Auf leisen Sohlen

00:00:01: Erstmal um diese coolen Hacker-Sachen zu machen, muss man irgendwie einen Zugriff zum Netzwerk kriegen.

00:00:06: Weil die coolen Sachen sind meistens halt hinter verschlossenen Türen und da muss man halt erst irgendwie reinkommen.

00:00:11: Da gibt es zwei Möglichkeiten.

00:00:13: Die erste ist, wir arbeiten uns sozusagen den Weg selber ins Netzwerk rein.

00:00:17: Das kann man erfahrungsgemäß, kann man das durch technische Angriffe machen.

00:00:22: Also zum Beispiel die Web-Anwendung, die veraltete Software-Komponenten einsetzt, die bekannte Schwachstellen haben, mit denen man dann auf das dahinter liegende System Zugang bekommen, zum Beispiel.

00:00:32: Man kann aber auch Social Engineering Angriffe gegen Mitarbeitende durchführen, vereinfacht ausgedrückt.

00:00:38: Ich schicke in der Kollege eine E-Mail, wo ein Anhang drin ist, der bösartig ist.

00:00:43: Wenn diese Kollegin draufklickt, habe ich die Kontrolle über das System erlangt.

00:00:46: Und so kriegt man beispielsweise ein Fuß ins Netz.

00:00:55: HiWay,

00:00:56: dein Wegweiser für Digitalisierung und Sicherheit.

00:00:59: Präsentiert von HiSolutions.

00:01:07: Hallo und herzlich willkommen zu einer weiteren Folge von unserem Podcast, dem HiWay.

00:01:12: Wir haben ein weiteres Thema mitgebracht, für das wir uns freuen, dass ihr euch auch dafür interessiert.

00:01:17: Ihr wisst noch gar nichts drüber, aber ich weiß schon, worum es geht.

00:01:19: Es wird um Redteaming gehen heute.

00:01:21: Ich hab Marcel mit eingeladen, der sich dankenswerter Weise bereit erklärt hat, uns zu diesem Buzz World ein bisschen was zu erzählen.

00:01:28: Ich erzähle kurz was zu dir gar nicht so viel.

00:01:31: Aber dann geht's mit dir los.

00:01:34: Du bist bei uns tätig im Pentest-Bereich eigentlich.

00:01:36: Also sozusagen hast du einen technischen Background, wirst halt die Sicherheit studiert.

00:01:41: Und hier bist du jetzt, weil du bei uns auch Themen verantwortlicher für den Bereich Red-Teaming bist, also derjenige, der sich darum kümmert, dass die Leute ausgebildet werden, dass wir das Produkt weiterentwickeln, dass irgendwie wir verstehen, was gerade am Markt los ist, dass man es auch immer mal wieder anpassen kann.

00:01:56: Ungefähr, oder?

00:01:56: Was Wichtiges vergessen?

00:01:57: Kann man so sagen, ja.

00:02:02: Schön, dass du da bist und uns ein bisschen deiner Zeit schenkt.

00:02:05: Es gibt rund um das Thema Red.

00:02:07: Ich finde Red-Teaming ist so ein Buzzword an sich.

00:02:08: Es gibt noch viel mehr Buzzwords außen rum.

00:02:12: Und es ist eins von den coolen Sachen.

00:02:14: Als ich damals mit dem Studium fertig war und dann angefangen hab zu arbeiten, da war Pen-Testing das, was die coolen Kinder machen wollten oder gemacht haben.

00:02:23: Das war Pen-Testing und ich hab das Gefühl jetzt ist Red-Teaming das, was die coolen Kinder machen wollen.

00:02:28: Ist das jetzt das Gleiche und hat nur einen neuen Namen bekommen?

00:02:30: Kommt ihr auch noch mal vor oder geht es dann unterschiedlich?

00:02:33: Das ist eine gute Frage.

00:02:34: Also, er ist auf jeden Fall cool, dass wir darüber reden, weil ich glaube, durch dieses ganze Dora und TBAEU wird das sicherlich in Zukunft auch für uns in Deutschland relevant.

00:02:43: Aber eigentlich sind Pentest und Red Teaming zwei unterschiedliche Dinge.

00:02:46: Die werden in der Praxis, werden die oft miteinander verwechselt und auch Red Teaming, wie du bestimmt schon mitbekommen hast, wird oft sehr inflationär gebraucht, einfach als Wort.

00:02:55: Aber da die beiden Methoden unterschiedliche Ziele haben, ist das schon relativ wichtig, die voneinander abzugrenzen.

00:03:01: Wir haben einmal mehr Pentesting, das ist quasi die breite Identifikation von Schwachstellen.

00:03:07: Sagen wir, nächstem Monat soll eine neue Web-Anwendung veröffentlicht werden, dann macht man Pentests darauf, um zu gucken, gibt es da irgendwelche Schwachstellen, die beispielsweise Code Ausführung ermöglichen.

00:03:16: Man kann aber auch nur mobile Anwendungen sich angucken.

00:03:20: Ganz genauso wie ein internes Netzwerk, kann man auch ganz normalen Pentests drum machen, um zu gucken, Kann man oder gibt es Schwachstellen, die Anwärfer nutzen können, um ihre Anwärfe zu freien?

00:03:31: Einfach ausgedrückt.

00:03:32: Rätseln auf der anderen Seite hat ein ganz anderes Ziel.

00:03:35: Und zwar geht es darum, zu gucken, ob die vorhandenen Prozesse und Abwehrmaßnahmen, die technischen und menschlichen, ob die im Ernstfall genauso funktionieren, wie man sich das vorstellt.

00:03:46: Das heißt, Pentesten ist mehr so da Schwachstellen identifizieren.

00:03:50: Und Red Teaming macht man, um zu gucken, ob die Prozesse, die man irgendwie in der Firma hat, ob diese funktionieren, wie man sich das wünscht.

00:03:57: Kannst du mal ein Beispiel bringen für so ein Prozess, den ihr da zum Beispiel testet?

00:04:01: Genau, beispielsweise ob ein Antivirus-System ein Antivirus erkennt.

00:04:06: Oder was passiert, wenn ein Antivirus erkannt wird, ob das hockt dann in einer gewissen Zeit dieses System vom Netz isoliert.

00:04:14: Ich stelle dir kurz eine Bonusfrage.

00:04:17: Du hast am Anfang Dora und Tiber erwähnt und du denkst, dass Redteaming deswegen nochmal an Bedeutung gewinnt.

00:04:24: Kannst du es kurz einordnen, was diese beiden Begriffe ... Tiber ist doch ein Fluss in Ruhe.

00:04:31: Nee, was die mit dem Redteaming zu tun haben.

00:04:33: Ja,

00:04:33: es sind sozusagen Entwürfe, die erschaffen wurden, damit die digitale Sicherheit hier in Deutschland und in Europa ansteigt.

00:04:42: Bei Dora ist es zum Beispiel so, dass das gilt für den Finanzsektor, dass die größten Finanzdienstleister regelmäßig Red-Team-Tests machen müssen.

00:04:49: Okay.

00:04:50: Das heißt, es ist regalatorisch, was vorschreibt, dass diese Art von Prüfung irgendwie durchgeführt wird.

00:04:54: Ganz genau, ja.

00:04:55: Und deswegen ist es jetzt auch so ein bisschen allermundel.

00:05:00: Ich bin neugierig.

00:05:03: Ich finde, also, ich habe natürlich einen Einblick.

00:05:06: Aber andererseits denke ich mir, als ich noch keinen Einblick hatte und fand, dass das das war, was die coolen Kinder machen.

00:05:10: Da konnte ich mir nicht so richtig vorstellen, was das dann praktisch heißt.

00:05:13: Also, wenn ihr vorgeht, was tut ihr denn, um zu gucken, ob diese Prozesse funktionieren?

00:05:20: Was macht ihr?

00:05:22: Also, erst mal, um diese coolen Hacker-Sachen zu machen, muss man irgendwie einen Zugriff zum Netzwerk kriegen.

00:05:27: Weil die coolen Sachen sind meistens halt hinter verschlossenen Türen.

00:05:31: Und da muss man halt erst irgendwie reinkommen.

00:05:33: Da gibt es zwei Möglichkeiten.

00:05:34: Die erste ist, wir arbeiten uns sozusagen den Weg selber ins Netzwerk rein.

00:05:39: Das kann man... Erfahrungsgemäß kann man das durch technische Angriffe machen, also zum Beispiel die Web-Anwendung, die veraltete Software-Komponenten einsetzt, die bekannte Schwachstellen haben, mit denen man dann auf das dahinter liegende System Zugang bekommt, zum Beispiel.

00:05:53: Man kann aber auch Social Engineering-Angriffe gegen Mitarbeiter durchführen, vereinfacht ausgedrückt.

00:05:59: Ich schick einer Kollegin eine E-Mail, wo ein Anhang drin ist, der bösartig ist.

00:06:04: Wenn diese Kollegin draufklickt, habe ich die Kontrolle über das System erlangt.

00:06:08: Und so kriegt man halt beispielsweise ein Fuß ins Netz.

00:06:12: Die letzte Möglichkeit, die auch sehr sehr spannend ist, sind physische Angriffe, weiß es gegen Standorte.

00:06:17: Und da ist es zum Beispiel so, dass man sich eine Gruppe von Personen ranhängt, Tailgating heißt das, die gerade in Gebäude betreten.

00:06:25: Die bemerken dich nicht, du gehst einfach mit rein, bist dann im Gebäude drin, suchst dir eine Netzwerktose, schließt dein Laptop an und hast dann auch Zugang zum Internetzweck.

00:06:34: Okay, also das ist die dreiste Variante.

00:06:36: Wir haben dazu noch einen anderen Podcast.

00:06:38: Also wer sich mehr dafür interessiert für das Social Engineering, für das physische Zutritt bekommen.

00:06:42: zum Gebäude, da hat noch ein Kollege von Marcel der Henning was erzählt.

00:06:46: Entweder kommt die noch raus oder sie ist schon rausgekommen zu dem Zeitpunkt, wo ihr das seht, wenn ihr das interessiert, dann wartet auf diese Folge oder vielleicht könnt ihr sie einfach schon nachgucken.

00:06:55: Wir gucken uns jetzt die technischen Sachen an, oder?

00:06:57: Also da bleiben wir jetzt für den Moment noch.

00:06:59: Noch kurz zu den Angriffen.

00:07:01: Was man auch machen kann, was wir auch empfehlen, ist so ein genannter Assume Compromise-Ansatz.

00:07:07: Das heißt, uns wird ein Zugang zum Netzwerk bereitgestellt, z.B.

00:07:10: eine VPN-Verbindung.

00:07:13: Und dann gucken wir halt die nachfolgenden Brüschschütter uns an.

00:07:16: Das hat den Vorteil, dass man halt Budget und Zeit spart.

00:07:20: Und in der Realität ist es leider so, dass man vor allem diese Fishing-Angriffe, die kann man nicht zu hundert Prozent verhindern.

00:07:26: Irgendwann werden Mitarbeiter auf eine Fishing-Mill drauf reinfallen und draufklicken.

00:07:31: Man kann nicht so viel schulen wie man will, aber irgendwann ist der halt emotional so verletzlich, sag ich mal, dass er halt einfach draufklickt.

00:07:38: Und deswegen macht das schon meistens Sinn, diesen Assume Compromise-Ansatz zu benutzen.

00:07:43: Okay, das heißt, das ist ein Ansatz, wo ihr euch nicht Schritt für Schritt rein hangelt, sondern wo ihr quasi, wo es eine Annahme gibt, dass ihr eine bestimmte Hürde schon überwunden habt.

00:07:50: Jetzt wird gesehen, schafft ihr es, die nächste Hürde auch zu überlegen, sozusagen.

00:07:54: Frage drei.

00:07:56: Gibt das der typische Hürden oder ist das ganz individuell?

00:07:59: Also es... Ist ja ein gutes Thema, also es ist alles sehr, sehr kreativ.

00:08:05: Man kann alles machen im Red Teaming, kommt halt immer darauf an, was das letztendliche Ziel ist.

00:08:09: Aber, na klar, es kommt halt vor, man ist auf dem Server im Internetzwerk, weiß zum Beispiel den Domain-Administrator, hat sich dort eingeloggt, man könnte die Zugangsdaten von diesem Domain-Administrator auslesen, wenn man lokaler Admin ist, aber man schafft es nicht, zu diesem lokalen Admin zu werden, weil zum Beispiel eine Antivirenlösung oder eine IDR-Lösung auf dem System das einfach verhindert.

00:08:31: Und dann muss man halt kreativ werden, irgendwelche Wege sich überlegen, wie man diese Lösung aushebelt oder daran vorbei arbeitet.

00:08:38: Und im besten Fall baut man sich einfach eine Laborumgebung auf, die identisch für die eigentliche Umgebung ist.

00:08:44: Und dann spielt man rum.

00:08:45: Dann probiert man aus, solange bis es funktioniert und bis man nicht mehr erkannt wird.

00:08:50: Und diesen Schritt führt man dann halt in der echten Umgebung aus.

00:08:52: Das klingt wahnsinnig zeitaufwendig.

00:08:55: Also so eine ganze Umgebung nachzubauen, wie ich und ich weiß es ja, also wenn ich wirklich mir vorstelle, ich... Ich führ diesen Angriff durch, ich hab dann Zugriff auf einen Server bekommen, dann wusste ich ja vorher noch gar nicht, wie die Umgebung aussieht, oder?

00:09:05: Also ihr kriegt es dann mit vor Ort und dann versucht ihr es nachzubauen.

00:09:08: Das ist unfassbar zeitaufwendig, oder?

00:09:10: Ich

00:09:10: das ist ein Spagat, weil Zeit ist auch nicht unbegrenzt.

00:09:13: Es gibt auch manchmal andere Wege.

00:09:16: Ich weiß, letztes Jahr hatten wir ein Projekt, da hatten wir auch so eine Lösung, die uns die Suppe versalzen hat.

00:09:22: Und wir haben einfach mal gegoogelt und auf der Herstellerseite haben wir eine Anleitung gefunden für Benutzer, die irgendwie das Masterpasswort vergessen haben, wie man diese Anwendung einfach deinstallieren kann.

00:09:32: Und das ist halt, ja, Checkpad für uns, kann man einfach deinstallieren und sich dann weiter durchhangeln.

00:09:39: Aber so was gibt es auch.

00:09:40: Also es ist sehr, sehr kreativ und es gibt nicht eine One-Shot-Lösung, wie immer funktioniert, sondern man muss halt echt gucken und auf die Umgebung halt anpassen, was man macht.

00:09:49: Das heißt, ihr habt die Lösung noch gar nicht in der Tasche, ihr habt sicher irgendwie ein Arsenal von Dingen, die ihr oft probiert, die man vielleicht auch in ein Pentes probieren würde.

00:09:57: Aber

00:09:58: es klingt so, als sei es ja wirklich wichtig, die Hürde dann zu überwinden.

00:10:01: Im Pen-Test kann ich sagen, ich identifiziere viele Schwachstellen, dann schreibe ich auf, dass sie da ist.

00:10:05: Und wenn ich sie jetzt nicht schaffe, die auszunutzen, in diesem Moment ist es nicht so schlimm.

00:10:09: Dafür werde ich nicht bezahlt, sozusagen.

00:10:11: Da geht es eher darum, so viel wie möglich zu entdecken.

00:10:12: Und bei euch geht es halt darum, wenn ich es richtig verstanden habe, eine Sache, also es würde in Zweifel eine Stelle ausreichen, wo ihr reinkommt, aber die müsst ihr halt auch wirklich überwinden.

00:10:22: Genau.

00:10:23: Im Red-Teaming ist es so, dass man ... eigentlich ein klares Ziel definiert.

00:10:27: Beispielsweise erlangt Zugangsdaten zu dieser Datenbank.

00:10:32: Ein Angreifer auf der anderen Seite hat das wesentlich einfacher als wir.

