Tabletop Exercise und Red Teaming: Wie Unternehmen ihre Cyberresilienz stärken
Weil sich die Cyberbedrohungen laufend verändern, ist es unerlässlich, auch die Cyberdefence ständig zu überprüfen und weiterzuentwickeln. Zwei wichtige Methoden helfen dabei, Schwachstellen zu identifizieren und die Cyberresilienz zu stärken.
Oktober 2024, Text Andreas Heer 4 Min.
«Diese Kaffeemaschine soll demnächst entfernt werden. Erfahre hier, wie du dich dagegen wehren kannst.» Plakate mit dieser Aufschrift hingen in einigen Swisscom Gebäuden bei Kaffeemaschinen, inklusive QR-Code mit einem weiterführenden Link.
Bei der Suche nach der Antwort auf die Frage, wie gut der Schutz eines Unternehmens ist – die Cybersecurity Posture –, dürfte der eine oder andere Kaffee getrunken worden sein. Die Antwort liefern präventive Massnahmen, die die Wirksamkeit der Cyberdefence verbessern. Dieser Artikel behandelt zwei Ansätze, die sich in ihrer Ausrichtung gut ergänzen und dazu beitragen, die Cyberresilienz zu stärken.
Mit Simulationen Lücken finden, bevor es ein Angreifer macht
Bei einer Tabletop Exercise, oder kurz TTX, handelt es sich um eine Übung am grünen Tisch. Sie basiert auf dem Szenario eines realen Cybervorfalls. Dieser Ansatz hilft, die Zusammenarbeit zwischen verschiedenen Geschäftsbereichen zu verbessern und die bestehenden Notfallpläne und Incident-Response-Playbooks zu testen.
Beim Red Teaming wird es konkret. Hierbei greift das Red Team die Infrastruktur des Unternehmens an mit den Techniken, Taktiken und Verfahren (TTPs) eines echten Angreifers. Ziel ist es, die Wirksamkeit der Incident Response – des Blue Teams – zu testen.
Tabletop Exercise: die Abwehr eines Cyberangriffs simulieren
Bei einem Cyberangriff ist die Zusammenarbeit zwischen verschiedenen Geschäftsbereichen entscheidend für die wirksame Bewältigung. Rechtsabteilung, Unternehmenskommunikation, Geschäftsleitung, allenfalls betroffene Fachbereiche und natürlich Informatik und Incident Response müssen hierbei zusammenarbeiten.
Diese Zusammenarbeit zu prüfen und zu verbessern ist das Ziel einer Tabletop Exercise (TTX). Als Grundlage dienen Notfallpläne und die Playbooks der Incident Response (IR). «Das strukturierte Vorgehen hilft, Schwachstellen im Prozess aufzudecken und Verbesserungsmassnahmen zu definieren», sagt Manojlo Mitrović, Cyber Security Analyst (CSIRT) bei Swisscom. Manchmal liegt das Problem auch im Kleinen, wie bei einer falsch hinterlegten Telefonnummer des Incident-Response-Teams (CSIRT) im Notfallplan.
Für ein Tabletop Exercise treffen sich die Beteiligten am grünen Tisch respektive in einem Sitzungszimmer. Sie spielen ein vorgängig definiertes Szenario durch, angeleitet von einer Fachperson aus dem Security-Umfeld, die die Übung moderiert. Das Szenario orientiert sich an realen Vorkommnissen, beispielsweise, dass Cyberkriminelle eine existierende Schwachstelle in einer Software ausgenutzt haben und sich nun im Firmennetz bewegen.
Voraussetzungen für ein erfolgreiches Tabletop Exercise
«Eine solche Übung fördert die interdisziplinäre Zusammenarbeit und das Verständnis zwischen den verschiedenen Fachbereichen», sagt dazu Mitrović. «Beispielsweise, wenn ein betroffenes System isoliert werden muss, können die einzelnen Fachbereiche die Auswirkungen aus ihrer Sicht aufzeigen.»
Damit dies klappt, bedarf es einer sorgfältigen Vorbereitung, in der ein möglichst realistisches Szenario geplant wird. Ist dieses zu einfach ausgelegt, treten Lücken in den Notfallplänen und IR-Playbooks womöglich nicht auf. Ebenso müssen sich die Teilnehmenden gründlich vorbereiten und beispielsweise die Notfallpläne griffbereit haben. Die Wahl der Teilnehmenden ist ebenso entscheidend. Es sollte sich um dieselben Personen handeln, die auch bei einem echten Cybervorfall die Entscheidungen treffen. Das bedingt ein gewisses Engagement und auch die Bereitschaft, sich die Zeit für die Tabletop Exercise zu nehmen. Unterbrechungen und zwischenzeitliche Abwesenheiten erschweren es, das vorgängig gesteckte Ziel zu erreichen.
