Auch wenn aktuelle Schlagzeilen einen anderen Eindruck vermitteln könnten: Wirklich ernsthafte Cyberangriffe sind bei den meisten Unternehmen ein ziemlich seltenes Ereignis. Das stellt die Sicherheitsabteilungen der Googles und Microsofts unserer Welt vor ein kniffliges Problem: Wie vor Attacken schützen, wenn man wenig reale Erfahrung damit hat? Woher lernen, welche bisher nicht bedachten Defizite schlaue Angreifer für ihre Zwecke nutzen könnten?

Vom US-Militär ersonnen

Die Antwort darauf sind sogenannte Red Teams. Dabei handelt es sich um Sicherheitsexperten, deren Ziel es ist, wie Angreifer zu agieren und Wege zu finden, um die Computersysteme der jeweiligen Firmen zu knacken. Das natürlich nicht mit dem Ziel, dort Schaden anzurichten, sondern ganz im Gegenteil strukturelle oder auch konkrete Probleme aufzuzeigen, um diese dann ausräumen zu können. Das Konzept dahinter wurde ursprünglich vom US-Militär entwickelt, es wird mittlerweile aber gerade von IT-Firmen kopiert.

An der Spitze steht ein Österreicher

Den nahenden Safer Internet Day nutzt Google nun, um einen Einblick in die Aktivitäten des eigenen Red Teams zu bieten. Ein Team, das übrigens von einem Österreicher geleitet wird. Daniel Fabian hat an der FH Hagenberg Computersicherheit studiert und war danach der erste Mitarbeiter bei der Wiener IT-Sicherheitsfirma SEC Consult, bevor er 2009 zu Google wechselte. Dort baute er das Red Team auf – zunächst noch als "20-Prozent-Projekt", also quasi als Nebenbeschäftigung, und bald danach als richtige Abteilung innerhalb der Firma.

Aufgabengebiet

Die Aufgaben seiner Truppe umreißt Fabian im Rahmen eines Pressegesprächs dabei folgendermaßen: Im Kern gehe es natürlich darum, Defizite in der Infrastruktur zu finden und daraus dann konkrete Lehren für Verbesserungen zu ziehen. Das kann das Schließen einer konkreten Lücke sein, noch besser ist es aber, wenn daraus strukturelle Verbesserungen entstehen, die eine ganze Klasse von Fehlern beseitigen – oder zumindest deren aktive Ausnutzung.

Ebenso wichtig ist die Analyse, wie Angreifer ein Netzwerk infiltrieren und sich dann dort bewegen – um auch hier weitere Sicherheitsmaßnahmen ergreifen zu können. Nicht zuletzt geht es aber auch darum, Bewusstsein für das Thema und einzelne Problembereiche zu schaffen – und zwar sowohl beim Management als auch bei den Entwicklungsabteilungen.

"Rules of Engagement"

Natürlich darf das Red Team dabei nicht einfach alles machen, was es will. Die Aktivitäten der Sicherheitsexperten unterliegen klaren Rahmenbedingungen – den "Rules of Engagement". Dazu gehört etwa, dass das Red Team keine neuen Sicherheitslücken einführen darf, es darf also nie zu einer echten Schwächung von Googles Systemen kommen. Auch Denial-of-Service-Attacken, die die Verfügbarkeit einzelner Services beeinträchtigen könnten, sind verboten.

Vor allem aber ist der Zugriff auf echte Kundendaten tabu. Sollten solche Informationen für einen Angriff unerlässlich sein, wird vertraulich mit einem der Zuständigen Kontakt aufgenommen, und es werden Testkonten erstellt, die dann stattdessen attackiert werden.

Ein Grenzgang

Eine schwierige Abwägung bei solchen "guten" Attacken ist immer, wie man mit dabei entdeckten Sicherheitslücken umgeht, wie Fabian auf Nachfrage des STANDARD betont. Immerhin haben echte Kriminelle den Vorteil, dass sie unbekannte Sicherheitslücken einfach so lange nutzen können, bis sie auffliegen, und das auch noch in einer Vielzahl von Systemen gleichzeitig. Die Google-Hacker müssen hingegen schwere Lücken melden, damit sie so schnell wie möglich geschlossen werden können. Auch hierfür gibt es ein fixes Regelwerk, das sich an der Schwere der Lücke orientiert.

Konkretes Beispiel

Über aktuelle Beispiele für die Aktivitäten seines Teams will Fabian lieber nicht reden, das würde nur realen Angreifern Ideen geben – auch gegen andere Firmen. Insofern erzählt er lieber von einem Vorfall, der schon einige Jahre zurückliegt, um den Umfang der Aktivitäten seines Teams zu illustrieren. Geht es dabei doch oft nicht einfach nur um technische Sicherheit, auch "Social Engineering", also das Austricksen von Menschen, spielt immer eine wichtige Rolle.

