Red Team Ops, PenTests, Code Review – Wie friendly hacker die Sicherheit eines Unternehmens prüfen und warum Social Media ein Eldorado für Hacker ist

by Annecilla Sampt

Mit dem ZTP CyberBELT bieten die IT-Security und Datenschutz Experten von ZTP.digital die umfassende Prüfung der digitalen Außenhaut eines Unternehmens an. Dabei benutzen sie genau jene Methoden, die auch die Gegenseite anwendet. Gründer des Unternehmens, das kürzlich erst sein 20-jähriges Bestehen feiern konnte, ist Ziviltechniker Wolfgang Prentner. Wir wollten von ihm mehr darüber wissen, wie Red Team Operations in der Praxis verlaufen, welche Methoden man anwendet, und wie sich das Team in Bezug auf technische Entwicklungen und neue Angriffswege informiert. 

Mit welchen gesetzlichen Rahmenbedingungen muss sich ein Unternehmen in Bezug auf Cyber Security auseinandersetzen?

Die Gesetzgebung auf österreichischer und europäischer Ebene wird immer rigider. Als zentraler Katalysator (Burner) kann wohl die Datenschutzgrundverordnung bezeichnet werden, die Unternehmen dazu zwingt hohe Informationssicherheit und Datenschutzmaßnahmen zu ergreifen um nicht Unternehmens-gefährdende Strafen von bis zu 4% des Konzernumsatzes bzw. 20 Mio. Euro zu bezahlen. Neben den gesetzlichen Verpflichtungen spielen die Normen und Standards eine wesentliche Rolle, die den heutigen Stand der Technik abdecken, und dazu zählen die ISO27001 (Informationssicherheits-Management-System), die ISO27701, ISO27018, ISO27019 sowie die genannt Netzwerk- und Informationssicherheit-Richtlinie und Verordnung, kurz NIS-G und NIS-VO (Cyber-Sicherheits-Gesetz).

Welche Bestandteile hat eine digitale Außenhaut-Prüfung des Unternehmens? Welche Aspekte brauchen eine besondere Aufmerksamkeit?

Wolfgang PrentnerIT-Sicherheits-Audits beinhalten sämtliche Tätigkeiten, die das gegenwärtige Sicherheitsniveau eines Audit-Ziels, wie z.B. Ihr System oder Ihre Anwendung, erheben und bewerten, um Maßnahmen zu dessen Verbesserung setzen zu können. So lassen sich die einzelnen Bereiche des CyberBELTs – Penetrationstests, Code-Reviews und Red Team Operation-Audits – und je nach Audit-Ziel und Ihren Anforderungen, in einem IT-Sicherheits-Audit abbilden. Das IT-Ziviltechniker-Gutachten – staatlich befugt und beeidet – beinhaltet die Ergebnisse aus den unterschiedlichen Tätigkeiten, die unsere IT-Spezialisten für Sie aufbereiten.

  • Social Hacking – Red Team Operation

Die Schwachstelle „Mensch“ wird bei dieser Methode benutzt um in Ihr Computersystem oder Netzwerk einzudringen. Das Red Team von ZTP.digital führt gezielte Cyber-Attacken und E-Spionage-Aktivitäten, auf Basis eines abgestimmten Drehbuchs zwischen Unternehmensführung und Betriebsrat, durch, um Sicherheitslücken in Ihren Systemen aufzuspüren, bevor sie von unbefugten Personen entdeckt werden. Das Ergebnis ist ein Schwachstellenbericht einschließlich Maßnahmenkatalog mit allen erkannten Risiken zur Optimierung der IT-Sicherheit in Ihrem Unternehmen.

  • PenTesting

Im Zuge eines Penetrationtests wird ein Cyber-Angriff auf Ihre Systeme simuliert, um Ihr Anwendungssystem auf Sicherheitslücken zu untersuchen. Damit die simulierten Cyber-Angriffe realitätsnah durchgeführt werden, haben die White Hacker von ZTP keinerlei Hintergrundinformationen über die Anwendung, sodass sie ausschließlich auf die vorfindbaren Informationen angewiesen sind („Black Box Auditing“). Wird eine Sicherheitslücke entdeckt, wird sie detailliert analysiert, penetriert, verifiziert und in einem Prüfbericht dokumentiert. Dadurch erkennen Sie an welchen Stellen Handlungsbedarf besteht – dies ermöglicht Ihnen Eintrittsszenarien besser zu beurteilen, sodass Sie Ihre Prioritäten sinnvoller setzen zu können.

