Kopf des Red Team – er bricht ständig bei Google ein

Ein falscher Klick und alle Daten sind futsch: Nach den Begriffen Cyberkriminalität, Phishing, Ransomware, Cyberattacken und Identitätsdiebstahl wurde 2022 so oft gesucht wie nie zuvor. Das geht aus einer Analyse von Google hervor.

Auch für den IT-Giganten ist das Thema Cybersicherheit enorm wichtig. Normalerweise lässt sich Google dabei nicht in die Karten schauen. Nun hat uns Daniel Fabian, der Chef des Red Teams bei Google, in seinen Alltag blicken lassen. Der Begriff Red Team kommt aus dem Militär. Er bezeichnet ein Team, das versucht, in militärische Basen einzubrechen, um so zu testen, ob diese sicher sind. Im IT-Jargon ist das Blue Team der Gegenpart. Das Team wiederum versucht, Systeme so gut wie möglich zu schützen.

Daniel Fabian (lacht): Wir legen Feuer – aber natürlich nur im digitalen Bereich. Dies, indem das Team sich in Systeme reinhackt. Dann warten wir darauf, dass das sogenannte Blue Team, also die Verteidiger, unsere Angriffe erkennt und Gegenmaßnahmen einleitet.

Wir versuchen grundsätzlich, alle Dienste, die Google anbietet, abzudecken. Das umfasst also zum Beispiel Gmail, Google Drive, Google Maps, die Suchmaschine.

Ein Beispiel, das ich nennen kann, liegt schon etwas länger zurück. Wir haben erst auf Linkedin nach Google-Mitarbeitern gesucht, die einen Jahrestag im Unternehmen hatten. Denen schickten wir dann ein Paket als Präsent zu. Der Clou: Steckte man den USB-Plasmaglobe an den Computer an, wurde ein Angriff ausgeführt. Somit hatten wir einen Fuß in der Türe. Mit weiteren Angriffen konnten wir dann auf einen Ordner in Drive zugreifen, worin Daten zu Google Lens gespeichert waren.

Ich finde es immer superinteressant, wenn man eine Software oder auch Hardware dazu bringt, Dinge zu machen, für die sie eigentlich nicht konzipiert wurde. Das kann mitunter auch frustrierend sein, da 90 bis 95 Prozent der Angriffe nicht funktionieren. Umgekehrt ist es dann umso erfüllender, wenn man sieht, dass die Attacke erfolgreich war.

Wir haben ein Regelwerk, das Rules of Engagement heißt. Darin ist genau beschrieben, welche Dinge wir machen dürfen – und was nicht. Ein Beispiel: Wir würden niemals im Zuge unserer Angriffe auf Daten von Kunden zugreifen. Wenn das notwendig wäre, würden wir Testaccounts machen und diese verwenden. Im Regelbuch steht auch konkret drin, dass man kein Sicherheitspersonal mit Chloroform betäuben soll – das allerdings ist natürlich mit einem Augenzwinkern gemeint.

Haha, nein, nicht aus gegebenem Anlass. Es ist als Scherz gedacht, um das Thema ein wenig aufzulockern. Unser Team führt wirklich digitale Angriffe durch, es gibt jedoch auch ein Red Team im Silicon Valley, das physische Angriffe durchführt.

Gewisse Personen werden informiert vor unseren Angriffen. Das beschränkt sich normalerweise aber auf Personen aus dem Blue Team und Sicherheitsteams, die darüber Bescheid wissen müssen. Die Teams, die wir angreifen, wissen normalerweise nicht, dass ein Angriff von uns kommt.

Nach einem Angriff – egal, ob erfolgreich oder nicht – schauen wir, welche Dinge man im Bereich der Sicherheit oder im Bereich der Erkennung von solchen Angriffen verbessern könnte. Und dann starten wir einen Prozess, der das Ziel hat, Dinge im Bereich der Security bei Google zu verbessern oder neue Erkennungsmaßnahmen einzuführen, mit denen Angriffe frühzeitig erkannt werden können.

Einerseits gibt es neue Sicherheitsmaßnahmen, die in den Produkten umgesetzt werden. Etwa unhackbare Securityschlüssel. Es gab auch Verbesserungen in der Erkennung von Phishingangriffen bei Gmail, die auf der Arbeit unseres Teams basiert. Zudem wurden zahlreiche Schwachstellen geschlossen. Aber auch intern, selbst wenn das jetzt nicht direkt die Produkte betrifft, profitieren Nutzerinnen und Nutzer natürlich davon, wenn ihre Daten bei Google sicher sind.