Cybersicherheit
Wenn Red Teams das Unvorstellbare aufdecken
Viele Organisationen glauben, sie seien sicher – bis ein Red Team das Gegenteil beweist.
In meinen 28 Jahren der offensiven Sicherheit habe ich selbst gesehen, wie schnell das Vertrauen zusammenbricht, wenn realistische, feindliche Taktiken auf die Unternehmensverteidigungen angewendet werden. Red-Team-Operationen testen nicht nur Systeme, sondern drängen die Grenzen des Zugriffs aus der Perspektive eines entschlossenen, sophisticateden Angreifers. Oft sind die Regeln des Engagements weiter gefasst, so dass nicht nur Server-Angriffe, sondern auch Social Engineering, Wireless- und sogar physische Techniken möglich sind. Was wir oft in unseren Operationen entdecken, ist, dass katastrophale Zugriffsniveaus möglich sind
Mein Team und ich haben Netzwerk-Fußfasern erlangt und Privilegien eskaliert, um Zugriff auf und sogar Kontrolle über kommerzielle Hochöfen, Treiber-Code-Signier-Infrastruktur, Lohnsysteme, sensible IP, Bank-Host-Systeme, CCTV-Systeme, CFO-Postfächer, MRI/Röntgenmaschinen-Ergebnisse, Dateifreigaben voller PHI, zahlreiche interessante Dateien, 2. Wohnsitze von CEOs, die über VPN mit Unternehmensnetzwerken verbunden waren, und vollständige Hash-Dumps vieler, vieler Active-Directory-Wälder.
Wir haben uns zu lokalen Netzwerken bewegt, nachdem wir Cloud-Ressourcen kompromittiert hatten, und wir haben Operationen durchgeführt, die von lokalen zu Cloud-basierten Fußfasern übergegangen sind. Manchmal ist das größere Ziel das einfacherere, unabhängig von der Größe des Infosec-Budgets. Dies liegt an der natürlichen Asymmetrie zwischen Angreifern und Verteidigern. Größere Skala bedeutet mehr Möglichkeiten für unabsichtlich exponierte Schwachstellen. Diese sind keine theoretischen Risiken. Sie sind real, und mehr Organisationen sind anfällig für dieses Ausmaß an Kompromissen, als sie sich bewusst sind.
Fußfasern
Externe Datenlecks beginnen mit einer Fußfaser – einem initialen Zugriffspunkt, der die Tür zu tieferer Kompromittierung öffnet. In unserer Arbeit kategorisieren wir Fußfasern in vier primäre Arten:
1. Social Engineering
Obwohl es häufig vorkommt, betrachten wir es als die wenigsten lohnenswerte. Die Täuschung von Benutzern, um Links zu klicken oder Anmeldedaten preiszugeben, ist effektiv, aber es spiegelt nicht die Fähigkeit eines sophisticateden Angreifers wider. Dennoch haben wir gesehen, wie Angreifer CFO-E-Mails spoofen, um “Notfall”-Überweisungen zu initiieren oder AI-generierte Stimmenklone verwenden, um Help-Desk-Protokolle zu umgehen.
2. Passwort-Spraying
Diese langsame und niedrige Technik bleibt eine der effektivsten. Durch erraten von häufigen Passwörtern über große Benutzerlisten hinweg vermeiden Angreifer Sperren und haben oft Erfolg. Wir haben Netzwerke geknackt, indem wir nichts weiter als “Summer2025!” über Tausende von Benutzernamen verwendet haben, die aus öffentlichen Quellen gesammelt wurden. Ich würde schätzen, dass mehr als 1 von 1000 Unternehmensbenutzern es wählen würde, es sei denn, Wort-Sperren sind in Kraft, die Zeichenfolgen wie “Summer” und “2025” und “25” blockieren. Für eine längere Passwort-Richtlinie würde ich “Summertime2025!” als Beispiel schätzen.
