Spezial IT-Security: Das digitale Duell

CAT-Simulation vom TÜV Hessen

Rot gegen Blau, die Bösen gegen die Guten: Die „Continuous Attack und Threat“-Simulation von TÜV Hessen täuscht einen Angriff auf die Unternehmens-IT vor – und prüft realistisch die Sicherheit der Infrastruktur.

Bedrohungen kennen: Die CAT-Simulation prüft in Echtzeit, wie das Unternehmen gegen Angriffe geschützt ist.
Bedrohungen kennen:
Die CAT-Simulation prüft in Echtzeit, wie das Unternehmen gegen Angriffe geschützt ist (Foto: Philipp Möller/JDB MEDIA)

Experten sind sich einig: Alle Unternehmen haben Schwachstellen in ihrer IT. Clever ist es, sie zu finden, bevor es Angreifer tun. Das aber ist nicht einfach. Es gibt zahllose Bedrohungen, die auf unterschiedliche Weise die Firewall durchbrechen oder andere Lücken im Sicherheitssystem finden. Um die IT-Infrastruktur von Unternehmen zu überwachen und in Echtzeit zu prüfen, hat TÜV Hessen die „Continuous Attack und Threat“-Simulation, kurz CAT-Simulation, entwickelt. Chief Digital Officer Christian Weber erklärt, wie die Attacken ablaufen.

DUB UNTERNEHMER-Magazin: Wie funktioniert die CAT-Simulation konkret?

Christian Weber: Wir simulieren damit realistische Angriffe von außen, je nach Richtung der gesetzten Vektoren aber auch von innen. Vektoren sind im Prinzip die Straßen, auf denen Angriffe auf Infrastrukturen erfolgen. Damit sind wir erstmalig in der Lage, eine faktische Sicherheit zu erreichen. Wir denken wie die Angreifer und gehen mit tatsächlichen Angriffen verschärft vor, um zu prüfen, ob Infrastrukturen sicher sind. Daraus lassen sich eine übersichtliche Darstellung und Bewertung der Sicherheitssituation ableiten und konkrete Vorschläge zu deren Verbesserung generieren.

Wie lassen sich die Angriffe simulieren?

Weber: Es gibt zwei Teams. Das Red Team, die Angreifer, die versuchen, in ein Unternehmen einzudringen. Und das Blue Team, die Sicherheitsexperten, die dagegen ankämpfen. Wir verfahren nun mit einem gemischten Ansatz. Auf der einen Seite bedienen wir uns der simulierten Angriffe des Red Teams, und auf der anderen Seite halten wir mit Abwehrmaßnahmen des Blue Teams dagegen, die fortwährend Angriffsmuster kommender oder gerade entdeckter Angriffe sammeln.

Wo liegen aus Ihrer Erfahrung heraus die größten Schwachstellen in der IT-Infrastruktur?

Weber: Meistens kennen Unternehmen nicht einmal ihren Status quo. Sie wissen nicht, wo sie stehen oder wie sich die aktuellen Bedrohungen gestalten. Zudem haben wir es immer mit einem Flickenteppich an Technologien zu tun. Dass unterschiedliche Technologien mit unterschiedlichen Patch-Ständen unterschiedlich konfiguriert eingesetzt werden, führt zu einem Einfallstor für Angreifer. Daher wollen wir die Übersicht über alle Schwachstellen haben, die es im Unternehmen gibt. Und es gibt immer welche.

Welche Schwierigkeiten bestehen, diese Schwachstellen tatsächlich zu finden?

Weber: Wir haben ein Datenbankproblem im Bereich der Antivirensoftware. Derzeit gibt es über eine Milliarde Schädlinge. Wenn man die Datenbank mit all diesen Schädlingen füttert, ist sie also viel zu groß. Diese Datenbank zu durchsuchen dauert immer länger. Daher gibt es Hersteller, die alte Bedrohungen gar nicht mehr abchecken. So könnte ein Schädling aus 2007 noch zum Super-GAU führen. Deshalb sammeln wir alle Angriffe und wollen eine Infrastruktur auch nach hinten raus sicher machen, um nicht doch Opfer eines Uralt-Angriffs zu werden. Selbst wenn es mehr Zeit beansprucht.