Red-Team-Übungen für KRITIS-Betreiber: physisch + cyber kombiniert

Eine Red-Team-Übung, die ausschließlich die IT prüft, ist im KRITIS-Umfeld nicht mehr als eine teure Halbwahrheit. Wer Energieversorgung, Wasser, Logistik oder Telekommunikation betreibt, lebt in einer Wirklichkeit, in der die Tür am Umspannwerk dieselbe Angriffsfläche darstellt wie der VPN-Zugang ins Leitsystem. Wer beides getrennt prüft, prüft zwei Hälften, ohne je das Ganze zu sehen.

Die seriöse Red-Team-Übung im KRITIS-Sektor verbindet physischen Zutritt, soziale Manipulation und digitale Kompromittierung in einem zusammenhängenden Szenario. Sie wird nicht gegen ein Datenblatt geführt, sondern gegen die tatsächliche Organisation des Betreibers, einschließlich seiner Lieferanten, seiner Wachdienste und seiner Schichtwechsel. Sie endet nicht mit einer Liste von Schwachstellen, sondern mit einer dokumentierten Rekonstruktion eines möglichen Angriffsverlaufs, der vor Behörden, Versicherern und Aufsichtsgremien standhält. Alles darunter ist Theater.

Warum getrennte Prüfungen die Lage falsch zeichnen

Die übliche Praxis trennt die Disziplinen. Ein Pentest prüft die Webanwendungen, ein zweiter Pentest die internen Netze, ein dritter die Industriesteuerung. Parallel dazu beauftragt der Werkschutz eine Begehung, die Schließanlagen und Zaunanlagen begutachtet. Beide Stränge laufen ohne Verbindung, und jeder produziert seinen eigenen Bericht. Am Ende stehen zwei Stapel auf demselben Schreibtisch, die nie miteinander gesprochen haben.

Der reale Angreifer arbeitet nicht in dieser Logik. Er sucht den günstigsten Pfad zum Ziel und nimmt jede verfügbare Disziplin in Anspruch. Er folgt einem Mitarbeiter durch die Drehsperre, weil ihm das schneller die Domäne eröffnet als drei Wochen Phishing-Kampagne. Er beobachtet die Anlieferung des Reinigungsdienstes, weil die Reinigung um vier Uhr morgens den unbeobachteten Zugang zum Serverraum bietet. Er bringt einen vorbereiteten Industrieadapter mit, weil eine ungesicherte Wartungsschnittstelle am Umrichter mehr Wirkung erzeugt als jeder Zero-Day im Office-Netz. Wer diese Verkettung im Test nicht zulässt, prüft eine Welt, die nicht existiert.

Die getrennte Prüfung hat noch einen zweiten Mangel. Sie bewertet Wahrscheinlichkeiten, nicht Konsequenzen. Ein klassischer Pentest meldet zwanzig Funde mittlerer Kritikalität und drei kritische Befunde, die patchbar sind. Eine Begehung meldet drei beschädigte Zaunelemente und eine veraltete Schließanlage. Was keiner der beiden Berichte beantwortet, ist die einzige Frage, die den Vorstand interessiert: Welcher Angriffsverlauf bringt die Anlage in den Stillstand, und wie lange dauert dieser Stillstand. Die Antwort ergibt sich erst, wenn beide Welten in einem Szenario zusammengeführt werden, das von einem Team gespielt wird, das beide Sprachen spricht.

In der eigenen Praxis hat sich gezeigt, dass die schwerwiegendsten Befunde regelmäßig an den Schnittstellen liegen. Eine ungenutzte Netzwerkdose im Besucherraum, ein Wartungslaptop, der zwischen IT- und OT-Netz pendelt, ein Schlüssel im Schaltschrank, dessen Verlust nie gemeldet wurde. Solche Punkte tauchen in keinem Audit auf, das nur eine Disziplin abbildet. Sie tauchen auch nicht auf, wenn zwei Audits hintereinander gefahren werden, ohne dass ein Team die Befunde gegeneinander legt. Sie tauchen erst auf, wenn ein Angreifer sie sucht, real oder simuliert.

Tabletop als Vorstufe, nicht als Ersatz

Das Tabletop-Format hat seinen Platz in der Übungslandschaft, aber es ersetzt keine Live-Übung. Ein Tabletop ist eine moderierte Diskussion, in der die Beteiligten gemeinsam ein Szenario durchspielen und ihre jeweiligen Reaktionen erläutern. Es ist günstig, organisatorisch leicht aufsetzbar und liefert in zwei bis vier Stunden ein erstes Bild der Entscheidungsfähigkeit unter Druck. Es offenbart, wer welche Telefonnummern hat, wer im Krisenfall welche Befugnis nutzt und welche Eskalationsstufe in welcher Zeit greift.