3. MFA-Schwächen
Multi-Faktor-Authentifizierung ist essentiell – aber nicht unfehlbar. Wie bei allen Sicherheitskontrollen ist eine gründliche, konsistente Bereitstellung der Schlüssel. Wir haben MFA umgangen, indem wir Push-Fatigue, bedingte Zugriffs-Lücken und veraltete Registrierungs-Links verwendet haben. In einem Fall haben wir unser eigenes Gerät registriert, indem wir einen sechs Monate alten Link in einem kompromittierten Postfach gefunden haben.
4. Exploitable Schwachstellen
Benutzerdefinierte Web-Anwendungen sind besonders anfällig. Wir haben alles von SQL-Injection bis hin zu Pfad-Traversierung, Objekt-Deserialisierungs-Bugs und Logik-Fehlern ausgenutzt, die es grundlegenden Benutzern ermöglichen, ihre eigenen Preise bei der Überprüfung festzulegen oder zu Admin-Zugriffen zu gelangen. Veraltete kommerzielle Software-Komponenten können sogar zu Remote-Code-Ausführung führen, wenn sie nicht gepatcht werden.
Realitätscheck: Compliance vs. Exposition
Sicherheitsaudits malen oft ein rosiges Bild. Aber Red-Teams operieren außerhalb des Skripts. Regeln des Engagements bei Red-Team-Operationen sind oft viel weiter gefasst als Standard-Pen-Testing – wir simulieren Angreifer mit präzisen Zielen.
In vielen Einsätzen haben Kunden eine Vielzahl von Penetrationsberichten von verschiedenen Firmen, mit wenig bis gar keiner Demonstration von “Penetration”. Es ist nicht ungewöhnlich, dass wir diese Wahrnehmung korrigieren, indem wir erhebliche Zugriffsniveaus von grundlegenden, unauthentifizierten, externen Pen-Tests erreichen. Die Lücke zwischen wahrgenommenem und tatsächlichem Risiko kann enorm sein. Qualitativ hochwertiges, abdeckungsorientiertes Pen-Testing ist wertvoller als zielorientierte Red-Team-Operationen für Organisationen mit weniger reifen Sicherheitsposturen.
AI-Rolle in der offensiven Sicherheit
Obwohl AI die menschliche Ingeniosität im Red-Teaming noch nicht ersetzt hat, beschleunigt es unsere Arbeitsabläufe. Wir verwenden generative AI, um Proof-of-Concept-Exploits schneller zu erstellen, Angriffsflächen zu analysieren, Stimmen während Vishing-Operationen zu simulieren und sogar authentisch aussehende Phishing-Kampagnen zu erstellen. Der Aufstieg von agenter AI, die Spitzenplätze auf öffentlichen Bug-Bounty-Listen erreicht, ist ein Zeichen dessen, was kommt.
Mitgefühl für Verteidiger
Trotz unserer offensiven Rolle respektieren wir Verteidiger tief. Die Asymmetrie ist real: Verteidiger müssen 24/7 perfekt sein; Angreifer benötigen nur einen Fehler. Deshalb betonen unsere Berichte nicht nur Schwachstellen, Kill-Chain, Screenshots und realen Einfluss, sondern auch positive Praktiken, die wir während der Tests festgestellt haben. Wir genießen es, diese mehr als die Ergebnisse selbst zu schreiben. Wir sind Teil Ihres Teams, um zu bilden und zu beheben, nicht um zu enthüllen.
Fazit: Das Unvorstellbare ist oft direkt vor Ihnen
Red-Teams entdecken nicht nur Schwachstellen – sie zwingen Organisationen, unangenehme Wahrheiten zu konfrontieren. Die Fassade der Sicherheit verdeckt oft fragile Systeme, Fehlkonfigurationen und übersehene Risiken. Und wenn wir das Unvorstellbare aufdecken, ist es nicht, um zu kritisieren – es ist, um zu stärken.
Denn in der Cybersicherheit sind Realitätschecks nicht optional. Sie sind das Einzige, was zwischen “sicher auf dem Papier” und einem Front-Page-Datenleck steht.
