Auf Chefetagen herrscht oft Verwirrung, wenn sie sich um die Informationssicherheit kümmern wollen, da sie mit unklaren Begriffen konfrontiert werden.
Brauchen sie jetzt ein Purple Team? Oder einen Sicherheitsaudit? Oder einen Penetrationstest?
Die Grenzen zwischen Sicherheitsaudit und Penetrationstest können je nach Auslegung fließend sein. Oft beinhaltet der Sicherheitsaudit einen passiven Scan und die Überprüfung von sicherheitsrelevanten Einstellungen. Wird gemäß ISO/IEC 27001 auditiert, wird das Informationssicherheitsmanagementsystem (ISMS) geprüft. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ist das Ziel eines solchen Audits „die unabhängige Überprüfung des ISMS nach ISO 27001 auf der Basis von IT-Grundschutz in einem fest definierten Geltungsbereich einer Organisation“.
Blaue Teams sind die Verteidigungslinie einer Organisation. Sie sollten diejenigen sein, die einen Angriff bemerken und abwehren.
Um solch einen von vornherein zu verhindern, sorgen sie dafür, dass Sicherheitseinstellungen gesetzt sind, identifizieren Sicherheitslücken und schließen diese. Sie sorgen sich um Software-Updates und Backups.
Rote Teams versuchen, das Unternehmen anzugreifen. Sie denken dabei wie eine feindliche und bösartige Hackergruppe. Dazu erhalten sie meistens eine Aufgabe, wie das Stehlen von bestimmten Daten oder die Sabotage eines Bereichs. Das, was sie dabei herausgefunden haben, besprechen sie mit den Mitgliedern des Blue Teams. Solch ein Angriffsszenario eines Red Teams kann Wochen und Monate dauern.
Eine Penetrationstesterin unterscheidet sich vom Red Team darin, dass der durchgeführte Test eher zeitlich kürzer durchgeführt wird, auch arbeitet sie vielleicht eher allein. Ein typischer Penetrationstest kann Stunden und Tage dauern. Gemeinsam haben sie, dass ihr Bericht ernstgenommen werden muss und die Umsetzung von Verbesserungen mit einem Zeitplan umgesetzt und kontrolliert wird. Eine weitere Gemeinsamkeit (in Abgrenzung zum IT-Sicherheitsaudit, wobei die Grenzen wie so oft fließend sein können) ist, dass sie wie externe Angreifer denken und handeln sollen. Oft auch ohne Vorwissen über das anzugreifende System.
Als weitere Farbe in unserem Überblick gibt es noch lila. Purple Teams vereinen kurz gesagt die Eigenschaften von Red Teams und Blue Teams (Rot + Blau = Lila). Während Red Teams oft Fremdfirmen sind, ist die Idee hinter Purple Teams, dass sie fester Bestandteil der Informationssicherheitskultur des Unternehmens sind.
Red Teams und Purple Teams sind Bezeichnungen, die sich vornehmlich in größeren Organisationen und solchen, bei denen ein Angriff tägliche Realität ist und deren digitale und nicht-digitale Assets besonders kritisch sind.