Fordern Sie Ihre Datensicherheit heraus – wie ein Hacker!
Um Lücken und Schwachstellen Ihrer Systeme zu ermitteln überprüft ein Red Team in Zusammenarbeit mit Elavon die Belastbarkeit und Stabilität Ihrer Datensicherheit. Doch Sie können ganz unbesorgt sein: Denn unsere „Hacker“ arbeiten für Sie. Robin Varley, Produktmanager Datansicherheit bei Elavon, skizziert den Mehrwert eines Red Team-Engagement für die digitale Infrastruktur und die Protokolle Ihres Unternehmens.
In Sachen Datensicherheit tappt man allzu leicht in eine Falle: Und zwar in die Falle der Perspektive. Denn Sie blicken von innen nach außen und konzentrieren sich auf all die Anstrengungen, die unternommen wurden, um ein zuverlässiges Sicherheitssystem einzurichten; auf die Zeit, die für Tests aufgewendet wurde; auf die Ressourcen, die für die ständige Überprüfung und Aktualisierung Ihrer Pläne verwendet wurden.
Doch es ist wichtig sich vor Augen zu führen, dass jede von Ihnen getroffene Vorkehrung und jede mögliche Vorkehrung nicht zwingend dasselbe ist. Ein Blick auf die Nachrichten zeigt, dass selbst die größten und fortschrittlichsten Unternehmen geschädigt werden können.
Was können Sie also tun?
Es ist wichtig, eine andere Perspektive einzunehmen!
Holen Sie sich also Rat und Fachwissen von außen. Denn von Außen kann die Sichtweise sehr unterschiedlich sein. Dies ist die Arbeitsweise des Red Teams.
Anstatt an der Optimierung bestehender Abwehrmechanismen zu arbeiten, simuliert das Red Team Angriffe und untersucht Ihre Sicherheitssysteme, um Schwachstellen aufzudecken. So erlangt das Red Team – international anerkannte, hochqualifizierte und zertifizierte Berater – durch die Simulation eines hochqualifizierten, mit den nötigen Ressourcen ausgestatteten Hackerangriffs, wertvolle Erkenntnisse. Der einzige Unterschied besteht darin, dass das Red Team für Sie tätig ist.
Red Teaming – eine nähere Betrachtung
Gehen wir einen Schritt zurück und zu betrachten, was Red Teaming eigentlich ist. Der Begriff hat seinen Ursprung im US-Geheimdienst, wird heute allerdings für die Arbeit professioneller, nach ethischen Prinzipien handelnder Hacker verwendet. Bei den Mitgliedern des Red Teams handelt es sich in der Regel um hochqualifizierte Experten, die sich in allen Aspekten der Netzwerksicherheit bestens auskennen.
Nach vorheriger Zustimmung durch den Kunden hat das Red Team zum Ziel, den digitalen Schutzwall zu durchbrechen und an der schwächsten Stelle Zugang zum System zu gelangen. Das Team testet neben den technischen Kontrollen auch die verfahrenstechnischen, sozialen und physischen Sicherheitskomponenten. Sie können sogar – wie ein Hacker – physisch Geräte platzieren. So treten sie vollumfänglich in die Fußstapfen der Kriminellen, um die sich bietenden Angriffsflächen von außen nach innen zu identifizieren.
Mit Einfallsreichtum, Werkzeugen und Tricks versuchen sie, sich festzusetzen und den Datenverkehr durch Ports, die innerhalb eines Unternehmens für gewöhnlich frei zugänglich sind, zurückzuleiten – in der Regel über das Internet, so dass sie mit ihren eigenen Servern nach außen kommunizieren können, ohne entdeckt zu werden. Diese ungefährlichen Server werden dann dazu benutzt, Geräte zu kontrollieren, die entweder platziert oder gehackt wurden – und zwar innerhalb des Unternehmens des Kunden.
Kein Angst vor Red Teams
Das alles klingt ziemlich beängstigend, nicht wahr? Deshalb ist es wichtig, sich ein paar wichtige Punkte in Erinnerung zu rufen. Erstens: Das Ziel der Übung ist nicht, sie zu überrumpeln. Es geht darum, Lücken zu erkennen, bevor es ein Hacker tut: Damit Sie Schritte unternehmen können, um sie zu schließen. Es ist auch wichtig zu beachten, dass das Red Team nicht einfach angreift und wieder verschwindet. Qualifizierte Berater für Informationssicherheit werden das erworbene Wissen nutzen, um die Probleme zu beheben, eine belastbare Strategie zu entwickeln und die Ausarbeitung von Richtlinien zu optimieren.
Und trotzdem legen Sie Ihr gesamtes Netzwerk offen und erlauben es einem Dritten, Ihre Sicherheitsvorkehrungen wirksam zu überwinden. Dies erfordert ein hohes Maß an Vertrauen. Daher ist es zweitens ebenso wichtig, das Red Team nach den bestmöglichen Kriterien zu wählen. Überprüfen Sie daher die Referenzen: Die CREST-Qualifikation ist der Goldstandard. CREST ist eine internationale, nicht gewinnorientierte Akkreditierungs- und Zertifizierungsstelle, die den Informationssicherheitsmarkt vertritt und unterstützt. Überprüfen Sie die Erfahrungen des Teams genau – und gewähren Sie nur denjenigen Zugang, denen Sie vertrauen!
Lohnt sich ein Red Team-Engagement?
Wie bei jeder Dienstleistung fallen auch bei einem Red Team-Engagement Kosten an. Doch viel wichtiger ist Preis-Leistungs-Verhältnis. Sieht man die Kosten für das Hinzuziehen externer Expertise im Zusammenhang mit dem Schaden durch einen öffentlichkeitswirksamen und potentiell gefährlichen Angriff, so werden die Kosten deutlich relativiert. Es ist nicht für jeden notwendig, denn in den meisten Fällen wir ein gut ausgearbeiteter Penetrationstestplan ausreichen. Es lohnt sich jedoch immer, fachkundigen Rat einzuholen, ob ein Red Team-Engagement für Ihr Unternehmen das Richtige ist.
Noch ein letzter Gedanke: Ein bekanntes Zitat besagt „Man kennt jemanden erst wirklich, wenn man in seinen Schuhen gestanden und in ihm herumgelaufen ist“. Aus diesem Grund tritt das Red Team in die Fußstapfen eines Hackers – doch es tut noch viel mehr: Es prüft, untersucht und analysiert; es erforscht und wertet aus; es identifiziert unvorhergesehene Schwachstellen. Alles nur, damit Sie Maßnahmen ergreifen können, Ihre Datensicherheit noch weiter zu verbessern – denn mit jedem Schritt, den Sie gehen, sind Sie einen Schritt weiter entfernt von einer potentiellen Schwachstelle.
Der US-Komiker Emo Philips fügte der Analogie des Schuhläufers noch eine zusätzliche Komponente hinzu. Er sagte: „Beurteile nie jemanden, bevor Du nicht eine Meile in seinen Schuhen gelaufen bist. Auf diese Weise sind Sie, wenn Sie ihn beurteilen, eine Meile weit weg – und haben seine Schuhe“.
Elavon kann Ihnen helfen, ein Red Team-Engagement zu vereinbaren, sowie Sie bei jederen anderen PCI DSS-, GDPR-, oder Cyber Security-Herausforderung unterstützen. Setzen Sie sich mit uns mit uns in Verbindung, um Ihre Anforderungen an die Datensicherheit zu besprechen: