Schwarz-Weiß-Graue Hüte und die Farben der Cybersicherheit sind Red, Blue, Purple, Yellow, Green und Orange
Mit zunehmender Digitalisierung, großenflächigen Angriffen mittels Schadsoftware wie Emotet, oder gezielten Hackangriffen auf staatliche Einrichtungen erreicht das Thema der IT-Sicherheit mittlerweile immer mehr Menschen. Ein Bereich welcher bislang kaum von der Öffentlichkeit beachtet wurde, obwohl er schon immer wichtig war. Mit dieser nun präsenten Aufmerksamkeit, informieren sich viele Privatnutzer und auch Firmen zunehmend darüber was sie besser machen können um solche Angriffe zu vermeiden, wie sie sich effektiv schützen und was sie im Fall eines Angriffs tun können.
Die meisten Menschen treffen hierbei das erste Mal auf die Welt der IT-Sicherheit und werden schlicht mit – für sie neue Informationen – überflutet. Sucht man mittels Suchmaschine nach Themen, oder kontaktiert umliegende Sicherheitsspezialisten wird man oft mit Begriffen wie Penetration Testing, Incident Response, Social Engineering oder auch Damage Control regelrecht beworfen. Auf den ersten Blick scheint es sich hier um Buzzwords zu handeln, welche diese komischen IT-Nerds betreffen. Aber glücklicherweise hat sich in der „InfoSec“ (schon wieder so ein neuer Begriff) ein einfaches, visuelles System etabliert, welches die Aufgaben simpel und übersichtlich zuordnen lässt, um somit für einen groben Überblick zu sorgen.
Angriff und Verteidigung – der Ursprung von Red- und Blue-Teams
Ursprünglich wurde zwischen den Angreifern und den Verteidigern unterschieden. Wie auch im Nicht-IT-Umfeld üblich, beispielweise beim Militär oder anderen Sicherheitskräften, wird hierbei mittels der beiden Farben Rot (für Angreifer) und Blau (für Verteidiger) unterschieden. Diese Unterteilung ist auch heute noch die gängigste und ermöglicht eine einfache und grobe Zuordnung. Wie oft in der digitalen Welt üblich, werden auch hier diese Begriffe meist in ihrer englischen Form verwendet (Anglizismus).
Darüber hinaus wird allerdings nicht nur zwischen den Aufgaben (Angriff/Verteidigung/Entwickeln) unterschieden, sondern auch zwischen der Intention der Personen, die diese Tätigkeiten ausüben. So unterscheidet man außerdem zwischen White Hats, Grey Hats und Black Hats.
Die Hüte
Ein Hacker zu sein ist nicht automatisch etwas Böses. Auch wenn wir diesen Begriff mit den bösen, vermummten Kriminellen aus den Filmen assoziieren unterscheidet man stets zwischen den Absichten eines Hackers. Ein Hacker zu sein bedeutet schlicht, dass man ein ausgeprägtes Interesse daran hat zu verstehen, wie diverse Systeme oder Infrastrukturen funktionieren und wie man diese manipulieren kann. Wie man dieses Wissen einsetzt ist eine moralische Frage.
Denken wir an den klassischen Cyberkriminellen, wie wir ihn aus den Filmen kennen (schwarzer Kapuzenpullover, wohnt im Keller), dann spricht man von einem sogenannten Black Hat . Der schwarze Hut symbolisiert die Intention, Schaden zu verursachen. Zum Schatten gehört jedoch auch das Licht. White Hats, also der weiße Hut, symbolisiert gute Absichten. Hacker, die ihre Fähigkeiten ausschließlich für „moralisch richtige“ Zwecke einsetzen, indem sie beispielsweise daran arbeiten Sicherheitslücken aufzudecken und zu melden.
Da die Welt jedoch nicht nur Schwarz-Weiß funktioniert, gibt es noch eine dritte Kategorie. Die sogenannten Grey Hats. Der graue Hut symbolisiert eine Mischung zwischen Weiß und Schwarz. Menschen die ihre Fähigkeiten für gute als auch für böswillige Absichten verwenden. Hierfür kann es sehr viele unterschiedliche Gründe geben. So könnte jemand womöglich seine Fähigkeiten an den Meistbietenden verkaufen. Die Kategorisierung hierbei ist leider oftmals nicht so einfach. Da es sich hier um eine moralische Frage handelt, kann diese oft philosophisch unterschiedlich ausgelegt werden. Auch kann es vorkommen, dass die Gesetzgebung hier anderer Meinung sein kann, als die subjektive Moral. Hackt jemand aus gutem Willen und will eine gefundene Lücke melden, so macht er sich ohne vorherige Vereinbarung strafbar. Vor dem Gesetz ist er somit ein Black Hat, auch wenn er das eigentlich aus gutem Willen heraus getan hat.
Die Primärfarben
Rot: Die Angreifer
Aufgaben wie das Penetration Testing, Social Engineering oder jegliche andere Form des Angriffs, fällt in den Bereich der Red Teams. Wichtig jedoch ist, dass es sich hierbei um klar definierte, genehmigte und vereinbarte Angriffe handelt. Das Red Team funktioniert und handelt wie tatsächliche Kriminelle, was die Techniken betrifft. Jedoch werden diese Fähigkeiten hierbei zur Verbesserung der zu testenden Systeme verwendet – also White Hats. Das Ziel ist es nicht Schaden zu verursachen, sondern durch simulierte Angriffe Schwachstellen aufzudecken und in Zusammenarbeit mit den anderen Teams diese zu schließen, bevor tatsächliche Blackhats diese nutzen können. Man spricht hierbei auch vom sogenanntem „Ethical Hacking“. Auch wenn die Absichten hierbei stets gut sind, werden nicht selten auch ehemalige Black Hats in diesen Teams beschäftigt.
