Sicherheitslücken aufdecken, um sie anschließend schließen zu können – das ist das Ziel des
sogenannten Red Teams bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA. André
Zingsheim ist Leiter des Bereichs „Technische Security“ und bereits seit zehn Jahren im Unternehmen
tätig. Er verrät, mit welchen Methoden und Zielen ein Red Teaming Angriff durchgeführt wird und was
ihm an diesem Job besonders gefällt.

Herr Zingsheim, Sie sind Leiter der Technischen Security bei der TÜV TRUST IT. Wo genau
liegen Ihre Aufgabenfelder?

Neben der klassischen Beratung rund um die IT-Sicherheit steht die Optimierung des Security-
Konzepts, unter anderem der Netzwerksicherheit, im Vordergrund. Und hier gehen wir parallel offensiv
und defensiv vor. Auf der offensiven Seite führen wir zum Beispiel Penetrationstests oder Red
Teaming Assessments durch. Die defensive Seite umfasst die Arbeit an der Widerstandsfähigkeit von
Unternehmensnetzwerken gegen Cyberangriffe.

Sie sprechen das Red Teaming an. Was genau versteht man darunter?

Dabei geht es um simulierte Cyberangriffe durch unser Red Team, das versucht in ein System
einzudringen und hier ein vorher definiertes Ziel zu erreichen. Beispielsweise möchte ein Zulieferer in
der Automobilbranche wissen, ob und wenn ja, wie es möglich ist, in eines seiner Werke einzudringen
und dort die Produktion zu gefährden. Das ist dann genau unser Ziel und wir versuchen, möglichst
realitätsnah vorzugehen. Das heißt, wir tun das, was auch echte Angreifer tun würden, um in das
Unternehmen einzudringen. Natürlich gibt es dabei ethische Grenzen. Unter anderem darf niemand -
übertrieben ausgedrückt - mit vorgehaltener Waffe zur Herausgabe von Zugangsdaten genötigt
werden. Und auch Geschäftspartner dürfen nicht wahllos angegriffen werden, obwohl Angreifer dies
tun würden. Und wir legen es natürlich auch nicht darauf an, realen Schaden zu verursachen. Ein
Restrisiko bleibt hier aber immer. Schließlich soll und muss der Angriff möglichst realistisch sein.

Welche Methoden nutzen Sie, um an das definierte Ziel zu gelangen?

Alle Methoden, die auch realen Angreifern zur Verfügung stehen würden. Am effizientesten ist nach
wie vor das klassische Phishing. Eine andere Möglichkeit ist, eigene Hardware ins Unternehmen
einzuschleusen oder gezielt nach Schwachstellen zu suchen, die sich gegebenenfalls auch außerhalb
befinden, zum Beispiel ein extern gehostetes Lieferantenportal. Ein übergeordnetes Ziel dieser
umfangreichen Vorgehensweise ist das Coachen der Security Analysten des Unternehmens, dem
sogenannten Blue Team, das Angriffe erkennen und abwehren soll. Entsprechend weiß auch nur ein
kleiner Kreis beim Kunden im Vorfeld Bescheid, meist die Geschäftsleitung und der CISO, nicht aber
das Blue Team. Die Security Analysten können und müssen also auf uns reagieren wie auf einen
realen Angreifer.

Angenommen das Red Team ist erfolgreich. Was passiert im Anschluss?

Unabhängig davon, wie erfolgreich der simulierte Angriff war, wird das Assessment anschließend mit
dem Blue Team gemeinsam aufgearbeitet. Dabei erläutern wir unser Vorgehen, welche
Schwachstellen wir nutzen konnten, was gut lief und was nicht. Und im nächsten Schritt identifizieren
Red und Blue Team zusammen Maßnahmen, die sich aus der Aufarbeitung ergeben haben. Diese
werden dann idealerweise auch implementiert. Das geht natürlich nicht an einem Nachmittag. Ein
solches Red Teaming Projekt läuft in der Regel über sechs bis zwölf Monate.
Und ist somit recht umfangreich und erfordert viel Engagement auf beiden Seiten.

Was gefälltIhnen am meisten an diesem Job?

Die abwechslungsreiche Tätigkeit und der Umgang mit dem Kunden. Wir arbeiten sehr praxisorientiert
und erleben einen stetigen Wandel was Technik und Methoden angeht. Die Angreifer entwickeln sich
ständig weiter und wir müssen hier schritthalten. Das erfordert eine gute Portion Neugier und den
Willen, sich permanent weiterzubilden und auch dem Kunden dieses aktuelle Wissen zu vermitteln. Im
Laufe dieses Projekts sind wir über Monate im ständigen Austausch. Daher ist eine gute
Kommunikationsfähigkeit hier übrigens genauso wichtig wie allgemeines IT-Know-how und
spezialisiertes Fachwissen. Ich freue mich sehr, wenn ich neu erlerntes Wissen an unsere Kunden
weitervermitteln und so etwas zur Cybersicherheit im Unternehmen beitragen kann. Eins ist nämlich
ganz sicher: Langweilig wird es nie.

Vielen Dank für das Interview Herr Zingsheim!

Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA
Von den Standorten Köln und Wien aus ist die TÜV TRUST IT Ihr unabhängiger Partner für
Beratungs- und Zertifizierungsleistungen rund um die Themen Informationssicherheit und
Datenschutz. Unsere Mission: Wir unterstützen Unternehmen beim Schutz ihrer Informationswerte –
und bieten unseren Kunden qualitativ hochwertigste Leistungen, ausgeführt durch erfahrene Experten
und Auditoren. Die Kompetenzen der TÜV TRUST IT wurden durch das Bundesamt für Sicherheit in
der Informationstechnik (BSI) mit der Zertifizierung zum IT-Sicherheitsdienstleister für die
Geltungsbereiche IS-Revision, IS-Beratung und die Durchführung von Penetrationstests bestätigt.
www.it-tuv.com
de.tuvaustria.com