  • Code-Analysen/Code-Review

Mit dem Code-Review wird der gesamte Quelltext (Sourcecode) Ihrer Anwendung, und im Rahmen eines Audits, einer Durchsicht unterzogen. Diese Qualitätssicherungsmaßnahme dient dazu Ihre Anwendung nach oder während der Entwicklung Korrektur zu lesen, damit mögliche Fehler, Vereinfachungen oder Testfälle ausfindig gemacht werden. Mittels innovativer Werkzeuge von marktführenden Software-Entwicklern wird eine automatisierte und statische Quellcode-Analyse durchgeführt, bei der die Programmeigenschaften Ihrer Anwendung geprüft und sämtliche Datenflüsse nachverfolgt werden („White Box Auditing“), mit dem Ziel, Auffälligkeiten und Schwachstellen ausführlich zu dokumentieren. Die qualifizierten Mitarbeiter von ZTP.digital werten diese Ergebnisse aus und Sie erhalten eine schriftliche Empfehlung zur Behebung dieser Sicherheitslücken in Form eines IT-Gutachtens.

Impact Challenge

Confare CIO of the Decade Impact Challenge
Wir suchen IT-Leader, die Positives bewirken und die Welt ein Stück besser machen
JETZT EINREICHEN ODER NOMINIEREN!

Was ist denn der Unterschied des ZTP Cyberbelt zu einem klassischen IT-Sicherheitsaudit?

Von vielen Unternehmen und IT-Leitern wird bemängelt, dass viele Auditoren nach einem vorgefertigtem Excel-Sheet ihre IT-Audits durchführen und wenig bis gar keinen Bezug zur Realität haben. Bei den Ergebnisberichten hat man auch den Eindruck, dass zeitweise nur der Firmenname und die Logos der Berichte ausgetauscht werden, so die Rückmeldung vieler CIOs. Der CYBERBELT liefert dazu im Gegensatz praxisorientierte, technisch und Cyber-Security-orientierte Audits durchgeführt von Informatikern und Cyber-Security-Spezialisten mit einer hohen Erkennungsrate von hochriskanten Schwachstellen.

Was versteht man unter Red Team Operations? Wie sieht eure Vorgehensweise aus?

Red Team Operation oder Social Hacking ist die effektivste Art die Kontrolle von der Unternehmens-IT vollständig zu übernehmen, was ZTP auch bis jetzt bei jeder Red Team Operation gelungen ist.

Die Schwachstelle „Mensch“ wird bei dieser Methode benutzt um in Ihr Computersystem oder Netzwerk einzudringen. Das Red Team von ZTP.digital führt gezielte Cyber-Attacken und E-Spionage-Aktivitäten, auf Basis eines abgestimmten Drehbuchs zwischen Unternehmensführung und Betriebsrat, durch, um Sicherheitslücken in Ihren Systemen aufzuspüren, bevor sie von unbefugten Personen entdeckt werden. Das Ergebnis ist ein Schwachstellenbericht einschließlich Maßnahmenkatalog mit allen erkannten Risiken zur Optimierung der IT-Sicherheit in Ihrem Unternehmen.

Mit welchen Social Hacking Methoden erreicht ihr die größten Erfolge beim Pen-Testing?

Es gibt nicht eine spezielle Methode die zum Erfolg führt, er ist der multiple Ansatz aus Technologie, Organisations- und Menschentäuschung bzw. Menschenverführung, um gewisse Aktionen durchzuführen oder Buttons zu drücken.

Praxisseminar. IT-Strategie Zürich

Welche Möglichkeiten eröffnen denn Social Media Aktivitäten von Unternehmen und Mitarbeitern für Angreifer?

Die Social Medias sind wahre Eldorados für Angreifer. Neben den Kontaktdaten zur Person werden Funktion, Stellung, Spezialisierung angeführt, die eine leichte Kontaktaufnahme von Angreifern ermöglichen. Aus unserer Sicht dürfen Mitarbeiter, die in Unternehmen in den Hochsicherheitsbereichen arbeiten keinen Auftritt im Social Media haben, wenn sie nicht speziell auf Cyber-Security-Aktivitäten über Social Media geschult sind.

Wie haltet ihr euch auf dem Laufenden was aktuelle Hacker Methoden und Angriffsformen betrifft?

Neben der weiteren Fortbildung befinden wir uns in vielen einschlägigen Cyber-Security-Foren, sind im Deep- und dark-Web vertreten und verwenden hochspezialisierte Industriewerkzeuge für unsere Cyber-Security-Aktivitäten, für die wir pro Jahr an die € 100.000,- für reine Lizenzkosten ausgeben.

Welche Risiken bringt der Home-Office Trend? Was bedeutet das für den Cyberbelt?

Mit der Home-Office-Thematik entstehen neue Einfallstore für Cyber-Kriminelle in Unternehmensnetzwerken. Ein No-Go ist dabei die Verwendung von privaten Notebooks und mobilen Geräte für die Anbindung am Unternehmen. Da die Standard-Computer von Privatpersonen nicht die Qualität und Absicherung von gehärteten Unternehmensgeräten haben.

Webcast: Die Cloud als Innovations_motor

Confare CIO of the DECADE
Die Highlights des DACH-weiten CIO Events 2020 in Frankfurt

Mehr interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal

Für Sie ausgewählt

Leave a Comment