Die Bedeutung von Red Teams im Bereich der Cybersicherheit kann kaum überschätzt werden. Sie sind die Gruppe, die verstärkt auf die Suche nach Schwachstellen geht, das Unternehmen aus der Perspektive eines Angreifers betrachtet und damit dazu beiträgt, Sicherheitslücken zu erkennen und zu schließen. Doch wie bei jeder spezialisierten Einheit gibt es Faktoren, die das Scheitern eines Red Teams begünstigen können – oft sogar mit System. Wer genau weiß, wie man diese Fehler vermeidet, kann sich auf ein effektives und erfolgreiches Red Team freuen. Dieser Text zeigt jedoch genau das Gegenteil auf und erläutert verschiedene Faktoren, die garantiert zum Scheitern eines Red Teams führen können.
Eine Art Anti-Leitfaden, der verdeutlicht, was man vermeiden sollte, um die Sicherheit des Unternehmens nicht zu gefährden. Ein zentraler Aspekt, der zum Scheitern beiträgt, ist die vollständige Indoktrination des Red Teams in die Unternehmenskultur. Klingt auf den ersten Blick gut – schließlich soll sich das Team in das Unternehmen integrieren –, doch führt genau das Gegenteil zum Problem. Das Ziel eines Red Teams sollte es sein, bestehende Annahmen und Gewohnheiten zu hinterfragen. Wenn das Team jedoch dieselben Denkweisen wie der Rest des Unternehmens übernimmt und nur Standardansätze verfolgt, verliert es die entscheidende Fähigkeit, kreativ und außerhalb bekannter Pfade zu denken.
Das Resultat ist ein Red Team, das die Perspektiven eines Angreifers nicht ausreichend einnimmt, keine neuen Schwachstellen erkennt und somit seine eigentliche Funktion nicht erfüllt. Ebenso problematisch ist es, den Erfolg des Red Teams ausschließlich anhand der Geschwindigkeit ihrer Einsätze oder der Anzahl der entdeckten Schwachstellen zu messen. Wenn ausschließlich auf Schnelligkeit gesetzt wird, entsteht ein Zeitdruck, der die benötigte Gründlichkeit einschränkt. Das Team wird quasi gezwungen, Projekte rasch abzuschließen, ohne tiefgehend nach bedeutsamen Sicherheitslücken zu suchen. Ein derartiges Vorgehen führt unweigerlich dazu, dass wichtige Risiken übersehen werden.
Auf der anderen Seite bewirkt eine reine Konzentration auf die Anzahl der gefundenen Schwachstellen eine oberflächliche Herangehensweise. Das Team sucht dann insbesondere nach vielen kleinen, weniger relevanten Problemfeldern, um die Metriken zu erfüllen, anstatt sich auf die wirklich kritischen Sicherheitslücken zu konzentrieren, die großen Schaden anrichten könnten. Beide Messansätze erzeugen somit falsche Anreize, die einer nachhaltigen Sicherheitsstrategie im Weg stehen. Ein weiterer kritischer Fehler besteht darin, die Arbeit des Red Teams häufig zu unterbrechen. In vielen Unternehmen neigen Führungskräfte dazu, das Red Team mit unzähligen Ad-hoc-Anfragen wie der Untersuchung von aktuellen Bedrohungen oder neuesten Hacks zu beschäftigen.
Dieses permanente „Paratrooper“-Vorgehen verhindert, dass das Team sich auf tiefergehende, umfangreiche Sicherheitsüberprüfungen konzentrieren kann. Ständige Kontextwechsel und Unterbrechungen rauben die notwendige Zeit und Energie, um kritische Schwachstellen aufzudecken. Das Red Team wird dann zu einer Art „Brandbekämpfer“, der ständig auf aktuelle Störungen reagiert, ohne strategisch arbeiten zu können. Die Beziehung zu anderen wichtigen Abteilungen wie Legal oder Incident Response spielt ebenfalls eine entscheidende Rolle. Wird eine antagonistische Haltung gegenüber der Rechtsabteilung gepflegt, entsteht oft Misstrauen und eine fehlende Zusammenarbeit.
Legal-Abteilungen sind wichtig, um die Einhaltung regulatorischer und ethischer Standards bei Penetrationstests zu gewährleisten. Wenn jedoch juristische Teams bewusst ausgesperrt oder mit Konfrontationen konfrontiert werden, steigt das Risiko für schwerwiegende Fehler und rechtliche Probleme. Ebenso problematisch ist ein feindseliges Verhältnis zum Incident-Response-Team. Ein effektives Zusammenspiel zwischen Red Team und den Verteidigern im Unternehmen ist essentiell, um die gewonnenen Erkenntnisse für die Verbesserung der Abwehrmechanismen einzusetzen. Werden die Ergebnisse „über die Mauer geworfen“ ohne Abstimmung und Zusammenarbeit, wird die Wirkung der Sicherheitsmaßnahmen minimiert.
Darüber hinaus führt eine übermäßige Fokussierung auf technische Überlegenheit zum Misserfolg. Ein Red Team, das primär den eigenen technischen Anspruch herausstellt und ausschließlich technisches Können als Erfolgskriterium sieht, riskiert den Verlust des Blicks für das große Ganze. Technische Finesse ist wichtig, jedoch ebenso essenziell ist das Verständnis der Geschäftsprozesse, der Organisationsstruktur und der individuellen Bedrohungslage. Wenn das Team sich nur auf technische Details konzentriert und nicht auf die strategische Bedrohungslage, verfehlt es den entscheidenden Fokus für die Sicherheitsverbesserung. Die Verwendung von starren Checklisten bei allen Einsätzen ist eine weitere Falle.
Checklisten sind ein bewährtes Mittel, um wiederkehrende Aufgaben effizient zu bearbeiten und nichts Wichtiges zu übersehen. Allerdings ist Red Teaming gerade auf Kreativität, Improvisation und unkonventionelle Denkweisen angewiesen. Wenn alle Einsätze strikt nach einer Methode abgehandelt und jede Aktion zu 100 Prozent kontrolliert wird, entsteht eine Routine, die keine Innovation zulässt. Essentielle, systemübergreifende Schwachstellen könnten dadurch unentdeckt bleiben, da die Herangehensweise schlichtweg zu eingeschränkt ist. Insgesamt lässt sich sagen, dass ein Red Team zum Scheitern verurteilt ist, wenn es nicht genügend Freiraum für eigenverantwortliches und kreatives Vorgehen hat, wenn es sich zu sehr in die üblichen Strukturen des Unternehmens einfügt und sich zu stark durch falsche Metriken oder ständige Unterbrechungen steuern lässt.
Ebenso wichtig ist die Zusammenarbeit mit anderen wichtigen Unternehmensbereichen – nur wenn alle an einem Strang ziehen, kann das volle Potenzial von Red Teams ausgeschöpft werden. Das Ziel sollte stets sein, den Blickwinkel des Angreifers einzunehmen, kreativ zu denken und gleichzeitig einen konstruktiven Dialog mit anderen Abteilungen zu führen. Nur dann kann ein Red Team nachhaltig und wirkungsvoll dazu beitragen, die Sicherheit zu erhöhen und das Unternehmen gegen immer komplexer werdende Bedrohungen zu schützen. Wer hingegen unbedacht die hier beschriebenen Fehler macht, kann sich sicher sein, dass sein Red Team mit hoher Wahrscheinlichkeit scheitert und die Sicherheit des Unternehmens weiterhin gefährdet bleibt.
