Red Teams, also IT-Spezialisten, die ein Unternehmen und zwar meist das eigene angreifen, um Lücken im Abwehrdispositiv aufzudecken, halten sich in der Regel bedeckt. Umso spezieller, dass der Leiter des weltweiten Red Teams von Google, Daniel Fabian, sich am Standort in Zürich ein wenig in die Karten schauen liess. Der gebürtige Österreicher, der seit 2009 bei Google ist, simuliert mit seinen Teammitgliedern, die sich neben Zürich auch noch in New York und bei San Francisco befinden, realistische Angriffe auf die IT-Systeme des Internet-Riesen. Fabian und seine Leute hacken also Google, um die eigene Security schlussendlich zu verbessern.

Bei den Angriffen ist unweigerlich auch das sogenannte Blue Team involviert, das für die Verteidigung der Systeme zuständig ist, und vom Red Team herausgefordert wird. Ziel ist es also einerseits, die Fähigkeit bei der Erkennung und Eindämmung digitaler Bedrohungen zu testen und zu verbessern, andererseits festzustellen, wie sich Angreifer ins Google-Netz schleichen und sich dort bewegen können. Auch hier sollen Wege aufgezeigt werden, wie Angreifer künftig daran gehindert werden können.

Wie Fabian ausführte, gibt es drei grobe Arten von Übungen. Generelle «Red Team»-Übungen kommen am häufigsten vor. Dabei werden in einer Planungsphase Angreifer, Mittel und Ziele definiert. «Die Arten von Angreifern, die wir dabei simulieren, reichen von staatlichen Hackern, über Gruppen von Cyberkriminellen bis hin zu Aktivisten», erklärt er. Aber auch Attacken von Insidern werden ihm zufolge simuliert. «Auch hier wollen wir sicherstellen, dass interne Angreifer nicht erfolgreich sein können», führt Fabian aus.

Ähnlich gelagert sind auch sogenannte «Red Cell»-Übungen. Diese gleichen zwar den Red-Team-Angriffen, mit zwei Unterschieden. So werde einerseits beim Angriff die Vorgehensweise einer existierenden Hackergruppe imitiert, die zuvor vom hauseigenen Bedrohungsanalyseteam als möglicher Angreifer auch von Google ausgemacht wurde. «Wir versuchen also die Techniken, Taktiken und Prozesse dieser Gruppe so exakt wie möglich zu simulieren», erklärt er.

Ein zweiter Unterschied sei, dass bei Red-Cell-Übungen die Verteidiger, also das Blue Team, die Übung genauso behandel wie eine richtige Attacke. Sie spielen laut Fabian dann das ganze «Playbook» durch. Wenn es zu einer Erkennung des Angriffs kommt, analysieren sie etwa Logfiles und versuchen jede Schwachstelle von technischen Systemen herauszufinden, um die Angreifer aus dem Netzwerk zu verdrängen. «Das hilft festzustellen, dass das 'Playbook' im Fall der Fälle auch funktioniert und das Blue Team in der Lage wäre einen richtigen Angriff abzuwehren», so Fabian weiter.

Solche Übungen könnten bis zu einem halben Jahr dauern. Grund hierfür ist laut Fabian, dass einerseits viel Organisation nötig ist. «Andererseits wissen wir, dass Angreifergruppen viel Geduld haben für ihre Attacken. Auch dies möchten wir hier abbilden», ergänzt er.

Schliesslich gibt es noch «Orange Team»-Übungen, bei denen Mitarbeiter von Google, die nicht im IT-Security-Team angesiedelt sind, dazu ermuntert werden, die eigene Firma zu hacken und Schwachstellen zu finden. «Damit haben wir eine möglichst grosse Bandbreite an Personen und dadurch unterschiedliche Perspektiven und können verschiedene Angriffsmöglichkeiten simulieren», so der Red-Team-Leiter.

Allerdings laufen alle Übungen mit Sicherheitsvorkehrungen ab, die in einem Regelwerk definiert sind. «Damit wollen wir sicherstellen, dass wir mit unseren Angriffen nicht mehr Probleme schaffen, als wir damit lösen können», meint Fabian. So sollen keine neuen Sicherheitslücken unabsichtlich herbeigeführt werden. Auch DDoS-Attacken sind laut Fabian Tabu. «Wir greifen auch nie auf bestehende Kundendaten zu», betont er weiter. Hier würden dann beispielsweise Test-Accounts erstellt.

Auch werde geregelt, wie mit gefundenen Schwachstellen umgegangen werde, so Fabian. Hier habe man definiert, welche Löcher im System gleich gemeldet werden müssen und bei welchen Lücken man mit der Übung fortfahren könne.

Mit der Beschreibung konkreter Beispiele von Übungen ist Fabian verständlicherweise sparsam. Immerhin erwähnte er einen Fall, den Google als Anschauungsbeispiel veröffentlicht hat (vgl. Video unten). Dabei wurde das USB-Spielzeug Plasma Globe an zuvor ermittelte Google-Mitarbeiter mit Firmenjubiläum verschickt. Darin wurde ein Mikrochip versteckt, der bewirkte, dass der Computer meinte, es mit einer Tastatur zu tun zu haben. Sodann wurden in rascher Abfolge Tastenanschläge geschickt, die via Terminalsoftware eine Software aus dem Internet herunterluden und installierten, wodurch die Red-Team-Mitglieder einen ersten Fuss im System hatten und diesen schlussendlich fernsteuern konnten.

In einem weiteren Schritt kaperten die Red-Team-Leute die Geschäfts-E-Mail-Konten der infizierten Anwender und verschickten präparierte Phishing-Mails an die eigentlichen Opfer. Diese arbeiteten damals an der Entwicklung der VR-Brille Google Glass. Schlussendlich gelang es Fabian und seinen Leuten auf den Rechnern und in den Google-Drive-Konten der eigentlichen Zielpersonen heiklen Dateien wie Baupläne abzuräumen.

Die Tätigkeit des Red Teams bei Google führt nicht nur zur besseren Abwehrbereitschaft, sondern kann in konkrete Produkteentwicklungen fliessen. So sind die «unphishbaren» Security Keys von Google Ergebnis der Aktivitäten von Fabians Truppe. Dabei handelt es sich um eine Lösung für die zusätzliche Absicherung von Konten, die über das bekannte Schema Benutzername/Passwort und Zweifach-Authentifizierung mit Code hinausgeht.