Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Red Team vs. Pentest: Wo liegen die Unterschiede?

M.Sc. Moritz Gruber

Red Teams und Pentest, zwei wichtige Begriffe in der IT-Sicherheit, die oftmals synonym verwendet werden. Doch beides unterscheidet sich tatsächlich sehr stark voneinander und meist herrscht Unklarheit darüber, wo genau die Unterschiede dieser beiden Methoden zu finden sind. Oder besser gesagt, was beide Begriffe eigentlich im Detail bedeuten. Denn auch wenn diese unter Sicherheitsexperten relativ klar umrissen sind, muss dies nicht zwangsweise auf den Laien zutreffen.


Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.


Was genau ist ein Red Team?

Beim sogenannten Red Teaming geht es, anders als beim Pentesting, vorrangig darum, wie schnell ein Unternehmen auf die gefundenen Sicherheitsprobleme reagieren kann. Es wird in erster Linie also die Erkennungsfähigkeit getestet, mit anschließender Kontrolle der Reaktionsfähigkeit im Betrieb selbst. Dabei möchte das Red Team möglichst unerkannt bleiben. Bei einem Pentest ist es egal, ob dieser erkannt wird oder nicht, beim Red Teaming jedoch soll alles möglichst lange im Verborgenen bleiben.

Das Red Team simuliert also in gewisser Weise einen realen Angreifer, der versucht, unerlaubt Zugriff zu einem IT-System zu erlangen. Dieser würde ebenfalls alles daran setzen, für möglichst lange Zeit unerkannt zu bleiben und im Verborgenen zu agieren. Genau darauf kommt es auch beim Red Teaming an. Es soll gar nicht entdeckt werden, dass es sich um ein Test handelt. Vielmehr muss dabei herausgefunden werden, wie schnell und ob überhaupt das Red Team entsprechend erkannt wird und wie das Unternehmen anschließend reagiert. Genau darum geht es bei dieser Art von Test.

Beim Red Teaming versucht das Red Team also auf möglichst sensible und dementsprechend besonders gut versteckte Informationen zuzugreifen, während es einen aktiven Angriff simuliert. Der größte Unterschied zum Pentest ist dabei, dass hier für den Angriff nur das Ziel wichtig ist, nicht die Art und Weise der Attacke selbst. Es werden also nicht sämtliche Schwachstellen in dem jeweiligen IT-System gesucht, sondern nur die eine, die das Ziel dann entsprechend freigibt.

Red Teaming eignet sich dabei auch nicht unbedingt für kleine oder mittelständische Unternehmen, sondern eher für diejenigen, die ohnehin schon Pentests durchführen und trotzdem weiterhin auf der sicheren Seite sein wollen. Auch der zeitliche Unterschied spielt dabei eine große Rolle. Während ein Pentest meist um die zwei Wochen benötigt, ist das Red Team dann gut und gerne schon einmal einen ganzen Monat lang mit den entsprechenden Maßnahmen beschäftigt.


Laden Sie jetzt unsere kostenfreie Penetrationstest Checkliste herunter

 

7 Schritte zum umfangreichen Aufbau und Ablauf eines Penetrationstests.

Kostenfrei. Jetzt anfordern


Wie funktioniert Pentesting?

Im Vergleich mit dem Red Team ist der Pentest eine regelmäßige Angelegenheit, um entsprechende Schwachstellen im IT-System aufzudecken. Dabei werden oft ganze Netzwerke geprüft und kontrolliert, um potenzielle Sicherheitsrisiken im System erkennen und protokollieren zu können. Dafür werden wiederum manuelle, wie auch automatische Abläufe und Services verwendet und auch Pentest-Tools, also kleine Werkzeuge, die für eine schnelle Überprüfung zum Einsatz kommen, sind dabei eine große Hilfe.

Red Teaming ist daher immer auch eine Art von Bewertung, wie das Sicherheitsteam auf Angriffe reagiert und vor allem auch, wie schnell dabei gehandelt wird. Während der Pentest als großes Ziel hat, möglichst alle bestehenden Sicherheitsrisiken und Schwachstellen genauestens aufzudecken. Sind diese dann gefunden worden, wird versucht selbige aktiv auszunutzen, um dann wiederum das Risiko der jeweiligen Schwachstelle möglichst exakt bestimmen zu können.

Der Pentest ist also die routinierte und regelmäßige Prüfung, die in Unternehmen eigentlich dauerhaft und vor allem auch regelmäßig stattfinden sollte. Je nach Größe und Branche, ist es fast schon zwingend erforderlich, derartige Schwachstellen zu isolieren und zu protokollieren. Regelmäßige Überprüfungen finden auch im IT-Grundschutz Einzug. Wobei auch Unternehmen, die denken, eigentlich gar keine sensiblen Informationen zu besitzen, oft von relevanten Sicherheitslücken betroffen sind und daher ebenfalls Pentest absolvieren sollten, um auf der sicheren Seite zu sein.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Pentest oder Red Teaming?

Ob man sich für einen Pentest oder Red Teaming entscheidet, hängt davon ab, was genau Ihr Unternehmen benötigt. Im Grunde ist es nicht schwer, herauszufinden, was für Ihr Unternehmen von größerer Bedeutung ist.

Die Antwort ist somit auch ziemlich einfach. Einen Pentest sollte heutzutage so gut wie jedes Unternehmen regelmäßig durchführen. Nur auf diese Weise lassen sich Schwachstellen in den eigenen IT-Systemen identifizieren und beseitigen. Nur mit diesen sehr aufwendigen Tests kann sichergestellt werden, dass möglichst wenige Angriffspunkte bestehen bleiben, die aktiv ausgenutzt werden könnten. Allerdings sind Pentests für gewöhnlich in festen Abständen notwendig, um eben immer wieder nachzujustieren.

Red Teaming hingegen ist ein Schritt, der oft erst nach dem eigentlichen Pentest kommt. Dabei ist das Red Team auch genau dafür da, um weiterhin akute Sicherheitsrisiken bemerken zu können und entsprechend darauf zu reagieren. Beim Red Teaming geht es also in erster Linie darum, ein bestimmtes Ziel zu erreichen, um dann wiederum zu schauen, wie anschließend auf den Angriff reagiert wird und wie die Sicherheitsstrukturen und Abläufe im jeweiligen Unternehmen aufgestellt sind.

Das sind die größten Unterschiede zwischen Pentest und Red Team. Der eine sucht nach Schwachstellen, während das andere sie aktiv ausnutzt, um daraus resultierend dann auch die Reaktionen auf den Angriff selbst zu bewerten, statt nur die gefundenen Lücken zu listen und zu analysieren.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Moritz Gruber

Web-Anwendungen sind mein Spezialgebiet. Meine Fähigkeiten konnte ich durch meine offensive Security Certified Professional (OSCP) Zertifizierung ausbauen. Dazu besitze ich die Weiterbildung als Informationssicherheitsbeauftragter nach ISO27001 (TÜV). Ich schreibe gerne über diese und andere Themen im Blog und im wissenschaftlichen Kontext. Mein Name ist Moritz Gruber und ich bin seit der Gründung der AWARE7 GmbH dabei.