Reversal

Was ist Reversal?

Reversal ist ein spezieller Testtyp im Kontext von IT-Sicherheitstests (z. B. Penetration Tests oder Red-Teaming), bei dem der Prüfer Kenntnisse über das Zielsystem besitzt, das Unternehmen jedoch nicht über den Testzeitraum oder die Methodik informiert ist.

Er simuliert ein realistisches Szenario, in dem ein interner Angreifer (z. B. ehemaliger Mitarbeiter oder externer Dienstleister mit Vorwissen) verdeckt agiert. Im Unterschied zu Grey-Box-Tests besteht keine Kommunikation mit dem IT-Team oder der Geschäftsführung während der Durchführung – was die Fähigkeit zur Erkennung und Reaktion in Echtzeit auf die Probe stellt.

Wichtige Reversal-Ressourcen

• Grey Box Testing
  → Ähnlicher Informationsstand, jedoch mit Einbindung der Zielorganisation.

• Credentialed Scanning
  → Nutzung gültiger Zugangsdaten zur Analyse interner Schwachstellen.

• Monitoring & Detection
  → Prüfung, wie effektiv Systeme wie SIEM oder EDR verdeckte Aktivitäten erfassen.

• Exploitation Testing
  → Simuliertes Ausnutzen von Schwachstellen mit begrenztem Impact zur Testverifikation.

• Awareness-Training für IT-Betrieb
  → Schulung von IT-Teams im Umgang mit verdeckten Bedrohungen und Reaktionsketten.

Anwendung in der Praxis

• Verdeckte Durchführung: Keine Vorabinformation für IT oder Management.

• Realismus: Nachbildung echter Bedrohungsszenarien mit Insiderwissen.

• Detection-Validierung: Wie schnell wird verdächtige Aktivität bemerkt und gemeldet?

• Technische Methodik: Kombination aus Netzwerk-Scanning, Rechteausweitung, Zugangssimulation.

• Nachbesprechung: Auswertung und Ableitung von Maßnahmen zur Alarmierungs- und Reaktionsverbesserung.

Verwandte Begriffe

• Grey Box

• Credentialed Scanning

• Incident Response

• Test-Typen

• Detection & Response

Beispiel aus der Praxis

Ein externes Red-Team erhält Zugriffsdaten zu einem internen Administratorkonto, jedoch ohne Absprache mit der internen IT-Abteilung. Während des Tests greifen sie außerhalb der üblichen Geschäftszeiten auf mehrere Systeme zu, führen Scans und simulieren Passwortangriffe. Die Aktivität bleibt vom SIEM-System unentdeckt. Nach dem Test wird ein Review mit dem IT-Security-Team durchgeführt, in dem Schwächen im Monitoring identifiziert und konkrete Verbesserungen wie Alert-Regeln, Schwellenwerte und Awareness-Maßnahmen vorgeschlagen werden.