreements sollen Kunden absichern, sodass nichts nach außen dringt. Es sei nicht an ihm, über solche Dinge zu richten, betont Nickerson. Seine Aufgabe und die seines Teams seien klar definiert: Im Auftrag von Unternehmen selbige auf Schwachstellen zu prüfen und mitzuhelfen, diese in Folge auch abzusichern. Nicht mehr und nicht weniger.

"If you're someone who sees the line of 'o well I said I would do this but since I found this moral thing I'm not gonna do this anymore', you're not capable of working in our industry. You can't. It's kind of working in the military. If you're not capable of shooting someone you should not be a soldier. You can't be a soldier. It doesn't work. That's the job."