Red Teaming

Sieht Ihr SOC, was auf Sie zukommt?

Ein Pentest sagt Ihnen, welche Schwachstellen existieren. Red Teaming beantwortet die Frage, die Ihr Vorstand wirklich stellt: Wenn ein realer Angreifer heute zuschlägt — bemerken wir es, stoppen wir es, oder erfahren wir es aus den Nachrichten?

MITRE ATT&CK·TIBER-EU Methodik·NATO CCDCOE·Cyber · Physisch · Social
Die Kernfrage

Red Teaming testet Ihr Blue Team. Pentesting testet Ihre Systeme.

Das NATO Cooperative Cyber Defence Centre of Excellence bringt es auf den Punkt: Ein Penetrationstest sucht Schwachstellen. Ein Red Team simuliert einen Angreifer — mit dem Ziel, die Verteidiger zu prüfen. Wenn Sie noch nie einen Erkennungs- und Reaktionsplan getestet haben, während Sie tatsächlich angegriffen werden, wissen Sie nicht, ob er funktioniert.

Ein Red Team ist deshalb sinnvoll, sobald Sie eine Verteidigungsstrategie haben, die Sie ernsthaft überprüfen wollen: SOC, EDR, SIEM-Use-Cases, Incident-Response-Playbooks, Awareness-Programme, physische Kontrollen. Ohne diese Grundlagen produziert ein Red Team spektakuläre Screenshots — aber wenig Lernwirkung. Mit diesen Grundlagen liefert es die einzige belastbare Aussage über Ihre reale Widerstandsfähigkeit.

Red Teaming vs. Pentest

Zwei Instrumente, zwei Fragen.

PenetrationstestRed Teaming
FrageWelche Schwachstellen gibt es?Erkennt und stoppt uns die Verteidigung?
Getestet wirdDas SystemDie Menschen, Prozesse und Werkzeuge, die es verteidigen
UmfangDefinierte Systeme in der BreiteAngriffspfad zum Ziel — quer durch die Organisation
AnkündigungBekannt und abgestimmtVerdeckt — nur ein kleines White Team weiß Bescheid
ErgebnisPriorisierte SchwachstellenlisteBewertung Ihrer Detection- und Response-Fähigkeit
Reifegrad, ab dem es sich lohntVon Beginn anSobald ein SOC / Blue Team existiert oder aufgebaut wird

Beide Formate ergänzen sich. Pentests härten die Substanz. Red Teams härten die Verteidiger.

Right-Sizing

Nicht jedes Red Team ist eine sechsstellige TIBER-Operation.

TIBER-DE, CBEST und DORA TLPT sind das Gold-Standard-Format für regulierte Finanzinstitute. Für alle anderen Organisationen gilt: Ein fokussiertes, szenariobasiertes Red Team liefert die entscheidende Antwort — zu einem Bruchteil der Kosten und in wenigen Wochen. