Red Team

Immer wieder hört man die Bezeichnung „Red Team“ und „Blue Team“ im Umfeld von Datensicherheit und Datenschutz. Vor allem im Datenschutz – Datenschutzgesetz (vgl.: DSG) und Datenschutz Grundverordnung (vgl.: DSGVO) – kommen diese auf Grund des hohen Risikos und Schadenpotentials zum Einsatz.

Der Ursprung des Ausdrucks liegt sehr wahrscheinlich im Geländespiel und hat zumindest eine militärische Konnotation. Im Zusammenhang mit Datenschutz und Datensicherheit in der Informationstechnik beschreibt es zwei Einheiten – eine rote und eine blaue. Erstere nutzt ihre Fähigkeiten – im Fall des Datenschutzes – eine Datenschutzverletzung herbeizuführen. Die zweite Einheit – blau – versucht diese Datenschutzverletzung zu vermeiden.

Viele Organisationen verstärken Ihr Engagement im Bereich der Datensicherheit, um die Durchsetzung des DSG und der DSGVO zu gewährleisten. Getrieben vor allem durch die hohen Strafdrohungen und auch den möglichen Imageverlust. Wichtig in diesem Zusammenhang ist zu erwähnen, dass jede Organisation gesetzlich verpflichtet ist Maßnahmen zu setzen. Die gesetzliche Verpflichtung erweitert massiv den Risikoraum, der bewertet werden muss. Konkret ist das die Sicht des Betroffenen – Stichworte, wie Datenminimierung, Betroffenenrechte, Verfügbarkeit und Vergessenwerden sind nicht Bestandteil der Datensicherheit im Regelfall! Das kann durch Ergänzung der Fragestellungen aber behoben werden.

Red Team – Rote Einheit

Red Teams – rote Einheiten – sind damit befasst ein Informationssystem zu kompromittieren. Sie versuchen Schwachstellen aufzuspüren (bis zur effektiven Benutzung, um einen Nachweis zu liefern) und in weiterer Folge aber auch das Erarbeiten von Maßnahmen zur Vermeidung, Entfernung und auch Behebung festgestellter Schwachstellen.

Eine rote Einheit handelt wie ein Angreifer gegenüber der Organisation. Sie nehmen die Rolle eines Angreifers ein – sowohl externer, wie auch interner Angreifer. Ein grundlegender Unterschied ist die Motivlage. Eine rote Einheit handelt nicht in Schädigungs-, oder Bereichungsabsicht und auch nicht zur Steigerung des Selbstwertgefühls (meistens halt) In dem die Einheit, wie ein Angreifer handelt, kann der Organisation gezeigt werden, welche Schwachstellen, Möglichkeiten, vorhanden sind und wie diese ausgenutzt werden können. Die Darstellung der Schwachstellen ist eine gute Ausgangslage für eine Beurteilung der Lage. Die Beurteilung aus Sicht des Datenschutzes (vgl.: DSG & DSGVO) hat eine andere Fragestellung, Perspektive, wie aus Sicht der Datensicherheit (vgl.: ISO2700). Die Grundlage für eine Beurteilung kann aber auf alle Fälle die selbe sein. Unterscheiden kann sich die Beurteilungsgrundlage im Umfang aber.

Eine übliche Vorgehensweise ist eine externe rote Einheit mit dieser Aufgabe zu beauftragen. Diese rote Einheit hat in der Regel keine Kenntnis über vorhandene Infrastruktur und organisatorische Maßnahmen, die dem Schutz und der Integrität von Daten der Organisation dienen.

Als Techniken kommen einige standardisierte Verfahren, wie (Spear-)Phising (Versuche) gegenüber Mitarbeitern der Organisation und andere Techniken des sozialen Engineering zum Einsatz, um Zugang zu Informationen zu erlangen. Die Effektivität einer roten Einheit hängt vor allem von der Kenntnis über verschiedene Taktiken, Techniken und Verfahren ab, die ein Angreifer einsetzen könnte/ würde.

Rote Einheiten bringen den entscheidenden Vorteil im Vorfeld sich als Organisation mit Geschehnissen auseinanderzusetzen und Lösungs- und Gegenstrategien zu entwicklen. Die gewonnenen Informationen sind die Grundlage für Erkenntnisse mögliche Dateschutzverletzungen zu erkennen und vor allem auch in weiterer Folge zu vermeiden und auszuschliessen. Eine Veröffentlichung, zumindest eine begrenzte, wie sie zum Beispiel die NIS RL vorsieht, kann das allgemeine Sicherheits- und Schutzniveau positiv beeinflussen. Vorteile liegen hier auf der Hand, wie die Bündelung von Ressourcen und Erzielung von Skaleneffekten durch eine größere Basis.

Blue Team – Blaue Einheit

Blue Teams – blaue Einheiten – sind auch mit Informationssicherheit befasst. Sie prüfen auch auf mögliche Schwachstellen. Der Unterschied zu einer roten Einheit ist, dass diese Einheit sucht Verfahren, Vorgehensweisen, wie auch Maßnahmen zu etablieren, die es der Organisation ermöglichen einen Vorfall zu erkennen, zu bewerten und entsprechend zu reagieren. Die Reaktion spannt sich von aktiven individuellen Gegenmaßnahmen, Anpassung von Verfahren in Reaktion auf ein spezifisches Verhalten, wie auch eine Umgestaltung von Verfahrensweisen, um die Effektivität von Reaktionen auf Vorfälle gewährleisten zu können. Eine blaue Einheit ist dazu da die Verhältnismäßigkeit, Entsprechung und Treffsicherheit von Maßnahmen zu gewährleisten. Ziel ist es die Widerstandsfähigkeit der Organisation zu stärken. Eine blaue Einheit ist Teil der Organisation und hat Kenntnis über Maßnahmen und Einrichtungen zur Datensicherheit und zum Datenschutz.

Aufgaben und Tätigkeiten einer blaue Einheit sind:

  • Sicherheitsüberprüfung (möglichst nach einem Industriestandard, wie ISO27000)
  • Laufende Risikoerhebung und -bewertung
  • Reverse Engineering (Unterstützung Entwicklung)
  • Standardisierte laufende Überprüfung auf Belastbarkeit und Verfügbarkeit der Infrastruktur
  • Erhebung und Darstellung der öffentlich zugänglichen (elektronischen) Informationen

Zusammenfassung

Beide Arten von Einheiten sind für eine Organisation eigentlich unerlässlich. Ohne laufende Überprüfung von Schutz- und Sicherheitsmaßnahmen, Errichtung und Betrieb einer entsprechenden Infrastruktur und entsprechender Maßnahmen ist es einer Organisation wahrscheinlich nicht möglich das gesamte Ausmaß an Risikofeldern und der eigenen Maßnahmen wahrzunehmen, geschweige denn zu setzen. Im schlimmsten Fall deckt erst eine Datenschutzverletzung die entsprechende Schwachstelle auf und die Organisation sollte dann zumindest anhand schmerzhafter Reaktionen aus dem Vorfall lernen.

Share on:

Schreibe einen Kommentar