00:10:36: Also der ist ja meistens finanziell irgendwie motiviert, verschüsselt einfach alle Systeme und fordert dann Lösegeld.

00:10:41: Bei uns ist das immer eine Sache der Absprache.

00:10:44: Also wir müssen echt in starker Kommunikation mit den Kunden gehen und halt erstmal erfahren, was will der überhaupt?

00:10:50: Will der vielleicht genau dieses Szenario getestet haben, dass ein System Pol verschüsselt wird?

00:10:54: Dann ist das halt auch unser Hauptziel.

00:10:56: Dann versuchen wir irgendwie Zugang zu diesem System zu kriegen und das dann zu verschüßeln.

00:11:00: In der Praxis sind es halt meistens andere Ziele, wie zum Beispiel diese sensible Datenbank, die im Netzwerk erreichbar ist, was wir da Zugrift aufkriegen.

00:11:08: Und dann als Beweis legen wir dann zum Beispiel eine Textdatei ab, damit wir beweisen können, dass wir da Zugang hatten.

00:11:15: Eine Frage noch, weil ich mir einfach vorstelle, Sicherheitsmaßnahmen stockt, ihr testet das, wenn ihr das testet, vielleicht werdet ihr auch manchmal erwischt.

00:11:21: Wie läuft das dann ab?

00:11:23: Ist dann vorbei oder gibt es eine Möglichkeit weiterzumachen?

00:11:27: Meistens ist es so, es ist natürlich ärgerlich, wenn das passiert, aber es ist mit eingeplant.

00:11:33: Wir sagen dem Kunden auch immer, das kann passieren, es ist ein Risiko, was halt valide ist.

00:11:37: Und dann überlegt man halt, macht man offen weiter, dass jeder weiß, dass der Test stattfindet, aber man probiert trotzdem aus, die Schritte durchzuführen und guckt dann halt, wie die Maßnahmen das erkennen oder nicht.

00:11:49: Man kann aber auch dann natürlich abwarten, sagen wir, sechs Monate abwarten und dann hoffen, dass die Leute das vergessen haben, dass so ein Testsehmer stattgefunden hat und dann halt neu anfangen und hoffen, dass es diesmal besser läuft.

00:12:00: Also

00:12:01: besser für euch, schlechter für den Kunden zu sein.

00:12:03: Es ist immer eine

00:12:03: gute Frage, was man uns wünscht.

00:12:04: Ob man uns jetzt viel Erfolg wünscht, ist cool für uns, wir haben mehr Spaß und alles.

00:12:08: Aber für Kunden ist es halt doof.

00:12:10: oder ob man halt sagt, ich hoffe, wir finden nichts, aber es ist halt auch irgendwie doof.

00:12:15: Okay.

00:12:17: Hey, danke für den Einblick.

00:12:19: Ich hoffe, es ist ein bisschen konkreter geworden, was die coolen Kinder im Bereich Red Teaming so machen.

00:12:24: Wir haben dazu noch viel mehr Infos online, die werden wir verlinken in den Show Notes.

00:12:28: Das zum Beispiel in Glossar mit ganz, ganz vielen Buzzwords, von denen ich nicht weiß, was sie eigentlich bedeuten.

00:12:32: Aber wenn ich es dann durchgelesen habe, dann werde ich es auch wissen.

00:12:35: Wir haben eine Wissensfrühstückreihe, also eine Reihe mit Videoaufnahmen, mit Vorträgen zum Thema Red Teaming, die man stattgefunden hat.

00:12:43: Da gibt es tatsächlich einen Überblickvortrag zum Beispiel, was das mit dem Red Teaming überhaupt soll.

00:12:47: Wir haben auch, glaube ich, noch was zum Fishing.

00:12:49: Das werden wir alles verlinken.

00:12:50: Wenn jemand Interesse daran hat, könnt ihr euch noch ein bisschen reingraben.

00:12:54: Ansonsten will ich an dieser Stelle einfach dem Marcel vielen Dank sagen.

00:12:57: Danke für deine Meinung.

00:12:57: Für das Erzählen und euch vielen Dank fürs Zuhören und Zuschauen.