TLPT - Bedrohungsorientierte Penetrationstests: Denken wie ein Angreifer

Die Zahl der Cyberangriffe auf Unternehmen nimmt immer weiter zu. Daher müssen Firmen ihre Resilienz stärken, mögliche Sicherheitslücken finden und schliessen. 

Dabei helfen so genannte Threat-Led Penetration Tests (TLPT), sprich bedrohungsorientierte Penetrationstests. Diese erstellen im ersten Schritt Angriffsszenarien auf Basis realer Angreifergruppen und gesammelter Bedrohungs- bzw. Unternehmensdaten (Threat-Intelligence-Phase). Diese ermittelten Szenarien werden anschliessend in der Red-Teaming-Phase konkret durchgeführt. Mit DORA werden TLPT-Tests für einige Unternehmen in der EU verpflichtend. Dieser Artikel klärt die wichtigsten Fragen dazu:

Was genau ist TLPT?

TLPT (threat led penetration testing) ist ein Ansatz, die Sicherheit eines Unternehmens unter echten Bedingungen zu testen. Dabei stellt das individuelle Geschäftsfeld und die damit verbundene Bedrohungslage durch reale Angreifergruppen die Ausgangsbasis für den Pentest dar.  Die Motivation des TLPT Tests ist es, anhand realistischer Angriffsszenarien die bestehenden Abwehrmechanismen zu evaluieren, Sicherheitslücken bzw. komplette Angriffspfade aufzudecken sowie die zeitnahe Erkennung von Angriffen und die dahinterliegenden Prozessketten zu überprüfen. Involviert ist dabei nur ein kleiner Personenkreis (White Team), sodass die Angriffssimulation möglichst realitätsnah erfolgt. Nicht selten wird während des Tests ein Angriffspfad entdeckt, der dem Blue Team (zuständig für die Verteidigung der Informations- und Kommunikationssysteme) unbemerkt bleibt, und eine kritische Geschäftsfunktion beeinträchtigt oder ausnutzt – als Beispiel dient bei einer Bank die Möglichkeit, unbemerkt von einem beliebigen Konto eine Überweisung durchzuführen.

Bei einem offiziellen TLPT-Test, der stets von der Bundesbank offiziell betreut wird, erhält das Unternehmen im Anschluss ein Zertifikat der zuständigen Finanzbehörde.

Wie läuft ein TLPT-Test ab?

Vorbereitungsphase

Am Anfang eines TLPT-Tests steht die Vorbereitungsphase, in der das zu testende Unternehmen ein Scoping durchführt. Hierbei werden wichtige Geschäftsfunktionen und Services identifiziert, die als mögliche Ziele in Frage kommen. 

Threat-Intelligence-Phase

Anschliessend findet im TLPT eine umfängliche Threat-Intelligence-Phase statt, in der die gesamte Angriffsfläche analysiert wird und jegliche Daten gesammelt werden, die das Unternehmen betreffen und für Angriffe verwendet werden könnten: CI, Zugangsdaten, E-Mails, Mitarbeiterprofile, E-Mail-Adressen, u.v.m.

Die Unternehmensdaten stammen nicht nur aus dem Clear Web und Deep Web, sondern auch aus Dark Net Leaks. Zudem wird der Generic Threat Landscape (GTL) Report analysiert, um aktuelle relevante Angreifergruppen (Akteure) und deren Angriffstechniken zu identifizieren. Die GTL ist ein Bericht zur nationalen Bedrohungslage im Finanzsektor, welcher allen Unternehmen, die einen TLPT-Test durchführen, zur Verfügung steht und als Basis für die Erstellung des Berichts zur unternehmensspezifischen Bedrohungslage dient. Auf Basis der gewonnen Informationen werden anschliessend realistische Angriffsszenarien samt Tactics, Techniques, and Procedures (TTP‘s) erstellt. Das wesentliche Ergebnis der TI-Phase ist der „Targeted Threat Intelligence“ (TTI) Report, der die individuell für das Unternehmen ausgebarbeiteten Angriffsszenarien enthält. 

Die Ziele (Flags) der Szenarien decken dabei die drei wesentlichen Schutzziele der Informationssicherheit ab: Vertraulichkeit, Integrität und Verfügbarkeit. Dies ist auch bekannt als CIA-Triade (Confidentiality, Integrity und Avaiability). 

Red-Teaming-Phase

Anschliessend beginnt die Red-Teaming-Phase, die zwingend von einem separaten Team durchgeführt werden muss. In dieser Phase wird zunächst ein Red Team Test Plan (RTTP) erstellt, auf Basis dessen im Anschluss die einzelnen Angriffsszenarien und -techniken durchgeführt werden. Das Ziel ist es, die definierten Flags zu erreichen, ohne vom Blue Team (BT) entdeckt zu werden. Die Angriffe erfolgen daher verdeckt und vorsichtig, sodass sie einem realen Angriff entsprechen. Während des Tests steht das Red Team (RT) mit dem White Team (WT - beobachtet und koordiniert den Test) sowie dem TCT Team der Bundesbank in ständigem Austausch. Während das RT den Angriff durchführt, steuert das WT den Test. Das TCT gibt wertvolle Hinweise und achtet darauf, dass die Rahmenbedingungen (RTS) eingehalten werden.

Nachdem das RT alle Flags erreicht hat oder das Testende erreicht wurde, ist die aktive Angriffsphase beendet. Der Kunde erhält einen detaillierten Bericht mit Befunden, aufgedeckten Angriffspfaden sowie einer Logging-Datei, um die Angriffe ggf. im Nachgang noch aufzudecken. Nachgelagerte Workshops mit dem Blue Team bilden einen wertvollen Abschluss für das Projekt und vermitteln tiefgehendes Wissen aus den Angriffen. Dadurch ist es möglich, gemeinsam Massnahmen abzuleiten und die Sicherheit des Unternehmens zu stärken sowie die Angriffserkennung zu optimieren.

Was ist Threat Intelligence?

Die Threat-Intelligence-Phase des TLPT umfasst die Aufstellung einer Bedrohungslandschaft (Threat Landscape). Hierfür relevant sind die Fähigkeiten und Motivationen realer Angreifergruppen (Threat Actor). Konkret wird betrachtet, welche Angreifer Ihr Unternehmen ins Visier nehmen könnten und welche „Tactics, Techniques, and Procedures“ (TTPs) hierbei zum Einsatz kommen könnten. Zudem wird die Angriffsfläche Ihres Unternehmens von aussen skizziert und evaluiert.

Eine Angriffsflächenanalyse - basierend auf dem vor der TI-Phase definierten Testumfang (Scope) - wird gemeinsam mit der Bedrohungslandschaft in für Ihr Unternehmen massgeschneiderte Angriffsszenarien gegossen.

Was ist ein Red Teaming?

Das Red Teaming simuliert reale Angriffe, bei denen Schwachstellen nicht nur identifiziert, sondern aktiv ausgenutzt werden. Das RT geht dabei verdeckt vor, und nur wenige ausgewählte Personen im Unternehmen sind über den Test informiert. Im Laufe des Tests kann die Agressivität der Angriffe erhöht werden, um die Erkennungsqualität des BT weiter zu evaluieren. Ziel ist es, Angriffspfade aufzuzeigen und das Security Operations Center (SOC) auf die Probe zu stellen. Das RT zielt darauf ab, vorab definierte kritische Geschäftsfunktionen zu kompromittieren. Im Nachgang werden anhand der Ergebnisse Schwachstellen behoben, das Logging verbessert und ggf. Prozesse bzw. Alarmketten optimiert.

Gemeinsame Workshops von BT und RT fördern die Sicherheit des Unternehmens und runden den Service ab. Durch den Wissenstransfer gewinnt Ihr Unternehmen Einblicke in die Taktiken realer Angreifer.

Ist TLPT durch DORA verpflichtend? Welche Auflagen gibt es?

Ab Januar 2025 müssen Betreiber kritischer Infrastrukturen bzw. Finanzunternehmen1  Anforderungen erfüllen. Eine Massnahme der erweiterten Tests ist, dass TLPT (Threat-Led Penetration Testing) von Finanzunternehmen durchgeführt werden muss, die aus IKT- (Informations- und Kommunikationstechnologien) Perspektive ausgereift genug und von gewisser systemischer Relevanz sind. Betroffene Unternehmen werden von der zuständigen Finanzbehörde identifiziert. 

Ein TLTP-Test muss gewisse technische Regulierungsstandards einhalten. Der RTS definiert Rahmenbedingungen bzw. Kriterien, unter anderem für die Testdauer und die Dienstleisterauswahl. So muss allein die RT Phase laut RTS mind. 12 Wochen lang sein, der RT Test Manager 5 Jahre Erfahrung in dem Bereich aufweisen und alle RT Mitglieder aktuelle Zertifizierungen abgelegt haben. Der Test wird von dem TLPT-Cyber-Team bzw. dem TIBER-DE-Team der Bundesbank begleitet.

TLPT: Worin besteht der Unterschied zu einem klassischen Pentest/Red Teaming?

Bei einem klassischen (Netzwerk-) Pentest wird versucht, möglichst effizient viele Schwachstellen in einem gewissen Zeitrahmen aufzudecken. Hierbei steht aber weder die aktive Ausnutzung von Schwachstellen noch die Angriffserkennung durch das BT im Fokus. 

Bei einem RT Assessments liegt der Fokus darin, vorher definierte Ziele (Flags) zu erreichen und reale Angriffspfade dorthin aufzuzeigen, indem man Schwachstellen ausnutzt und miteinander verkettet. Zudem wird die Angriffserkennung und die dahinter liegenden Alarmketten, Prozesse und Vorgehensweisen bei erkannten Angriffen evaluiert.

Ein TLPT-Test ist sehr nah angelehnt an das TIBER-EU-Framework, das bereits seit 2018 als Richtlinie für die Durchführung von RT Assessments für Banken und Versicherungen dient. Derartige Tests unterscheiden sich zu klassischen Pentests und RT Assessments vor allem im Testumfang und den damit verbundenen Testaufwänden, aber auch in der Vorgehensweise und der Motivation. Zudem werden TLPT- und TIBER-Tests offiziell von der Bundesbank begleitet und unterliegen strengen formellen Anforderungen, was Zeitplan, Vorgehensweise und Dokumentation betrifft.

Weitere Informationen über unsere klassischen Pentest Services, können Sie unserem Blog  zum Thema “360Grad Penetrationstest” oder hier entnehmen. 

Wir – die fernao security force – sind etablierter Dienstleister für professionelle TIBER- bzw. TLPT-Tests und führen bereits seit mehreren Jahren derartige Tests in Kooperation mit der Bundesbank durch.  Wir unterstützen unsere Kunden dabei sowohl in der Threat Intelligence, als auch im Red Teaming mit zwei unterschiedlichen Experten-Teams und können den gesamten Test daher aus einer Hand anbieten. Zudem unterstützen wir auch prozessbegleitend und beratend bis zu der erfolgreichen Attestierung. Gerne beraten wir Sie auch persönlich und unverbindlich in einem ersten Gespräch zu ihrem TLPT oder anderen Tests.
Kontaktanfrage

Verwendete Abkürzungen

Abk.Bedeutung
BTBlue Team
DORADigital Operational Resilience Act
GTLGeneric Threat Landscape
RTRed Team
RTSRegulatory Technical Standard
SOCSecurity Operations Center
TTP‘sTactics, Techniques, and Procedures 
TCT TLPT Cyber Team
TLPTThreat-Led Penetration Testing
TIThreat Intelligence
WTWhite Team

Hilfreiche Weblinks

< Zurück zur Übersicht
Home | Insights | Blog | TLPT - Bedrohungsorientierte Penetrationstests: Denken wie ein Angreifer