Sieht Ihr SOC, was auf Sie zukommt?
Ein Pentest sagt Ihnen, welche Schwachstellen existieren. Red Teaming beantwortet die Frage, die Ihr Vorstand wirklich stellt: Wenn ein realer Angreifer heute zuschlägt — bemerken wir es, stoppen wir es, oder erfahren wir es aus den Nachrichten?
Red Teaming testet Ihr Blue Team. Pentesting testet Ihre Systeme.
Das NATO Cooperative Cyber Defence Centre of Excellence bringt es auf den Punkt: Ein Penetrationstest sucht Schwachstellen. Ein Red Team simuliert einen Angreifer — mit dem Ziel, die Verteidiger zu prüfen. Wenn Sie noch nie einen Erkennungs- und Reaktionsplan getestet haben, während Sie tatsächlich angegriffen werden, wissen Sie nicht, ob er funktioniert.
Ein Red Team ist deshalb sinnvoll, sobald Sie eine Verteidigungsstrategie haben, die Sie ernsthaft überprüfen wollen: SOC, EDR, SIEM-Use-Cases, Incident-Response-Playbooks, Awareness-Programme, physische Kontrollen. Ohne diese Grundlagen produziert ein Red Team spektakuläre Screenshots — aber wenig Lernwirkung. Mit diesen Grundlagen liefert es die einzige belastbare Aussage über Ihre reale Widerstandsfähigkeit.
Zwei Instrumente, zwei Fragen.
| Penetrationstest | Red Teaming | |
|---|---|---|
| Frage | Welche Schwachstellen gibt es? | Erkennt und stoppt uns die Verteidigung? |
| Getestet wird | Das System | Die Menschen, Prozesse und Werkzeuge, die es verteidigen |
| Umfang | Definierte Systeme in der Breite | Angriffspfad zum Ziel — quer durch die Organisation |
| Ankündigung | Bekannt und abgestimmt | Verdeckt — nur ein kleines White Team weiß Bescheid |
| Ergebnis | Priorisierte Schwachstellenliste | Bewertung Ihrer Detection- und Response-Fähigkeit |
| Reifegrad, ab dem es sich lohnt | Von Beginn an | Sobald ein SOC / Blue Team existiert oder aufgebaut wird |
Beide Formate ergänzen sich. Pentests härten die Substanz. Red Teams härten die Verteidiger.
Nicht jedes Red Team ist eine sechsstellige TIBER-Operation.
TIBER-DE, CBEST und DORA TLPT sind das Gold-Standard-Format für regulierte Finanzinstitute. Für alle anderen Organisationen gilt: Ein fokussiertes, szenariobasiertes Red Team liefert die entscheidende Antwort — zu einem Bruchteil der Kosten und in wenigen Wochen. Der Zweck ist nicht, ein Framework abzuhaken, sondern Verteidigungsbudget dort einzusetzen, wo es tatsächlich zählt.
Fokussiertes Szenario
Ein Angreifer, ein Ziel, 3–5 Wochen. Beispiel: „Ransomware-Gang erreicht in 10 Tagen Domain-Admin.“
Vollständige Operation
Mehrere Szenarien, 8–14 Wochen. Cyber, Social Engineering und physisch — end-to-end wie ein realer Akteur.
TIBER-DE / DORA TLPT
Regulatorische Ausführung nach TIBER-EU-Methodik mit White Team, Threat-Intelligence-Bericht und Attestierung.
Zur TIBER/DORA-Seite →Wer greift Sie an? Wie? Und was hält?
Wir starten nicht bei Ihren Systemen, sondern bei den Akteuren, für die Sie ein Ziel sind — Ransomware-Gruppen, Initial Access Broker, Insider, staatliche Akteure, aktivistische Gruppen. Aus deren Zielen und typischen Techniken (MITRE ATT&CK) leiten wir Szenarien ab, die Sie tatsächlich treffen könnten. Alles andere ist Kino.
Wer?
Threat-Intel-Bild zu Akteuren, die Ihren Sektor und Ihre Geografie tatsächlich adressieren.
Wie?
Ihre plausibelsten Angriffspfade — Initial Access, Lateral Movement, Wirkung — sauber auf ATT&CK gemappt.