Was ein Tabletop nicht liefert, ist eine Aussage über die tatsächliche Wirksamkeit der technischen und organisatorischen Maßnahmen. Die Teilnehmer beschreiben, was sie tun würden. Sie tun es nicht. Diese Differenz ist im KRITIS-Umfeld nicht zu vernachlässigen. Die Anzahl der Sicherheitsverantwortlichen, die im Tabletop souverän agieren und im realen Vorfall die ersten dreißig Minuten mit Suche nach Passwörtern verbringen, ist beachtlich. Niemand sagt es laut. Es ist trotzdem die Regel.

Das Tabletop sollte deshalb als Vorbereitung eingesetzt werden, nicht als Abschluss. Es klärt die Rollen, es eicht die Begriffe, es deckt offensichtliche Lücken in der Notfallorganisation auf, bevor die Live-Übung beginnt. Wer ohne diese Vorbereitung in eine Red-Team-Übung geht, riskiert, dass die Übung im Chaos endet, weil grundlegende Strukturen fehlen. Wer nach der Live-Übung erneut ins Tabletop geht, kann die gemachten Erfahrungen in Entscheidungsprozesse übersetzen, die im Ernstfall greifen.

Ein gutes Tabletop dauert nicht länger als einen halben Tag, ist auf maximal zwölf Teilnehmer ausgelegt und wird von einer Person moderiert, die sowohl Cyber- als auch physische Szenarien beherrscht. Es endet mit einer schriftlichen Liste von Entscheidungen, die in den folgenden Wochen getroffen werden müssen, und mit einer Verabredung, wann diese Entscheidungen geprüft werden. Ohne diese Verabredung verläuft sich auch das beste Tabletop in den allgemeinen Arbeitsalltag.

Im Manuskript zur Sicherheitstechnologie, das in diesem Verlag erschienen ist, wird der Unterschied zwischen Diagnose und Eingriff ausdrücklich betont. Das Tabletop ist Diagnose. Die Live-Übung ist Eingriff. Beide haben ihren Wert, beide haben ihren Preis, und keine ersetzt die andere.

Die Architektur einer ernsthaften Live-Übung

Eine Live-Red-Team-Übung im KRITIS-Umfeld erstreckt sich typischerweise über vier bis zwölf Wochen. Die Vorbereitung umfasst die Vereinbarung des Auftragsumfangs mit der Geschäftsleitung, die Festlegung der zulässigen Methoden, die Definition der Tabuzonen und die Bestimmung eines kleinen Kreises von Eingeweihten auf Betreiberseite. Dieser Kreis muss klein genug sein, dass die Übung realistisch bleibt, und groß genug, dass im Notfall eine Eskalation gestoppt werden kann.

Die Methoden umfassen klassische Aufklärung in offenen Quellen, Beobachtung der Liegenschaft, Versuche zum unbefugten Zutritt, soziale Manipulation am Telefon und am Empfang, Einbringung präparierter Datenträger, Angriffe auf das Office-Netz, laterale Bewegung in Richtung der Betriebsnetze und, wenn der Auftrag dies vorsieht, das kontrollierte Erreichen einer Position, von der aus eine Manipulation am Leitsystem möglich wäre. Der entscheidende Punkt ist, dass diese Phasen nicht als separate Tests gefahren werden, sondern als ein zusammenhängender Angriffsverlauf, in dem jede Phase auf der vorherigen aufbaut.

Die Übung muss klare Abbruchkriterien haben. Ein Red Team, das eine reale Gefährdung der Versorgung herbeiführen könnte, hat seine Aufgabe falsch verstanden. Die Aufgabe besteht darin, den Pfad bis zum letzten umkehrbaren Punkt zu dokumentieren und an dieser Stelle anzuhalten. Dieser letzte umkehrbare Punkt ist nicht immer offensichtlich. Er muss vor Beginn der Übung mit den technischen Verantwortlichen abgestimmt werden, und seine Definition gehört in den schriftlichen Auftrag.

Die Übung muss außerdem dokumentiert werden, während sie läuft. Jeder erfolgreiche Schritt, jede Zeit, jede genutzte Schwachstelle wird in einem Protokoll festgehalten, das später die Grundlage des Abschlussberichts bildet. Ohne diese laufende Dokumentation lässt sich der Angriffsverlauf im Nachhinein nicht rekonstruieren, und der Bericht verliert seine Belegkraft. Das BSI verlangt für meldepflichtige Vorfälle eine nachvollziehbare Rekonstruktion. Eine Übung, die diese Anforderung nicht intern erfüllt, hat den Standard verfehlt, den sie eigentlich prüfen sollte.