Die Lavalampe des Grauens

So hatte Googles Red Team vor einigen Jahren Lavalampen an ausgewählte Mitarbeiter des Unternehmens verschickt, und zwar an welche, die kurz davor irgendein Jubiläum gefeiert hatten, bei denen das Geschenk also nachvollziehbar wirkte. Doch was nach einem harmlosen Gimmick aussah, war in Wirklichkeit eine ausgeklügelte Attacke – und zwar über den USB-Anschluss.

In dem Moment, wo besagte Lavalampe an den Computer gehängt wurde, wurde nämlich ein Angriff gegen ebendiesen gestartet. Die Lampe gab sich schlicht als USB-Tastatur aus, öffnete eine Kommandozeile und führte dort rasch ein paar Befehle aus, um Schadsoftware auf den Rechner zu laden und zu installieren. All das passierte innerhalb weniger Millisekunden, wodurch es den Opfern nicht auffiel. Das System ließ sich anschließend von außen kontrollieren, die Google-Hacker bekamen Zugriff auf geheime Daten – in diesem Fall Entwürfe der Datenbrille Google Glass.

Reaktion

Das Beispiel ist auch deswegen ein gutes, weil es zeigt, wie das Unternehmen direkt von solchen Erkenntnissen profitiert. Als Konsequenz des Vorfalls wurde nämlich schlicht die Geschwindigkeit, mit der USB-Tastaturen Eingaben vornehmen können, auf sämtlichen Google-Computern gedrosselt. Damit würde eine solche Attacke erheblich länger dauern und entsprechend schnell auffliegen.

Red Team, Red Cell und mehr

Generell fallen solche Trainingsattacken grob in drei Kategorien. Beim klassischen Red Team werden einfach grob ausgewählte Angreifer nachgespielt, das reicht von staatlichen Hackern bis zu Insiderattacken, also wenn ein Mitarbeiter von Google selbst versuchen würde, die Systeme mit böser Absicht zu knacken.

Die spezifischere Form davon nennt sich dann "Red Cell": Dabei werden die Methoden und Taktiken einzelner Hackergruppen, die potenziell an Google interessiert wären, so exakt wie möglich nachgespielt. Diese Art von anderen Angriffen hat auch noch eine weitere Besonderheit: Hierbei muss das "Blue Team" – also Googles Verteidiger und somit Fabians interne Gegenspieler – so reagieren, also ob es ein echter Angriff wäre.

Playbook für die Zukunft

Das mit dem Ziel, daraus Lehren zu ziehen, sodass ein Playbook entsteht, mit dem man dann im Fall des Falles rasch auf eine echte Attacke der imitierten Gruppe reagieren kann. Solche "Red Cell"-Übungen haben auch noch eine weitere Spezialität: Sie können schon einmal erheblich länger brauchen – bis zu einem halben Jahr. Immerhin ist auch bei echten Attacken Geduld oft ein wichtiger Faktor, Angreifer verstecken sich schon einmal monatelang in den Computersystemen von Firmen, bis sie ihre Aktivitäten voll entfalten.

Dann wären da noch die "Orange Team Exercises": In deren Rahmen können ganz normale Google-Mitarbeiter – also aus anderen Teams – versuchen, die Systeme des Unternehmens zu knacken. Das wird gerade mit neuen Angestellten oft durchgespielt.

Konkrete Verbesserungen

All das dient übrigens nicht nur der Sicherheit von Google selbst, wie Fabian betont. So entstehen daraus regelmäßig Verbesserungen, aber auch neue Produkte, von denen die Nutzer direkt profitieren. Dazu gehören etwa Hardwaresicherheitsschlüssel, die Google mittlerweile selbst herstellt und die zum Teil auch bereits in aktuellen Smartphones verbaut sind.

Dass sich Google gerade in diesem Bereich selbst so stark engagiert, ist nicht zuletzt einer ernüchternden Erkenntnis des Red Teams zu verdanken. Hatte man doch in den eigenen Übungen erkannt, dass Phishing-Attacken für einen geschickten Angreifer immer funktionieren – also wirklich immer. Gibt es eine gut genug erfundene Geschichte, findet sich in Unternehmen immer jemand, der sein Passwort herausgibt und so den Angreifern direkt die Tür öffnet.

Auch klassische Zwei-Faktor-Authentifizierung mit SMS oder Code nutzt dagegen wenig, denn auch diese kann ja auf Nachfrage weitergegeben werden – und wird es auch. Genau aus diesem Grund sind bei Google Hardwaresicherheitsschlüssel längst eine fixe Vorgabe. Sind diese doch der einzige effektive Schutz gegen Phishing, da hier dann der Login ohne die Verfügbarkeit des Schlüssels nicht geht – und somit aus der Ferne generell nicht. (Andreas Proschofsky, 2.2.2023)