Wer den Ernstfall eines Cyber-Angriffs möglichst realistisch proben will, setzt ein Red Team ein. Das Red Team agiert wie ein echter Angreifer und findet daher auch Sicherheitslücken, die ein herkömmlicher Penetrationstest übersieht. Hilfestellung für Red-Team-Tests kommt jetzt von den Verwaltern der CVE-Liste.

Bei einem Penetrationstest werden gezielt in einem definierten Rahmen technische Sicherheitslücken gesucht und ausgenutzt. Eine Red-Team-Operation geht darüber hinaus: Ein Red Team ist eine Gruppe, die unabhängig von der Ziel-Organisation agiert und sich wie ein echter Angreifer verhält. Read Teams haben mehr Freiheiten als Pentester. Sie agieren realistischer und ihre Ergebnisse sind daher aussagekräftiger.

Es ist allerdings gar nicht so leicht, eine Red Team Operation auf die Beine zu stellen. Unterstützung dafür kommt von der amerikanischen Forschungseinrichtung MITRE. Diese betreibt die Liste der Common Vulnerabilities and Exposures, kurz CVE. Darüber hinaus beobachtet und sammelt MITRE schon länger die Taktiken und Techniken, die Cyberkriminelle anwenden. Um diesen eher technischen Informationen mehr Leben einzuhauchen, wurden darüber hinaus Adversary Emulation Plans entwickelt: Drehbücher, mit deren Hilfe man das Verhalten echter Gegner simulieren kann. Diese will MITRE jetzt auf GitHub als “Adversary Emulation Library” sammeln.

Ein erstes solches Drehbuch steht bereits online. Es beschreibt detailliert die typische Vorgehensweise der FIN6-Gruppe, die großangelegte Angriffe auf Bezahlsysteme durchgeführt hat. Weitere Adversary Emulation Plans sollen folgen.