ISGroup Cybersicherheitsberatung

Threat-Led Penetration Testing (TLPT): Leitfaden für digitale Resilienz

Das Threat-Led Penetration Testing (TLPT) etabliert sich als eine fortschrittliche Methodik des Ethical Hackings, die sich auf die Simulation realistischer Angriffe auf Basis von Threat Intelligence konzentriert.

Dieser Artikel beleuchtet das Konzept des TLPT im Detail, analysiert seine charakteristischen Merkmale, die entscheidenden Phasen einer solchen Übung, die grundlegenden Unterschiede zum traditionellen Penetration Testing sowie die Bedeutung der Zusammenarbeit mit spezialisierten Anbietern, um die Effektivität zu maximieren.

Was ist Threat-Led Penetration Testing (TLPT)?

Das Threat-Led Penetration Testing (TLPT) ist ein fortschrittliches Ethical-Hacking-Framework, das sich durch die Nutzung von Threat Intelligence auszeichnet, um die Taktiken, Techniken und Prozeduren (TTPs) realer Bedrohungsakteure zu emulieren, die als ernsthafte Cyber-Bedrohung für das Unternehmen wahrgenommen werden. Im Gegensatz zu herkömmlichen Penetrationstests, die oft standardisierten Methoden folgen und sich auf spezifische technische Schwachstellen konzentrieren, verfolgt das TLPT einen Intelligence-led-Ansatz. Dabei werden kontrollierte, maßgeschneiderte Angriffsszenarien erstellt, die direkt auf die kritischen Produktionssysteme der betroffenen Entität abzielen.

Das Hauptziel des TLPT besteht nicht einfach darin, eine Liste von Schwachstellen zu identifizieren, sondern die allgemeine Wirksamkeit der Präventions-, Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten einer Organisation gegenüber fortgeschrittenen und hartnäckigen Cyber-Bedrohungen (APT) zu bewerten. Durch die Simulation realistischer Angriffe bietet das TLPT wertvolle Erkenntnisse über die tatsächliche Ausnutzbarkeit potenzieller Schwächen sowie über die Fähigkeit des Personals und der Sicherheitssysteme, einem gezielten Angriff standzuhalten.

Regulatorischer Kontext des Threat-Led Penetration Testing

Im regulatorischen Kontext, insbesondere im Finanzsektor, gewinnt das TLPT massiv an Bedeutung. Die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (DORA) sieht vor, dass bestimmte identifizierte Finanzunternehmen mindestens alle drei Jahre fortgeschrittene Tests der digitalen Resilienz mittels TLPT durchführen müssen. Diese Anforderung unterstreicht die Anerkennung des TLPT als grundlegendes Instrument zur Gewährleistung der Stabilität und Integrität des Finanzsystems angesichts immer komplexerer Cyber-Bedrohungen. Das TIBER-EU-Framework ist ein Beispiel für ein in der Europäischen Union angewandtes Rahmenwerk, das an internationalen Standards (wie den G7 Fundamental Elements for Threat-Led Penetration Testing) ausgerichtet ist und dazu dient, die Durchführung von TLPT im Finanzsektor kohärent und kontrolliert zu erleichtern.

Das TLPT stellt eine signifikante Evolution im Bereich des Ethical Hackings dar, indem es den Fokus von der bloßen Suche nach Schwachstellen auf eine umfassende und realistische Bewertung der Verteidigungsfähigkeit einer Organisation gegenüber raffinierten Cyber-Angriffen verlagert, die auf einem tiefen Verständnis der aktuellen Bedrohungslandschaft basieren.

Threat-Led Penetration Testing vs. Penetration Testing

TLPT und PT (Penetration Testing) sind beide essenziell für Ethical-Hacking-Aktivitäten, aber sie sind nicht identisch. Das TLPT positioniert sich als eine fortgeschrittene Form des Ethical Hackings, die die Methodik des Penetration Testings mit dem entscheidenden Element der Threat Intelligence integriert. Hier sind die Hauptunterschiede zwischen TLPT und traditionellem Penetration Testing:

  • Zielsetzung: Während Penetration Testing primär darauf abzielt, technische Schwachstellen zu identifizieren und die Reaktion der Sicherheitssysteme auf Angriffe in Echtzeit zu bewerten, konzentriert sich das TLPT auf die Simulation realistischer Angriffsszenarien basierend auf konkreten Bedrohungen. Ziel ist die Bewertung der gesamten digitalen operationellen Resilienz der Organisation, einschließlich Mensch, Prozess und Technologie. TLPT bietet ebenfalls Empfehlungen zur Stärkung der Sicherheit, jedoch mit einer breiteren Perspektive, die auf dem Kontext realer Bedrohungen basiert.
  • Umfang (Scope): Penetration Testing hat aufgrund von Budget- und Zeitbeschränkungen oft einen begrenzten Umfang auf spezifische Systeme oder Anwendungen. Das TLPT hingegen tendiert dazu, einen breiteren Umfang abzudecken, um mehrere kritische oder wichtige Funktionen eines Finanzinstituts sowie die unterstützenden Live-Produktionssysteme einzubeziehen. Zudem kann das TLPT externe IKT-Dienstleister einbeziehen, die diese kritischen Funktionen unterstützen.
  • Ansatz: Penetration Testing folgt einem systematischen Ansatz, beginnend mit Aufklärung und Scanning bis hin zur Ausnutzung (Exploitation). Das TLPT verfolgt einen auf Threat Intelligence basierenden Ansatz, der detaillierte Informationen über Bedrohungsakteure, deren Motivationen, Absichten und TTPs nutzt, um glaubwürdige Angriffsszenarien zu definieren. Dieser Ansatz macht die Simulation wesentlich realistischer und zielgerichteter. TLPT kann als Intelligence-led Red Teaming betrachtet werden.
  • Analysetiefe: Obwohl Penetration Testing umfassend sein kann, geht es möglicherweise nicht immer tief in fortgeschrittene Angriffstechniken ein, sofern dies nicht explizit gefordert wird. Da das TLPT auf fortgeschrittene Bedrohungen fokussiert ist, beinhaltet es oft eine tiefere Analyse und die Erforschung potenzieller Angriffsvektoren, einschließlich Zero-Day-Exploits und maßgeschneiderter Techniken, um realistische Angriffe zu emulieren.
  • Threat Intelligence: Das entscheidende Unterscheidungsmerkmal des TLPT ist die Integration von Threat Intelligence in jede Phase des Prozesses. Threat Intelligence liefert den Kontext, um plausible Angriffsszenarien zu definieren, Ziele zu identifizieren und die Aktionen des Testteams (oft “Red Team” genannt) zu leiten. Traditionelles Penetration Testing nutzt Threat Intelligence möglicherweise nicht in gleichem Umfang und so zielgerichtet.

Für eine Vertiefung der Unterschiede zwischen den beiden Ansätzen ist es nützlich, auch die Analyse zum Vergleich von Ethical Hacking und Penetration Testing zu lesen. Während Penetration Testing ein wertvolles Werkzeug zur Identifizierung spezifischer technischer Schwachstellen ist, stellt das TLPT einen komplexeren und umfassenderen Ansatz dar, der sich auf die Simulation realer Angriffe auf Basis von Threat Intelligence konzentriert, um die digitale operationelle Resilienz einer Organisation in ihrer Gesamtheit zu bewerten. Es ist eine Evolution des Ethical Hackings, die über die bloße Identifizierung von Schwächen hinausgeht und ein tiefgreifendes Verständnis der Fähigkeit einer Organisation vermittelt, gezielten und fortgeschrittenen Cyber-Bedrohungen standzuhalten und darauf zu reagieren.

Die Phasen einer Threat-Led Penetration Testing Übung

Obwohl die spezifischen Details je nach verwendetem Framework (wie TIBER-EU oder CBEST) und den Anforderungen der Organisation variieren können, umfassen die allgemeinen Phasen einer TLPT-Übung typischerweise:

Umfang und Analyse

  • Festlegung des Scopes: Eine entscheidende Anfangsphase, um die Ziele des Tests festzulegen, die kritischen oder wichtigen Funktionen (CIF) zu identifizieren, die im Fokus der Übung stehen, und die Grenzen des Tests zu definieren.

Das Scope Specification Document (SSD) im TIBER-EU-Framework ist ein Beispiel für ein Dokument, das die CIFs eines Finanzinstituts als Basis für einen TIBER-Test zusammenfasst. In dieser Phase werden auch die Flags oder spezifischen Ziele definiert, die das Red Team während des Tests erreichen soll. Die Planung beinhaltet auch die Festlegung der Rules of Engagement, die die Grenzen und Autorisierungen für die Testaktivitäten festlegen.

  • Sammlung und Analyse von Threat Intelligence: Hier sammelt, analysiert und verbreitet ein Threat Intelligence Provider (TIP) Informationen über relevante Bedrohungsakteure und wahrscheinliche Angriffsszenarien, die das Unternehmen treffen könnten.

Diese Threat Intelligence beinhaltet Details zu den Motivationen der Angreifer, ihren Zielen und ihren TTPs. Der TIP erstellt einen Targeted Threat Intelligence Report (TTIR), der gezielte Bedrohungsszenarien formuliert, basierend auf der Analyse der allgemeinen Bedrohungslandschaft sowie dem spezifischen digitalen Fußabdruck und den Umständen der Entität. Der TTIR liefert dem Red Team die Grundlage für die Gestaltung und Begründung seines Penetration-Test-Plans. Threat Intelligence kann aus verschiedenen Quellen gesammelt werden, darunter OSINT (Open Source Intelligence) und HUMINT (Human Intelligence).

Targeting und Planung

  • Targeting: Einige Frameworks, wie CBEST, sehen eine Targeting-Phase vor, in der das Verständnis der Angriffsfläche der Organisation weiter verfeinert und die anfänglichen Ziele für das Red Team identifiziert werden. Ein Targeting Report kann wertvolle Inputs für die tiefergehenden und gezielten Targeting-Aktivitäten des Penetration Testing Service Providers (PTSP) oder Red Teams liefern; dies ist eine optionale, aber empfohlene Phase.
  • Planung des Penetration Tests (Red Team Test Plan): Basierend auf dem TTIR und, falls vorhanden, dem Targeting Report entwickelt das Penetration-Test-Team (oft Red Team Testers – RTT genannt) einen detaillierten Penetration Test Plan (PT Plan) oder Red Team Test Plan (RTTP).

Dieser Plan beschreibt, wie die im TTIR definierten Angriffsszenarien implementiert werden, welche TTPs verwendet werden (und welche nicht), den Zeitplan des Tests, die Kommunikationskanäle und die Risikomanagementverfahren. Der PT-Plan muss explizit aufzeigen, wie die Testschritte mit den Szenarien des TTIR und den Systemen, die die CIFs im Scope unterstützen, verknüpft sind.

Ausführung und Test

  • Ausführung des Penetration Tests (Red Teaming): In dieser Phase führt das Red Team den Angriffsplan aus und simuliert die Aktionen der in der Threat-Intelligence-Phase identifizierten Bedrohungsakteure. Ziel ist es, die Systeme im Scope zu kompromittieren und die definierten Flags zu erreichen, während gleichzeitig die Wirksamkeit der Sicherheitskontrollen der Organisation sowie die Erkennungs- und Reaktionsfähigkeiten des Verteidigungsteams (oft “Blue Team” genannt) bewertet werden. Das Red Team sollte seine Angriffsmethodik anpassen, um die Bedrohungsszenarien zu replizieren.
  • Management des Tests (Control Team): Während der gesamten Dauer des Tests überwacht und verwaltet ein Control Team (CT) die Übung. Das CT ist dafür verantwortlich sicherzustellen, dass der Test innerhalb des definierten Scopes bleibt, Risiken angemessen verwaltet werden und die Auswirkungen auf den Geschäftsbetrieb minimiert werden. Das CT fungiert als Kontaktpunkt zwischen dem Red Team und der Organisation, verwaltet die Kommunikation und greift bei Bedarf ein, um die Eskalation der Angriffe zu kontrollieren.

Reporting und Follow-up

  • Analyse und Reporting: Nach Abschluss der Ausführungsphase analysiert das Red Team die Testergebnisse und dokumentiert die ausgenutzten Schwachstellen, die verfolgten Angriffspfade, das erreichte Zugriffsniveau und die Wirksamkeit der Abwehrmechanismen. Es werden verschiedene Berichte erstellt, darunter ein detaillierter technischer Bericht für das Sicherheitsteam der Organisation und ein hochrangiger Test Summary Report (TSR) für das Senior Management und die zuständigen Behörden. Der TSR bietet einen Überblick über den gesamten Test, einschließlich der Angriffsszenarien, der Ergebnisse auf hoher Ebene, der Empfehlungen und des Sanierungsplans (Remediation).
  • Remediation und Follow-up: Basierend auf den Ergebnissen des Reportings entwickelt und implementiert die Organisation einen Sanierungsplan, um die identifizierten Schwachstellen anzugehen und ihre Sicherheitskontrollen zu verbessern. Es ist entscheidend, einen formellen Follow-up-Prozess für die Überprüfung und zeitnahe Korrektur der festgestellten kritischen Punkte zu etablieren. Die Effektivität des TLPT misst sich auch an der Fähigkeit der Organisation, die Testergebnisse in konkrete Verbesserungen ihrer Cybersecurity und operationellen Resilienz umzusetzen.

Unter bestimmten Umständen kann während der Ausführungsphase oder in der Abschlussphase ein Purple Teaming (PT) implementiert werden – eine Zusammenarbeit zwischen dem Red Team und dem Blue Team, um Wissen, Techniken und Perspektiven auszutauschen und sowohl die offensiven als auch die defensiven Fähigkeiten der Organisation zu verbessern. Das PT kann verschiedene Formen annehmen, von theoretischen Diskussionen bis hin zur praktischen Durchführung spezifischer Angriffsszenarien auf Live- oder Testsysteme.

Vertrauen auf spezialisierte Anbieter zur Maximierung der TLPT-Effektivität

Die Durchführung eines effektiven Threat-Led Penetration Tests (TLPT) erfordert spezialisierte Fähigkeiten und ein tiefes Verständnis sowohl der aktuellen Bedrohungslandschaft als auch fortgeschrittener Angriffstechniken. Aus diesem Grund ist es entscheidend, dass Organisationen auf spezialisierte und qualifizierte Dienstleister vertrauen, um TLPT-Übungen durchzuführen. Ein konkreter Ausgangspunkt ist die Bewertung eines strukturierten Dienstes für Ethical Hacking mit Red-Team-Ansatz, der Threat Intelligence und gezielte Simulationen auf die kritischen Funktionen der Organisation integriert.

Überlegungen bei der Wahl eines Anbieters:

Bei der Auswahl eines Anbieters für eine TLPT-Übung sollten verschiedene Faktoren berücksichtigt werden:

  • Reputation und Erfahrung: Die Erfahrung des Anbieters bei der Durchführung ähnlicher TLPT-Tests und erfolgreiche Fallstudien.
  • Qualifikationen und Zertifizierungen: Wie OSCP (Offensive Security Certified Professional) oder CEH (Certified Ethical Hacker). Es ist jedoch wichtig, sich nicht ausschließlich auf Zertifizierungen zu verlassen, sondern das tatsächliche Wissen und die Erfahrung des Personals aktiv zu bewerten.
  • Kompetenzen in Threat Intelligence.
  • Fähigkeiten des Red Teams, fortgeschrittene und realistische Angriffe zu simulieren.
  • Reporting- und Remediation-Prozess: Bewertung der Klarheit und Qualität des Reporting-Prozesses sowie der Unterstützung bei der Sanierung.
  • Vertragliche Aspekte und Vertraulichkeit: Klare Definition der vertraglichen Aspekte, einschließlich Geheimhaltungsvereinbarungen (NDA) und Protokollen zur Vernichtung sensibler Informationen nach Abschluss des Tests.

Das Vertrauen auf spezialisierte und qualifizierte Anbieter ist eine entscheidende Investition, um sicherzustellen, dass eine TLPT-Übung effektiv durchgeführt wird. Sie liefert wertvolle Erkenntnisse über die tatsächliche Sicherheitslage der Organisation und trägt maßgeblich zur Stärkung ihrer digitalen operationellen Resilienz gegenüber immer komplexeren Cyber-Bedrohungen bei.

Vorteile der Zusammenarbeit mit spezialisierten Anbietern:

  • Anbieter, die auf TLPT spezialisiert sind, verfügen über Teams mit spezifischen Fähigkeiten und Erfahrungen in Threat Intelligence, Red Teaming und dem Verständnis der Angriffsmethodiken realer Bedrohungsakteure. Diese Fachleute sind ständig über die neuesten Trends im Cybercrime, neue Schwachstellen und aufkommende TTPs informiert.
  • Ein kompetenter Threat Intelligence Provider (TIP) ist in der Lage, relevante und qualitativ hochwertige Threat Intelligence aus einer Vielzahl von Quellen zu sammeln und zu analysieren, einschließlich proprietärer und Open-Source-Intelligence-Feeds.
  • Das Red Team eines spezialisierten Anbieters ist in der Lage, komplexe und raffinierte Angriffe zu simulieren, die die Aktionen realer Bedrohungsakteure getreu replizieren. Dies beinhaltet die Nutzung fortgeschrittener Techniken wie Privilege Escalation, Persistence und Lateral Movement.
  • Das Vertrauen auf einen externen Anbieter garantiert einen objektiven und unabhängigen Ansatz bei der Sicherheitsbewertung der Organisation und vermeidet potenzielle Interessenkonflikte, die bei internen Teams entstehen könnten.
  • Im regulatorischen Kontext von DORA kann die Zusammenarbeit mit qualifizierten Anbietern Finanzinstituten helfen, die Anforderungen für die Durchführung von TLPT in Übereinstimmung mit den geltenden Standards und Frameworks (wie TIBER-EU) zu erfüllen. Spezialisierte Anbieter sind mit diesen Anforderungen vertraut und können die Organisation durch den Prozess führen.

Die strukturierten Phasen einer TLPT-Übung, von der Festlegung des Scopes bis zur Sanierung, garantieren einen methodischen und umfassenden Prozess. Die Effektivität eines TLPT hängt jedoch maßgeblich von der Kompetenz und Erfahrung des Teams ab, das es durchführt. Aus diesem Grund ist das Vertrauen auf spezialisierte und qualifizierte Anbieter von größter Bedeutung, um den Wert und die Erkenntnisse aus dem Test zu maximieren. Diese Anbieter bringen spezifische Fähigkeiten in Threat Intelligence, Red Teaming und dem Verständnis der Bedrohungslandschaft ein und gewährleisten realistische Simulationen sowie detaillierte, umsetzbare Berichte. Um eine konkrete Vorstellung davon zu bekommen, wie ein solches Projekt in der Praxis strukturiert ist, ist es nützlich, den ISGroup-Fall zum Ethical Hacking bei Acmebank zu lesen.

Häufig gestellte Fragen zum Threat-Led Penetration Testing

  • Ist TLPT für alle Organisationen obligatorisch?
  • Nein. Die DORA-Verordnung sieht die TLPT-Pflicht nur für bestimmte Finanzinstitute vor, die von den zuständigen Behörden identifiziert wurden, typischerweise solche mit höherer systemischer Bedeutung. Für andere Organisationen bleibt TLPT ein freiwilliges, aber empfohlenes Instrument, wenn die operationelle Resilienz realistisch und tiefgreifend bewertet werden soll.
  • Was ist der praktische Unterschied zwischen einem Red-Team-Engagement und einem TLPT?
  • Ein Red-Team-Engagement ist eine simulierte offensive Aktivität, die mit unterschiedlichem Strukturierungsgrad durchgeführt werden kann. TLPT ist eine spezifische und regulierte Form des Red Teamings, bei der Threat Intelligence zwingend die Szenariendefinition leitet, der Perimeter Live-Produktionssysteme umfasst und der gesamte Prozess einem formellen Framework (wie TIBER-EU) mit Aufsicht durch ein Control Team und der Erstellung standardisierter Berichte für Behörden folgt.
  • Wie lange dauert eine TLPT-Übung typischerweise?
  • Die Dauer variiert je nach Komplexität der Organisation und dem definierten Scope, aber eine vollständige TLPT-Übung erfordert im Allgemeinen mehrere Monate: von der Sammlung der Threat Intelligence und der Planung über die Durchführung des Red Teamings bis hin zur Erstellung der Berichte und der Sanierungsphase. Es ist ein strukturierter Prozess und kein punktueller Test.

[Callforaction-EH-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *