Beliebte Suchanfragen
Hamburger Menu
    //

    Threat-Led
    Penetration Testing

    Simulierte Cyber-Angriffe basierend auf realen Bedrohungsszenarien: Finde mit Threat-Led Penetrationstests (TLPTs) heraus, wie sicher deine Systeme wirklich sind!

    Illustration eines Computers, aus dem Tentakel kommen und die umstehenden Server angreifen
    //

    Threat-Led Penetrationstests (TLPTs) – der realistische Test deiner gesamten IT-Infrastruktur

    Die Grenze von klassischen Penetrationstests

    Normale Penetrationstests haben ein Problem: Sie sind häufig sehr beschränkt in ihrem Scope und der verfügbaren Zeit. Sie sind gut geeignet, die Sicherheit eines einzelnen Systems zu bewerten, können aber keine Aussage über die Gesamtsicherheit eines Unternehmens liefern. Schwachstellen können übersehen werden, weil keine Zeit für tiefere Analysen ist oder bestimmte Systeme und Komponenten Out-of-Scope definiert werden. Das kann zu einer falschen Wahrnehmung von Sicherheit führen.

    Der Unterschied von TLPTs zu klassischen Penetrationstests

    Um die Gesamtsicherheit eines Unternehmens zu bewerten, sind Red Teamings bzw. TLPTs der beste Ansatz. TLPTs sind Tests mit einem sehr breiten Umfang, bei denen sich nicht auf bestimmte Systeme beschränkt wird. Die Tester*innen setzen hierbei alle Mittel ein, um Sicherheitsvorkehrungen zu umgehen – von Phishing-Kampagnen bis zu physischem Zutritt. Außerdem verfolgen diese Tests einen „Threat-led”-Ansatz: Basierend auf im Vorfeld durchgeführter Threat Intelligence werden die Angriffsmethoden durchgeführt, die für dein Unternehmen und deine Branche am ehesten zu erwarten sind. Damit sind diese Tests die beste Möglichkeit, böswilligen Angreifenden zuvorzukommen. Außerdem werden TLPTs mit der EU-DORA-Verordnung für mehrere Branchen Pflicht.

    //

    Wie du von TLPTs profitierst

    //

    Unsere Expert*innen kennen beiden Seiten – wie Angreifende vorgehen und vor welchen Herausforderungen Verteidigende stehen

    Illustration des Red-Teamers als Profilbild

    In unserer Arbeit in der digitalen Forensik sehen wir es leider allzu häufig: Unternehmen werden komplett verschlüsselt, trotz umfangreicher Sicherheitsmaßnahmen und teurer EDR-Lösungen. Der Teufel liegt bedauerlicherweise im Detail: Ein nicht bedachter Angriffsvektor kann zum Desaster führen. Deswegen empfehlen wir vor allem unseren größeren Kunden, regelmäßig Red Teamings durchzuführen: Nur ein umfassender und realistischer Angriff kann solche Lücken aufdecken.

    //

    Ablauf eines Threat-Led Penetrationstests

    Schritt 1: Gemeinsame Planung

    Schritt 2: Testdurchführung

    Schritt 3: Nachbereitung

    //

    Schritt 1: Gemeinsame Planung

    Der erste Schritt ist die gemeinsame Planung des Tests zwischen uns, dem Red Team und einem White Team auf deiner Seite. Das White Team sollte aus zentralen Entscheidungsträger*innen bestehen, die den Test beobachten und Risikomanagement betreiben. Sie sind die einzigen Personen, die innerhalb des Unternehmens Bescheid wissen, dass ein Test stattfindet. Sie können währenddessen die Reaktionen des Blue Teams und anderer Stellen beobachten.

    Gemeinsam, und basierend auf einem vorausgegangenen Threat Intelligence Report, legen wir Umfang und Ziele des Tests fest. Auch berücksichtigen wir Anforderungen der Finanzaufsichtsbehörde und folgen den Anforderungen des TIBER-DE Rahmenwerks.

    //

    Schritt 2: Testdurchführung

    Der Schritt der Testdurchführung lässt sich grob in zwei Phasen unterteilen. Der Test beginnt mit einer Phase der Informationsbeschaffung, in der das Red Team möglichst viel über das zu testende Unternehmen lernt – seien es extern erreichbare Systeme, verfügbare Zugangsdaten aus Datenleaks oder potenzielle Zugänge zu Gebäuden.

    Basierend auf diesen Informationen und den vorher festgelegten Zielen werden dann in der zweiten Phase verschiedene Angriffe ausgeführt. Dabei wird nicht nur der Erfolg der Angriffe, sondern auch die Reaktion des Blue Teams bewertet. Welche Angriffe wurden bemerkt? Wurden sie rechtzeitig eingedämmt? Das White Team hält hier eine kontrollierende Funktion und stellt zusammen mit dem Red Team sicher, dass die Angriffe keine echten Schäden hinterlassen.

    Nach der Erreichung festgelegter Ziele oder einem festgelegten Zeitraum endet die Testdurchführung.

    //

    Schritt 3: Nachbereitung

    Im Anschluss an den Test bietet es sich oft an, ein Purple Teaming durchzuführen. Das heißt: Red und Blue Team gemeinsam an einen Tisch bringen. Hier können die Angriffs- und Verteidigungsmaßnahmen durchgesprochen werden, besonders interessante Szenarien nochmal durchgespielt werden und gegenseitiges Feedback verteilt werden.

    Außerdem schreibt das Red Team einen ausführlichen Bericht mit allen gefunden Schwachstellen, beobachteten Reaktionen sowie Handlungsempfehlungen zur Erhöhung der Sicherheit.

    Schritt 1: Gemeinsame Planung

    Schritt 2: Testdurchführung

    Schritt 3: Nachbereitung

    //

    Schritt 1: Gemeinsame Planung

    Der erste Schritt ist die gemeinsame Planung des Tests zwischen uns, dem Red Team und einem White Team auf deiner Seite. Das White Team sollte aus zentralen Entscheidungsträger*innen bestehen, die den Test beobachten und Risikomanagement betreiben. Sie sind die einzigen Personen, die innerhalb des Unternehmens Bescheid wissen, dass ein Test stattfindet. Sie können währenddessen die Reaktionen des Blue Teams und anderer Stellen beobachten.

    Gemeinsam, und basierend auf einem vorausgegangenen Threat Intelligence Report, legen wir Umfang und Ziele des Tests fest. Auch berücksichtigen wir Anforderungen der Finanzaufsichtsbehörde und folgen den Anforderungen des TIBER-DE Rahmenwerks.

    //

    Schritt 2: Testdurchführung

    Der Schritt der Testdurchführung lässt sich grob in zwei Phasen unterteilen. Der Test beginnt mit einer Phase der Informationsbeschaffung, in der das Red Team möglichst viel über das zu testende Unternehmen lernt – seien es extern erreichbare Systeme, verfügbare Zugangsdaten aus Datenleaks oder potenzielle Zugänge zu Gebäuden.

    Basierend auf diesen Informationen und den vorher festgelegten Zielen werden dann in der zweiten Phase verschiedene Angriffe ausgeführt. Dabei wird nicht nur der Erfolg der Angriffe, sondern auch die Reaktion des Blue Teams bewertet. Welche Angriffe wurden bemerkt? Wurden sie rechtzeitig eingedämmt? Das White Team hält hier eine kontrollierende Funktion und stellt zusammen mit dem Red Team sicher, dass die Angriffe keine echten Schäden hinterlassen.

    Nach der Erreichung festgelegter Ziele oder einem festgelegten Zeitraum endet die Testdurchführung.

    //

    Schritt 3: Nachbereitung

    Im Anschluss an den Test bietet es sich oft an, ein Purple Teaming durchzuführen. Das heißt: Red und Blue Team gemeinsam an einen Tisch bringen. Hier können die Angriffs- und Verteidigungsmaßnahmen durchgesprochen werden, besonders interessante Szenarien nochmal durchgespielt werden und gegenseitiges Feedback verteilt werden.

    Außerdem schreibt das Red Team einen ausführlichen Bericht mit allen gefunden Schwachstellen, beobachteten Reaktionen sowie Handlungsempfehlungen zur Erhöhung der Sicherheit.

    //

    Vorbereitung auf TLPTs

    Zusätzlich zur Durchführung von TLPTs bieten wir auch die Vorbereitung auf diese an. In gemeinsamen Workshops evaluieren wir den Stand deiner IT-Sicherheitsmaßnahmen, erarbeiten notwendige Maßnahmen und testen spezifische Szenarien. So verbesserst du nachhaltig deine IT-Sicherheit und stehst bei zukünftigen Tests gegenüber den Aufsichtsbehörden gut da.

    //

    FAQ: Häufig gestellte Fragen zu Threat-Led Penetrationstests

    Wer sollte TLPTs durchführen?
    Grundsätzlich sind TLPTs bzw. Red Teaming im Allgemeinen ein Angebot an jedes Unternehmen, welches bereits in IT-Sicherheit investiert hat. Diese Tests sind die beste Antwort auf die Fragen: Ist mein Unternehmen sicher vor Cyberangriffen? Wie reagiert mein Blue Team im Ernstfall?

    Im Speziellen sind TLPTs besonders relevant für die Versicherungs- und Finanzbranche. Hier sind nach der EU-DORA-Verordnung 2022/2554 viele Unternehmen verpflichtet, TLPTs durchzuführen. Wir bieten Hilfe bei der Vorbereitung auf diese Tests an, genauso wie deren Durchführung.
    Wird ein TLPT meinen Betrieb beeinflussen?
    Nein. Vor dem Beginn des Tests werden klare Einsatzregeln und Ziele vereinbart, an die sich die Tester*innen halten müssen. Exploits werden in Absprache mit dem White Team und möglichst nicht destruktiv durchgeführt. Das Ziel ist es, zu demonstrieren und nicht zu zerstören.
    Wie wird die Sicherheit meiner Daten gewährleistet?
    Unsere Tester*innen verpflichten sich zu NDAs und nehmen die eigene Verantwortung sehr ernst. Nach Absprache sind wir bereit, auf bereitgestellten Systemen zu arbeiten, sodass erlangte kritische Daten niemals eure Systeme verlassen.
    Für wen sind TLPTs verpflichtend?
    Mit der DORA-Verordnung der EU sind alle Finanz- und Versicherungsunternehmen in der EU sowie ihre IT-Dienstleister verpflichtet, ein risikobasiertes, proportionales Testprogramm für ihre IT- und Kommunikationssysteme zu etablieren.

    Darüber hinaus wird ein Teil dieser Unternehmen zu erweiterten Tests in Form von TLPTs verpflichtet. Die Auswahl hierfür hängt von quantitativen Kriterien wie dem Einfluss auf den Finanzsektor ab und wird in Deutschland von der BaFin getroffen.
    (Quelle)
    Illustration des Red-Teamers, der einen USB-Stick in einen Server steckt
    //

    Wir sind bereit – du auch?

    Lass uns gemeinsam deine Systeme auf die Probe stellen und Sicherheitslücken schließen!