Was hält?
Objektive Bewertung Ihrer Detection- und Response-Kette, technik-für-technik.
Konkrete Fragestellungen, die wir mit einem Red Team beantworten.
Produzierendes Unternehmen
Was für greifbare und nachweisbare Optionen hat eine Aktivistengruppe mit böswilliger Absicht, aber einem Budget unter 5.000 €, um unseren Tagesbetrieb zu stören?
Rüstungsunternehmen
Da wir als Waffenlieferant in den Ukraine/Russland-Konflikt eintreten: Wie gut sind unsere Verteidigungen auf russische APT-Angriffe abgestimmt?
Logistikunternehmen
Da Ransomware-Angriffe von organisierten kriminellen Gruppen (OCGs) gegen andere Unternehmen in unserer Branche durchgeführt werden: Wie gut halten unsere Verteidigungen gegen solche Angriffe stand?
Ein Low-Budget-Angreifer läuft durchs Foyer. Bemerkt es jemand?
Nicht jeder Angreifer schickt Phishing-Mails. Aktivistische Gruppen — von Fridays for Future bis Extinction Rebellion — haben Produktionslinien gestört, Fahrzeuge blockiert und Zutritt zu Rechenzentren erlangt, ohne eine einzige Zeile Code zu schreiben. Kleinkriminelle stehlen Notebooks aus Konferenzräumen. Konkurrenten schicken jemanden mit Warnweste und Klemmbrett, um zu fotografieren, was interessant aussieht.
Unsere physischen Red Teams prüfen, was Ihre Kameras, Schließanlagen, Empfangsprozesse und Ihre Belegschaft in dieser Sekunde leisten: Tailgating am Nebeneingang, offene Desktop-Rechner in Meeting-Räumen, ungesicherte Serverräume, Cleaning-Staff-Pretext um Mitternacht, USB-Drop im Parkhaus. Der Bericht ist unbequem — und genau deshalb wertvoll.
Budget dort, wo es wirkt
Sie erfahren, welche Kontrolle den Angriff wirklich stoppt — und welche nur im Compliance-Bericht gut aussieht. Ein Red Team ersetzt Bauchgefühl durch Evidenz.
Verweildauer sichtbar machen
Mandiant M-Trends 2024: die globale mediane Angreifer-Verweildauer liegt bei 10 Tagen. Ihre eigene Zahl kennen Sie erst nach einer verdeckten Operation.
Realität schlägt Annahmen
Verizon DBIR 2024: 68 % der Breaches enthalten ein menschliches Element. Ein Red Team testet genau diese Kette — Mensch, Prozess, Technik — im Zusammenspiel.
Sechs Formate — vom fokussierten Szenario bis zum kontinuierlichen Programm.
Adversary Simulation
APTs, OCGs und Initial Access Broker Ihres Sektors, auf MITRE ATT&CK gemappt.
Social Engineering
Phishing, Vishing, Pretexting — bis zur nachvollziehbaren Wirkung, nicht nur zur Klickrate.
Physische Intrusion
Zutrittstests, Tailgating, USB-Drops, Serverraum- und MDF-Zugang.
Purple Team
Gemeinsame Übung mit Ihrem Blue Team — Detektionen messbar besser, Playbook-für-Playbook.
TIBER-DE / DORA TLPT
Bedrohungsgeleitete, regulatorisch anerkannte Operation nach TIBER-EU-Methodik.
Zur Priority-Seite →RTaaS
Kontinuierliche Red-Team-Kampagnen statt Einmal-Snapshot.
Wir kompromittieren, ohne zu zerstören. Ihre Produktion läuft weiter.
Ein kleines White Team weiß Bescheid — der Rest der Organisation wird real getestet.
Die Operation lässt sich innerhalb von Minuten anhalten. Immer.
Finden Sie nicht nur heraus, ob Sie verwundbar sind — sondern wie Ihre Verteidigung gegen die Akteure abschneidet, die tatsächlich für Sie relevant sind.
30 Minuten mit einem Senior-Operator. Wir klären das passende Format, ein realistisches Szenario und einen Preisrahmen — bevor Sie sich zu irgendetwas verpflichten.