Blau: Die Verteidiger
Alles was die Härtung, Absicherung und Analyse von Systemen betrifft findet in den Blue Teams statt. Hier finden sich geschulte Spezialisten, welche technische Maßnahmen zum Schutz von Infrastruktur einrichten, konfigurieren und warten. Unter anderem das Betreiben von Firewalls, das Auswerten von log files oder die Analyse von Schadsoftware. Die technischen Maßnahmen (Hardware/Software) sind je nach zu betreuendem Zielsystem unterschiedlich bis hin zu individuell.
Gelb: Die Entwickler
Die klassische Unterscheidung zwischen Red und Blue Team wird den Ansprüchen der Realität leider jedoch nicht gerecht. Jahrelang wurde ein weiteres, sehr essenzielles Element der Sicherheit vernachlässigt. 2017 brachte April C. Wright auf der Hackerkonferenz „BlackHat“ (eine Analogie zu den bösen Black Hats, in diesem Fall aber der Name des Events), die Entwickler mit in das Modell. Viele Programmierer haben kaum bis keine Berührungspunkte mit Fragestellungen zur IT-Sicherheit. Die Gründe hierfür sind vielfältig. Es ist wichtig die Entwickler von Software bei diesen Fragestellungen mitzunehmen, denn viele der bekannten Schwachstellen sind auf fehlerhafte Programmierung zurückzuführen und können sehr einfach vermieden werden. Auch sind Entwickler jene, welche die Tools des Blue Teams zur Verfügung stellen (z.B. Logging).
Nur gemeinsam ist man erfolgreich
Das Red Team versucht die Sicherheitsmechanismen des Blue Teams zu umgehen und die Software des Yellow Teams auszutricksen. Das Blue Team versucht, teilweise mit Hilfe des Yellow Teams, das Red Team daran zu hindern. Also Blue/Yellow gegen Red? Nein! Eine vernünftige Zusammenarbeit ist notwendig um die Sicherheit erfolgreich zu verbessern. Auch wenn diese Teams unterschiedliche Aufgaben haben, helfen sich alle untereinander. Die beste Analogie hierfür sind wohl rivalisierende Geschwister.
Diese übergreifende Arbeit lässt sich nun wunderbar durch die Sekundärfarben repräsentieren:
Purple-Teaming
Das Red Team gibt Feedback an das Blue Team, denn nur wer versteht wie ein Angreifer handelt – getreu dem Motto „kenne deinen Feind“ – der kann sich dagegen schützen. Das Blue Team wiederum stellt seine Arbeit dem Red Team vor, welches dann mit der Mentalität eines Angreifers mögliche Schwachstellen identifiziert und erneut als Feedback zurückgibt.
Orange-Teaming
Mitglieder des Red Teams arbeiten mit dem Yellow Team zusammen. Ziel ist es den Entwicklern Hilfestellung zu leisten, indem Ihnen erklärt wird, wie man eine Software sicherer programmieren kann. Nicht aber indem man nur einen Bericht mit gefundenen Schwachstellen zur Verfügung stellt, sondern auch erklärt wie der Angriff funktioniert. Dadurch wird sichergestellt, dass die Entwickler auch in Zukunft, beim Bewältigen ihrer, oft sehr komplexen, Aufgaben schon von Grund auf eine andere Perspektive einnehmen. Hierdurch kann es auch vorkommen, dass noch weitere, bislang unbekannte, Schwachstellen aufgedeckt werden, indem der Entwickler sein neues Verständnis auf den Rest seiner Arbeit überträgt. Niemand kennt ein System besser als derjenige, der es entwickelt hat.
Green-Teaming
Das Blue Team verwendet die bereitgestellte Software des Yellow Teams in der Praxis. Während der Anwendung fällt auf, dass einige Funktionen fehlen, hilfreich wären oder nicht optimal funktionieren. Die tägliche Arbeit und Erfahrung wird vom Blue an das Yellow Team übermittelt, welches dann Anpassungen vornehmen kann und so für den optimalen Betrieb sorgt.
Gibt es noch mehr?
Die Primärfarben sind die wohl am häufigsten verwendeten. Nicht nur was die Sprache angeht, sondern auch die tatsächliche Arbeit, wohingegen die Sekundärfarben seltener gebraucht werden. Gelegentlich findet man jedoch noch weitere, eher weniger gebräuchliche und schwammiger definierte Farben. So liest man hin und wieder von einem sogenanntem White Team. Das weiße Team symbolisiert hierbei das Management, welches die Organisation und das Zusammenspiel der einzelnen Teams betreut, sich jedoch im Gegensatz zu den Primärfarben in einem nicht-technischen Bereich bewegt. Reines Management eben.
Gelegentlich liest man von einem berüchtigtem Black Team. Das schwarze Team liegt in der Mitte aller Farben und soll dementsprechend in der Lage sein, alles zu können. Diese weiteren Kategorisierungen sind jedoch oftmals etwas umstritten und können teilweise auch leicht variierende Definitionen aufweisen, je nachdem welche Gruppe oder Person man in der InfoSec-Community dazu befragt.
