Red-Team-Leiter Daniel Fabian
02.02.2023, 14:56 Uhr
So hackt man Google
Der Internetriese Google verfügt über ein spezielles Team, das die eigenen Systeme regelmässig angreift. Daniel Fabian gab in Zürich Einblicke in die Tätigkeit des hauseigenen Red Teams.
Der Leiter von Googles Red Team, Daniel Fabian, gewährt am Sitz des Unternehmens in Zürich Einblicke in seine Tätigkeit
(Quelle: Jens Stark)
Red Teams, also IT-Spezialisten, die ein Unternehmen und zwar meist das eigene angreifen, um Lücken im Abwehrdispositiv aufzudecken, halten sich in der Regel bedeckt. Umso spezieller, dass der Leiter des weltweiten Red Teams von Google, Daniel Fabian, sich am Standort in Zürich ein wenig in die Karten schauen liess. Der gebürtige Österreicher, der seit 2009 bei Google ist, simuliert mit seinen Teammitgliedern, die sich neben Zürich auch noch in New York und bei San Francisco befinden, realistische Angriffe auf die IT-Systeme des Internet-Riesen. Fabian und seine Leute hacken also Google, um die eigene Security schlussendlich zu verbessern.
Bei den Angriffen ist unweigerlich auch das sogenannte Blue Team involviert, das für die Verteidigung der Systeme zuständig ist, und vom Red Team herausgefordert wird. Ziel ist es also einerseits, die Fähigkeit bei der Erkennung und Eindämmung digitaler Bedrohungen zu testen und zu verbessern, andererseits festzustellen, wie sich Angreifer ins Google-Netz schleichen und sich dort bewegen können. Auch hier sollen Wege aufgezeigt werden, wie Angreifer künftig daran gehindert werden können.
Verschiedene Spielarten von Angriffsübungen
Wie Fabian ausführte, gibt es drei grobe Arten von Übungen. Generelle «Red Team»-Übungen kommen am häufigsten vor. Dabei werden in einer Planungsphase Angreifer, Mittel und Ziele definiert. «Die Arten von Angreifern, die wir dabei simulieren, reichen von staatlichen Hackern, über Gruppen von Cyberkriminellen bis hin zu Aktivisten», erklärt er. Aber auch Attacken von Insidern werden ihm zufolge simuliert. «Auch hier wollen wir sicherstellen, dass interne Angreifer nicht erfolgreich sein können», führt Fabian aus.
Ähnlich gelagert sind auch sogenannte «Red Cell»-Übungen. Diese gleichen zwar den Red-Team-Angriffen, mit zwei Unterschieden. So werde einerseits beim Angriff die Vorgehensweise einer existierenden Hackergruppe imitiert, die zuvor vom hauseigenen Bedrohungsanalyseteam als möglicher Angreifer auch von Google ausgemacht wurde. «Wir versuchen also die Techniken, Taktiken und Prozesse dieser Gruppe so exakt wie möglich zu simulieren», erklärt er.
Ein zweiter Unterschied sei, dass bei Red-Cell-Übungen die Verteidiger, also das Blue Team, die Übung genauso behandel wie eine richtige Attacke. Sie spielen laut Fabian dann das ganze «Playbook» durch. Wenn es zu einer Erkennung des Angriffs kommt, analysieren sie etwa Logfiles und versuchen jede Schwachstelle von technischen Systemen herauszufinden, um die Angreifer aus dem Netzwerk zu verdrängen. «Das hilft festzustellen, dass das 'Playbook' im Fall der Fälle auch funktioniert und das Blue Team in der Lage wäre einen richtigen Angriff abzuwehren», so Fabian weiter.
Solche Übungen könnten bis zu einem halben Jahr dauern. Grund hierfür ist laut Fabian, dass einerseits viel Organisation nötig ist. «Andererseits wissen wir, dass Angreifergruppen viel Geduld haben für ihre Attacken. Auch dies möchten wir hier abbilden», ergänzt er.
Schliesslich gibt es noch «Orange Team»-Übungen, bei denen Mitarbeiter von Google, die nicht im IT-Security-Team angesiedelt sind, dazu ermuntert werden, die eigene Firma zu hacken und Schwachstellen zu finden. «Damit haben wir eine möglichst grosse Bandbreite an Personen und dadurch unterschiedliche Perspektiven und können verschiedene Angriffsmöglichkeiten simulieren», so der Red-Team-Leiter.
Allerdings laufen alle Übungen mit Sicherheitsvorkehrungen ab, die in einem Regelwerk definiert sind. «Damit wollen wir sicherstellen, dass wir mit unseren Angriffen nicht mehr Probleme schaffen, als wir damit lösen können», meint Fabian. So sollen keine neuen Sicherheitslücken unabsichtlich herbeigeführt werden. Auch DDoS-Attacken sind laut Fabian Tabu. «Wir greifen auch nie auf bestehende Kundendaten zu», betont er weiter. Hier würden dann beispielsweise Test-Accounts erstellt.
Auch werde geregelt, wie mit gefundenen Schwachstellen umgegangen werde, so Fabian. Hier habe man definiert, welche Löcher im System gleich gemeldet werden müssen und bei welchen Lücken man mit der Übung fortfahren könne.