Anzeigen-Spezial

Cybersecurity

Hacker gegen Hacker

6 Minuten Lesezeit

Um Cyberkriminellen zuvorzukommen, machen Unternehmen ihre Netzwerke zur Arena für einen professionellen Wettstreit: „Gute“ und „böse“ Hacker treten im Auftrag des Unternehmens gegeneinander an – für mehr IT-Sicherheit.

Geldautomaten aus der Ferne knacken und unauffällig eine Auszahlung starten – was wie ein Akt von Cyberkriminellen klingt, kann tatsächlich von der Bank so gewollt sein. Die Finanzinstitute selbst beauftragen Tests, um die Sicherheit ihrer Infrastrukturen zu prüfen. Eine besonders effektive Methode – das Red & Blue Teaming – setzt bewusst auf menschliche Intelligenz.

Beim Red & Blue Teaming treten zwei Gruppen von Cybersecurity-Experten gegeneinander an. Die „Roten“ greifen mit hackertypischer Kreativität und Beharrlichkeit an, während die „Blauen“ versuchen, die Attacken mit forensischem Feingefühl zu enttarnen und abzuwehren. Am Ende gibt es zwei Gewinner: den Sieger des professionellen Schlagabtauschs und den Auftraggeber, der nun die Lücken in seiner Abwehr kennt.

Giulia Vaccaro, Cybersecurity-Expertin bei Atos
Giulia Vaccaro, Cybersecurity-Expertin bei Atos
„Es ist wie ein gutes Computerspiel“

Giulia Vaccaro arbeitet im Red Team der Cybersecurity-Abteilung von Atos und liebt es, die gängigen Schutzmechanismen zu umgehen und ihre menschlichen Gegenspieler auszutricksen. „Es ist wie ein gutes Computerspiel“, sagt die 22-Jährige. Der Moment, in dem die letzte Hürde zum vereinbarten Ziel hinter ihr liege, sei mit dem Gefühl vergleichbar, wenn man das letzte Level eines aufregenden Computerspiels schafft. Den meisten Unternehmen sei gar nicht bewusst, wie viel Zeit, Energie und Angriffsmöglichkeiten Cyberkriminelle hätten.

Angreiferin gegen Verteidiger

Roman Möller, Cybersecurity-Experte bei Atos
Roman Möller, Cybersecurity-Experte bei Atos

Vaccaros Attacken begegnet Roman Möller im Blue Team von Atos mit Besonnenheit und Akribie. Möller begreift seine Aufgabe als ständiges Lernspiel. „Ich lasse mich gerne von neuen, cleveren Methoden überraschen und finde es großartig, sie als Wissensvorsprung an meine Kunden weiterzugeben“, so der Security-Experte.

In seinem Job muss er aber nicht nur Hackerangriffe erkennen, sondern auch im entscheidenden Moment Ruhe bewahren. Als Mitglied des Blue Teams dürfe er nicht gleich die große Alarmglocke läuten, wenn er in den Protokolldateien, die er laufend studiert, eine auffällige Verhaltensweise erkenne. Statt panisch alle Schotten dicht zu machen, gehe es darum, einen größeren Zeitraum zu überblicken, die Hintergründe zu klären und Fehlalarme zu vermeiden.

Wenn zum Beispiel jemand im Intranet einen sogenannten Port-Scan durchgeführt hat, um nach offenen Verbindungen zu tieferen Netzwerksphären zu suchen, könne das theoretisch ein Hinweis auf einen Eindringling sein. Genauso könne aber auch ein firmeneigener Administrator die Aktion gestartet haben.

Mit harten Bandagen kämpfen Red und Blue Teams erst, nachdem sie gemeinsam geprüft haben, welche hackertypischen Taktiken, Techniken und Prozeduren das vorhandene Sicherheitssystem bereits bemerkt und welche nicht. Um dies herauszufinden und den Handlungsbedarf einzugrenzen, verabreden sich die späteren Opponenten zu sogenannten Atomic Tests.

Während das Red Team also bekannte Angriffsmethoden durchführt, prüft das Blue Team, ob es alle nötigen Daten von den attackierten Systemen bekommt, um die Attacken zu erkennen. Neben dem Trainingseffekt für beide Parteien geht es aber letztlich darum, die verwendeten Monitoring-Tools zu optimieren und die Erkennungsrate zu verbessern. Dafür sind insbesondere Systeme wie das SIEM, kurz für Security Information and Eventmanagement, laufend an die aktuellen Bedrohungen und sich ändernden Angriffsstrategien anzupassen.

