Newsartikel

1. Management Commitment
Alle relevanten Entscheidungsträger (z.B. CEO/GF, CIO, CISO, DSB, Betriebsrat) müssen hinter diesem Projekt stehen, aber keine weiteren Mitarbeiter dürfen über das geplante Vorhaben informiert werden.

2. Vertrauen in den Dienstleister
Je größer das Vertrauen in das „Red Team“ ist, umso wertvoller ist der Erkenntnisgewinn der Tests.

3. Know-how und Vielseitigkeit des Dienstleisters
Ein Red Teaming Assessment Dienstleister muss eine Menge Fachwissen, Vielseitigkeit, Erfahrung und Fingerspitzengefühl an den Tag legen. Branchenkenntnisse helfen bei der Planung der Vorgehensweise.

4. Flexibel und agil operieren
Red Teaming Assessments werden dynamisch und flexibel durchgeführt, einen festen Zeitpunkt gibt es nicht. Werden beispielsweise Details zu neuen Schwachstellen bekannt, von denen das Unternehmen betroffen ist, so kann sich auch das Red Team die temporär erhöhte Angriffsfläche zu Nutze machen.

5. Alle Instrumente des Red Teamings nutzen
Um ein möglichst genaues Bild der Sicherheitssituation zu erhalten, sollten möglichst viele Instrumente des Red Teamings angewendet werden, darunter auch Social Engineering.

6. Einschränkungen von Produktivsystemen
Red Teaming Assessments testen vor allem Produktivsysteme. Ein Restrisiko systemseitiger Einschränkungen ist unvermeidbar, sodass der Auftraggeber entsprechende Vorkehrungen treffen muss.

7. Unbekannte Prüfer für Social Engineering Maßnahmen einsetzen
Um das Ergebnis nicht zu verfälschen, sollten vor allem bei Social-Engineering-Einsätzen im Rahmen von Red Teaming Assessments unbekannte Prüfer eingesetzt werden.

8. Effektive Fehlerkultur
Unternehmen sollten für ermittelte Defizite keinen „Sündenbock“ suchen, sondern konstruktiv mit den Schwachstellen umgehen.

9. Spielregeln festlegen
Es gibt Fälle, in denen Systeme und Anwendungen von der Prüfung ausgenommen werden sollten. Diese müssen zu Beginn klar festgelegt werden.

10. Lessons Learned & Coaching
Alle Erkenntnisse sollten in eine nachgelagerte Lessons Learned Phase einfließen, inklusive einer ausführlichen Dokumentation und Reproduzierung der einzelnen Testschritte, um die eigenen Einfallstore wirksam und nachhaltig schließen zu können.

Fazit:
Bei Beachtung der genannten 10 Erfolgsfaktoren, zeigt die Projekterfahrung der TÜV TRUST IT (www.it-tuv.com), zahlen sich Red Teaming Assessments auch betriebswirtschaftlich nachhaltig aus, da eine Erhöhung des Sicherheitsniveaus weit über die Verbesserung rein technischer Sicherheitsmaßnahmen erreicht werden kann.

Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA 
Die TÜV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance. www.it-tuv.com