Penetration Testing
Red Team Test
Realistische Angriffssimulation für Detection & Response
Ein Red Team Test ist eine mehrwöchige, zielorientierte Angriffssimulation. Dabei werden reale Angreifer-Taktiken eingesetzt, um Ihre Sicherheitsarchitektur, Ihr Blue Team und Ihre organisatorischen Abläufe ganzheitlich zu überprüfen.
Im Gegensatz zu klassischen Penetrationstests steht nicht die Anzahl gefundener Schwachstellen im Fokus – sondern die zentrale Frage:
Wie weit kommt ein echter Angreifer in Ihrer Umgebung – und wie schnell reagiert Ihre Organisation?
Klar definierte Ziele und Erfolgskriterien statt „Findings sammeln“.
Detection & Response
Testet Erkennung, Eskalation, Kommunikation und Entscheidungswege.
Realistische Kill Chain
Angriffsketten nach MITRE ATT&CK – nachvollziehbar dokumentiert.
Was ist ein Red Team Test?
Ein Red Team Test simuliert echte Bedrohungsakteure mit klar definierten Zielen – etwa:
- Zugriff auf sensible Daten
- Kompromittierung kritischer Systeme
- Umgehung von Sicherheitskontrollen
- Persistenz im Netzwerk (wenn im Scope)
Dabei werden reale Angriffstechniken eingesetzt (z. B. Initial Access über Phishing, Credential Abuse, Lateral Movement oder Cloud-Pfade) – ohne das interne Sicherheitsteam vorab zu informieren, sofern dies in den Rules of Engagement vereinbart ist.
Ist das für Sie relevant?
Typische Auslöser
- SOC / SIEM oder MDR ist vorhanden – Sie wollen Wirksamkeit messen
- Neue Architektur (Cloud/Hybrid), viele Changes, hohe Komplexität
- Nach Security Incidents oder „Near Miss“
- Reifegrad-Check für Detection & Incident Response
- Vor Audits/Assessments (z. B. TISAX/ISO 27001) als Evidenz
Häufige Schwachstellen, die Red Teaming aufdeckt
- Alerts werden erzeugt, aber nicht richtig triagiert
- Privilegierte Accounts/Service Accounts sind zu mächtig
- Segmentierung/Trust Boundaries sind in der Praxis löchrig
Response-Prozesse existieren – funktionieren aber nicht unter Stress
- Kommunikation & Eskalation dauern zu lange
Methodik: MITRE ATT&CK
Unsere Red Team Tests orientieren sich am MITRE ATT&CK Framework und bilden vollständige Angriffsketten ab:
Einstieg über realistische Vektoren im Scope.
Lateral Movement & Privilege Escalation bis zur Zielerreichung.
Kontrollierte Simulation, IOCs & Beobachtungen dokumentiert.
So entsteht ein realistisches Bild Ihrer externen Angriffsfläche und internen Verteidigungsfähigkeit – keine isolierten Findings.
Typischer Scope
- External Attack Surface & Einstiegspunkte
- Phishing / Initial Access (optional)
- Identity/AD Angriffe & Privilege Escalation
- Lateral Movement & Zugriffspfade
- Cloud-Umgebungen (AWS/Azure/GCP im Scope)
- Command & Control Simulation (kontrolliert)
- Detection, Alerting, Triage
- Incident Response Prozesse
- Eskalationswege & Kommunikation
- Entscheidungsfindung im Ernstfall
- Lessons Learned & Verbesserungsplan
Red Team vs. Penetrationstest (kurz)
| Red Team Test | Penetrationstest |
|---|---|
| Zielorientierte Angriffskette | Schwachstellenfokus im Scope |
| Testet Detection & Response | Testet primär technische Controls |
| Wo kommt ein Angreifer wirklich hin? | Welche Lücken existieren? |
| Dauer meist Wochen | Dauer meist Tage |
Ablauf
Ziele, Success Criteria, Grenzen
Rules, Legal, informed/uninformed
Passive Recon, Exposure Map
Initial Access im Scope
Movement, Escalation, Objective
Report, Lessons Learned, Plan
Typische Dauer: 3–8 Wochen (abhängig von Zielsetzung, Komplexität und RoE).
Das erhalten Sie (Deliverables)
Executive Summary
Business-Risiko, wichtigste Lücken, klare Prioritäten.
Kill Chain / Angriffspfad
Detaillierte Angriffskette vom Einstieg bis zur Zielerreichung.
Technical Report
Exploitpfade, Screenshots, Reproduktion, Nachweise.
Welche Signale waren sichtbar? Was wurde wie schnell erkannt?
Indicators of Compromise, Regeln/Queries, plus Retest zur Verifikation umgesetzter Maßnahmen.
Typische Kosten
klar definierte Ziele, begrenzter Scope
25.000–60.000 €
mehrere Domänen/Standorte/Clouds
50.000–120.000 €
- Simulationsdauer & Anzahl Ziele
- Infrastrukturgröße, Standorte, Trust Boundaries
- Cloud- und Identity-Komplexität
- Informed vs. Uninformed (RoE)
- Retest / Verification
Rechtliches & Sicherheit
Vor Beginn werden verbindlich geregelt:
- Management-Freigabe & Autorisierungsschreiben
- NDAs & Vertraulichkeit
- Rules of Engagement (RoE)
- Haftungsrahmen & Abbruchregeln
- Kontrollierte Testverfahren
- Abstimmung kritischer Aktionen
- Notfallstopps & Eskalationskontakte
Red Team Tests erfolgen ausschließlich mit expliziter Genehmigung.
FAQ
Ist ein Red Team Test das gleiche wie ein Penetrationstest?
Nein. Penetrationstests suchen gezielt Schwachstellen. Red Team Tests simulieren vollständige Angriffsketten mit realistischen Zielen und prüfen zusätzlich Detection & Response.
Wird unser Blue Team informiert?
Das wird in den Rules of Engagement festgelegt: informed, partially informed oder uninformed.
Können Ergebnisse für Audits genutzt werden?
Ja – häufig als Evidenz für Erkennungs- und Reaktionsfähigkeit (inkl. Lessons Learned & Maßnahmenplan).
Ist Social Engineering enthalten?
Optional – abhängig vom vereinbarten Scope und rechtlichen Rahmenbedingungen.
Gibt es ein Retest?
Ja – optional zur Verifikation umgesetzter Maßnahmen.
Related pages
- Penetrationstest: Scope, Kosten und Anbieterauswahl
- Red Team vs. Pentest
- Kosten für Penetrationstests