Auf der defensiven Seite läuft die Übung blind. Die Sicherheitsorganisation, die Schichtleitung, die Bereitschaftsdienste wissen nicht, dass eine Übung läuft. Sie reagieren auf die Indikatoren, die ihnen ihre Systeme melden, und sie eskalieren nach ihren etablierten Verfahren. Genau diese Reaktionen sind das eigentliche Prüfobjekt. Wer das Blue Team vorab informiert, prüft die Vorbereitung, nicht die Reaktion. Beides hat seinen Wert, aber beides muss getrennt benannt werden.

Abstimmung mit BSI und weiteren Stellen

Das Bundesamt für Sicherheit in der Informationstechnik ist im KRITIS-Umfeld nicht nur Aufsicht, sondern in vielen Fragen auch Ansprechpartner. Eine Red-Team-Übung, die die Schwelle einer meldepflichtigen Auffälligkeit überschreiten könnte, sollte vor Beginn mit dem zuständigen Referat abgestimmt sein. Diese Abstimmung muss nicht öffentlich gemacht werden, sie sollte aber dokumentiert sein. Sie schützt den Betreiber vor dem Vorwurf, eine reale Kompromittierung verschleppt zu haben, und sie schützt das Red Team vor dem Vorwurf, in einen Bereich eingedrungen zu sein, in dem es nichts zu suchen hatte.

Die Abstimmung umfasst typischerweise drei Punkte. Erstens die Information, dass eine Übung stattfindet, mit grober Zeitraumangabe. Zweitens die Festlegung, wer im Krisenfall als Kontaktstelle erreichbar ist, falls das Red Team auf reale Vorfälle stößt, die nicht Teil der Übung sind. Drittens die Vereinbarung, wie mit Erkenntnissen umgegangen wird, die über die Liegenschaft des Betreibers hinausreichen, etwa wenn ein kompromittierter Lieferant identifiziert wird, der weitere KRITIS-Betreiber beliefert.

Neben dem BSI können je nach Sektor weitere Stellen eingebunden sein. Die Bundesnetzagentur im Telekommunikations- und Energiebereich, die Aufsichtsbehörden der Länder, im Versorgungsbereich auch die kommunalen Träger. Die Versicherer, insbesondere wenn eine Cyberversicherung besteht, haben ein eigenes Interesse, regelmäßig nachzuweisen, dass die zugesicherten Schutzmaßnahmen tatsächlich wirken. Der VdS und der GDV haben in den vergangenen Jahren Anforderungskataloge entwickelt, die in diese Richtung weisen. Eine Übung, die die einschlägigen Kataloge berücksichtigt, schafft Belege, die im Versicherungsfall Beweislast tragen.

Die Einbindung externer Auditoren, etwa von TÜV-Gesellschaften, kann sinnvoll sein, wenn das Ergebnis der Übung in einen formalen Zertifizierungsprozess einfließen soll. In diesem Fall sind die Anforderungen an Dokumentation und Methodik strenger, und die Übung muss von einer Stelle durchgeführt werden, deren Qualifikation gegenüber dem Auditor belegbar ist. Wer plant, das Ergebnis zertifizieren zu lassen, sollte diese Anforderungen vor Beginn klären, nicht danach.

Was die Auswertung leisten muss

Der Abschlussbericht einer Red-Team-Übung ist das einzige Artefakt, das nach der Übung bleibt. Er muss so geschrieben sein, dass er nach achtzehn Monaten noch ohne den Verfasser verstanden werden kann. Er enthält die Rekonstruktion des Angriffsverlaufs in einer Genauigkeit, die für Behörden und Versicherer nachvollziehbar ist, und er ordnet die Befunde nach Wirkung und Behebungsaufwand.

Die Rekonstruktion folgt einer chronologischen Logik. Sie beschreibt, an welchem Tag welcher Schritt unternommen wurde, welche Schwachstelle ausgenutzt wurde, welche Reaktion auf Betreiberseite erfolgte und in welcher Zeit. Diese Chronologie ist die Grundlage, auf der die defensive Organisation ihre Reaktionsfähigkeit beurteilen kann. Sie zeigt nicht nur, ob ein Angriff erkannt wurde, sondern auch, wie lange zwischen Eintritt und Erkennung lag, und wie viel Zeit zwischen Erkennung und Eindämmung verging. Beide Größen sind in der Praxis aussagekräftiger als die Anzahl der gefundenen Schwachstellen.

Die Befunde werden in einer Matrix aus Wirkung und Aufwand priorisiert. Hohe Wirkung bei niedrigem Aufwand zuerst. Diese Reihenfolge ist nicht selbstverständlich. Viele Berichte ordnen ihre Befunde nach technischer Schwere, ohne die organisatorische Behebbarkeit zu berücksichtigen. Eine kritische Schwachstelle in einem System, das in sechs Monaten ohnehin abgelöst wird, hat eine andere Priorität als eine mittlere Schwachstelle, die täglich genutzt wird und sich in einer Woche schließen lässt. Wer diese Unterscheidung im Bericht nicht trifft, überlässt sie dem Leser, und der Leser hat sie selten getroffen.

Der Bericht muss außerdem die Annahmen offenlegen, auf denen die Übung beruht. Welche Methoden waren erlaubt, welche nicht. Welche Liegenschaften wurden geprüft, welche nicht. Welche Tageszeiten waren Gegenstand der Beobachtung, welche nicht. Diese Transparenz ist die Voraussetzung dafür, dass der Bericht nicht als abschließendes Sicherheitszertifikat missverstanden wird. Eine Red-Team-Übung prüft das, was sie prüft, und nicht mehr. Was sie nicht prüft, bleibt offen, und der Bericht muss diese Offenheit benennen.

Schließlich enthält der Bericht einen Umsetzungsplan. Er ordnet die Befunde Verantwortlichen zu, er nennt Zwischenziele und er legt fest, wann eine Nachprüfung stattfindet. Ohne Nachprüfung verlieren auch die besten Berichte ihre Wirkung. Die Nachprüfung kann in Form eines verkürzten Audits, einer thematisch begrenzten Übung oder einer dokumentierten Selbstprüfung erfolgen. Welche Form gewählt wird, hängt vom Umfang der Befunde ab. Dass eine Nachprüfung erfolgt, ist nicht verhandelbar.

Frequenz, Kosten, ehrliche Erwartungen

Eine Red-Team-Übung ist kein jährliches Ritual. Sie ist ein Werkzeug, dessen Einsatz an die Reife der Organisation angepasst werden muss. Eine Organisation, die nach der ersten Übung mit zwei Dutzend kritischen Befunden konfrontiert ist, wird die nächsten zwölf Monate mit deren Behebung verbringen. Eine zweite Übung in diesem Zeitraum hätte keinen Erkenntnisgewinn, sie würde nur die laufende Behebung stören. Eine Organisation, die nach der dritten Übung nur noch wenige Befunde verzeichnet, kann den Rhythmus verlängern und die Tiefe einzelner Übungen erhöhen.

Die Kostenfrage wird in der Branche selten ehrlich beantwortet. Eine seriöse Red-Team-Übung im KRITIS-Umfeld kostet ein Vielfaches eines klassischen Pentests, weil sie mehrere Disziplinen über mehrere Wochen koordiniert und weil sie ein Team verlangt, das in beiden Welten arbeiten kann. Angebote, die deutlich unter diesem Niveau liegen, prüfen entweder nur eine Disziplin, oder sie reduzieren die Tiefe so weit, dass die Übung den Namen nicht verdient. Die Bandbreite reicht von mittleren fünfstelligen Beträgen für eine fokussierte Übung an einem Standort bis in den niedrigen sechsstelligen Bereich für mehrwöchige Programme über mehrere Liegenschaften.

Diese Beträge sind in das Verhältnis zu setzen, das der GDV und große industrielle Versicherer für die Schadenshöhe nach ernsthaften KRITIS-Vorfällen ausweisen. Ein einzelner erfolgreicher Angriff auf eine Versorgungsanlage kann in seinen direkten und indirekten Folgen Beträge erreichen, die jenseits dieser Größenordnungen liegen. Die Übung amortisiert sich nicht in der Vermeidung des einen großen Schadens. Sie amortisiert sich in der systematischen Reduktion der Wahrscheinlichkeit, dass dieser Schaden eintritt, und in der dokumentierten Verteidigungslinie gegenüber Aufsicht, Versicherer und Vorstand.

Was bleibt

Die Trennung von physischer und digitaler Sicherheit ist in KRITIS-Sektoren ein Erbe einer Zeit, in der beide Welten getrennt funktionierten. Diese Zeit ist vorbei. Wer heute Energie, Wasser, Telekommunikation oder Logistik betreibt, betreibt ein Geflecht aus Maschinen, Netzen, Menschen und Lieferanten, in dem die Trennung der Disziplinen nur noch eine Verwaltungslogik ist, keine sicherheitstechnische. Die Red-Team-Übung, die diesen Tatbestand abbildet, ist die einzige Übung, die im KRITIS-Umfeld den Namen verdient.