Red Teaming: Angreifen wie Cyberkriminelle und APTs
Während eine Tabletop Exercise auf einer theoretischen Ebene Abläufe und die Zusammenarbeit prüft, wird es beim Red Teaming konkret. Hier simulieren Cybersecurity-Fachleute einen Angriff auf die Unternehmensinfrastruktur mit den gleichen Methoden, wie sie auch Cyberkriminelle und staatlich unterstützte Akteure (APTs) nutzen. «Das kann alles beinhalten», sagt Thomas Röthlisberger, Leiter des internen Red Teams von Swisscom. «Social Engineering, Phishing, Privilege Escalation, Lateral Movement. Dabei haben wir aber immer das vorgängig definierte übergeordnete Business-Ziel im Blick.» Unter diese Methoden fallen auch die eingangs erwähnten Plakate bei der Kaffeemaschine. Mitarbeitende, die den QR-Code scannten, wurden auf eine Anmeldeseite weitergeleitet. Diese hatte das Red Team aufgesetzt, um an Zugangsdaten für den initialen Zugriff aufs Firmennetz zu gelangen.
Das Ziel einer Red-Team-Operation kann beispielsweise lauten, durch das Ausnutzen von Sicherheitslücken und Konfigurationsmängel an vertrauliche Daten zu gelangen, die ein echter Angreifer mittels Ransomware verschlüsseln oder exfiltrieren würde. «Mit Red Teaming wollen wir Schwachstellen in der eigenen Infrastruktur entdecken, bevor es echte Angreifer tun», beschreibt Röthlisberger das Vorgehen.
Gleichzeitig dienen die simulierten Angriffe dazu, das Blue Team anhand realistischer Szenarien zu trainieren, also die Verteidiger im Security Operations Center (SOC), im Computer Security Incident Response Team (CSIRT) und alle potenziell von Cyberattacken betroffenen Betriebsteams. «Wir betrachten Red Teaming auch als spannende Trainingsmöglichkeit», ergänzt Röthlisberger.
Voraussetzungen für erfolgreiches Red Teaming
Im Alltag sind die Mitglieder des Red und Blue Teams Arbeitskolleg*innen. Damit sich die Fachleute bei einem simulierten Angriff ehrlich und auf Augenhöhe begegnen können, braucht es einen Vermittler oder Schiedsrichter in Form des White Teams. Dieses dient als Ansprechpartner für beide Seiten. Es kann dem Blue Team auch Hinweise geben, ohne dass das andere Team davon erfährt.
Aufgrund der Realitätsnähe und damit der Risiken eines solchen Vorhabens sind klare Regeln notwendig. Denn das laufende Geschäft darf nicht beeinträchtigt werden. Ein Code of Conduct setzt die Leitplanken wie: keine Systeme zum Absturz bringen oder keinen Zugriff auf Kundendaten. Damit kann gewährleistet werden, dass das Red Team sich im Rahmen der rechtlichen und der Compliance-Vorgaben bewegt. Oder, wie es Röthlisberger formuliert: «Es ist ‹Hacking› mit angezogener Handbremse auf Eierschalen.»
Learnings umsetzen und die Cyberresilienz stärken
Sowohl bei Tabletop Exercises als auch beim Red Teaming ist genügend Zeit für die Vor- und Nachbereitung («lessons learned») wesentlich. Dazu gehört auch, die gesamte Simulation zu dokumentieren, messbare Ziele zu setzen und die Erkenntnisse aus einer Red-Teaming-Operation den betroffenen Teams zukommen zu lassen. Daraus lassen sich bei der Nachbearbeitung notwendige Schritte und Massnahmen ableiten, um die Cyberdefence zu verstärken. «Hierbei hilft es natürlich, wenn die Geschäftsleitung direkt involviert ist», betont Mitrović. «Das fördert das Verständnis für die Massnahmen und deren Kosten.»
Strukturiert und mit genügend Ressourcen angegangen, sind Tabletop Exercises und Red Teaming wirkungsvolle Instrumente, um die Cyberresilienz zu stärken und das Risiko eines Cyberangriffs zu minimieren. Beide Methoden verstehen sich auch als wiederkehrende Massnahmen im Sinne eines fortlaufenden Lernens und Verbesserns.