Nur auf einer vollständigen Informationsbasis könne man dem Kunden später wirkungsvolle Gegenmaßnahmen vorschlagen, erklärt Möller. In Einzelfällen komme es aber auch vor, dass der Aufwand zur Behebung einer Sicherheitslücke in keinem Verhältnis zum Risiko steht und der Kunde sie einvernehmlich in Kauf nimmt. Genauso könne es sein, dass eine einzelne Sicherheitsmaßnahme gleich mehrere Risiken eliminiert.

Eine Lücke kann alles gefährden

In einem aktuellen Projekt für den Gesundheitssektor sollen die Security-Experten ein System hacken, das Zertifikate für den sicheren Datenaustausch ausstellt. Gelänge es einem Cyberkriminellen, diese PKI-Infrastruktur für das medizinische Internet der Dinge (IoT) zu verändern, wäre die Vertrauenskomponente hinfällig und die Lösung des Auftraggebers auf einen Schlag wertlos.

Nach der einleitenden Phase der Standardtests wird es spannend für Blue Teamer Roman Möller: Bald hat er es mit unangekündigten und schlecht sichtbaren Attacken zu tun, bei denen der Angreifer versucht, unbemerkt in das Unternehmensnetzwerk einzudringen und sich dort auszubreiten.

Gelingt es den Hackern, mit ständig optimierten Techniken den vorhandenen Erkennungsmechanismen auszuweichen, freut sich nicht nur das Red Team, sondern auch Blue Teamer Möller. Denn auch er lernt daraus und kann sein Regelwerk zum Schutz der Infrastruktur seines Kunden weiter verfeinern.

Wie ihre Hackerkollegen von der „dunklen Seite“ greifen Red Teamer auf ein reichhaltiges Tooling zurück, das je nach Vereinbarung von Methoden wie Social Engineering und Phishing bis hin zu fast filmreifen Tricks reicht. Um sich auf Geldautomaten Zugriff zu verschaffen, gab sich ein Red Teamer von Atos zunächst als Bekannter eines Administrators aus, der Zugang zur Testumgebung hatte.

Über dessen Berechtigung und eine schlecht geschützte Verbindung zum Automatennetz gelang den Auftragsangreifern schließlich der Coup: Das System war korrumpiert und die Barauszahlung an jedem beliebigen Standort ohne Berechtigung möglich. Um diesen Worst Case in Zukunft auszuschließen, etablierte die Bank umgehend die von Atos empfohlenen Gegenmaßnahmen.

Mensch und Maschine als Einheit

Red & Blue Teams müssen nicht unbedingt groß sein, um wichtige Sicherheitslücken aufzudecken. Für genau definierte Ziele wie im aktuellen Projekt für das Gesundheitswesen genügt je eine Person im Red und im Blue Team. Mit größeren Red & Blue-Teaming-Projekten lassen sich dagegen Angriffe mehrköpfiger Hackerbanden simulieren. Solche großen Projekte laufen meist über Monate und vermitteln ein möglichst vollständiges Bild der aktuellen Schwachstellen.

Auf jeden Fall bringt der Wettstreit zwischen Angreifern und Verteidigern die richtigen Maßnahmen ans Licht, um die Cybersecurity kontinuierlich weiterzuentwickeln. Fertig werde man zwar nie, so Atos-Experte Roman Möller. Schließlich gibt es immer wieder neue Bedrohungsszenarien und Methoden Cyberkrimineller. Doch mit einer schlagkräftigen Einheit aus Mensch und Maschine, die sich laufend verbessert, kann man den Hackern den entscheidenden Schritt voraus sein.

Atos ist ein weltweit führender Anbieter für die digitale Transformation mit mehr als 110.000 Mitarbeitern in 73 Ländern und einem Jahresumsatz von mehr als zwölf Milliarden Euro. Als europäischer Marktführer für Cloud, Cybersecurity und High Performance Computing bietet die Atos-Gruppe ganzheitliche Lösungen für Orchestrated Hybrid Cloud, Big Data, Business-Anwendungen und Digital Workplace.