Die Übung ersetzt nicht die laufenden Prüfprozesse, die Audits durch BSI und Aufsichtsbehörden, die internen Revisionen oder die Maßnahmen nach den jeweiligen Branchenstandards. Sie ergänzt sie um eine Perspektive, die in keinem dieser Prozesse strukturell vorgesehen ist: die Perspektive des Angreifers, der den günstigsten Pfad sucht und nicht die vollständige Compliance prüft. Diese Perspektive ist unbequem. Sie ist auch die einzige, die im realen Ernstfall Aussagekraft entfaltet.

Wer eine solche Übung in Erwägung zieht und nicht weiß, an welcher Stelle die eigene Organisation derzeit steht, beginnt nicht mit der Übung. Er beginnt mit einem Gespräch, das in sechzig Minuten klärt, welcher der drei Wege sinnvoll ist: das vertrauliche Erstgespräch ohne Folgekosten, das strukturierte Audit über drei bis fünf Tage, oder ein neunzigtägiger Pilotbetrieb, in dem Schutzsysteme unter realen Bedingungen geprüft werden. Welcher Weg passt, hängt von der Vorgeschichte ab. Dass einer dieser Wege passt, ist die zuverlässigere Annahme.

Häufige Fragen

Wie oft sollte ein Red-Team-Test stattfinden?

Die Frequenz richtet sich nach der Reife der Organisation und nicht nach einem festen Kalender. Für einen erstmaligen Test, der erfahrungsgemäß eine umfangreiche Liste an Befunden produziert, folgt eine Phase der Behebung von zwölf bis achtzehn Monaten, bevor eine zweite Übung sinnvoll wird. Reifere Organisationen, die regelmäßig prüfen lassen, fahren häufig einen Rhythmus von achtzehn bis vierundzwanzig Monaten für umfassende Übungen, ergänzt um kürzere, themenfokussierte Prüfungen. Eine jährliche Übung ohne ausreichende Behebungsphase erzeugt mehr Dokumentation als Sicherheitsgewinn.

Was kostet eine seriöse Übung?

Die Bandbreite ist erheblich und hängt von Umfang, Tiefe und Anzahl der Liegenschaften ab. Eine fokussierte Übung an einem Standort, die physische und digitale Komponenten verbindet, beginnt im mittleren fünfstelligen Bereich. Mehrwöchige Programme über mehrere Standorte mit ausgeprägter OT-Komponente erreichen den niedrigen sechsstelligen Bereich. Angebote, die deutlich darunter liegen, reduzieren typischerweise entweder die Disziplinen oder die Tiefe. Im Verhältnis zu den möglichen Folgekosten eines erfolgreichen Angriffs auf KRITIS-Anlagen, wie sie etwa der GDV qualitativ einordnet, ist die Übung eine Investition in eine überschaubare Größenordnung.

Wer darf solche Tests durchführen?

Eine formale Zulassung gibt es für Red-Team-Übungen in Deutschland nicht in der Form, wie sie etwa für VdS-anerkannte Errichter besteht. Maßgeblich sind die Qualifikation des Teams, die nachweisbare Erfahrung in vergleichbaren Sektoren und die vertragliche Absicherung der Übung. Im KRITIS-Umfeld empfiehlt sich die Auswahl von Anbietern mit dokumentierter Erfahrung in OT-Umgebungen, mit Kenntnissen der BSI-Anforderungen und mit Personal, das sowohl Cyber- als auch physische Aspekte beherrscht. Eine vorherige Abstimmung mit dem BSI ist bei meldepflichtigen Sektoren dringend zu empfehlen.

Wie werden Schwächen dokumentiert?

Die Dokumentation folgt einer chronologischen Rekonstruktion des Angriffsverlaufs mit Datum, Uhrzeit, genutzter Schwachstelle und beobachteter Reaktion auf Betreiberseite. Jede Schwäche wird einzeln beschrieben, mit technischer und organisatorischer Einordnung versehen und in einer Wirkungs-Aufwand-Matrix priorisiert. Der Bericht legt die Annahmen der Übung offen, benennt die Tabuzonen und enthält einen Umsetzungsplan mit Verantwortlichkeiten und Nachprüfungsterminen. Diese Form der Dokumentation ist zugleich die Grundlage für Meldungen an Aufsichtsbehörden und Versicherer und sollte in einer Sprache verfasst sein, die auch achtzehn Monate später ohne den Verfasser verständlich bleibt.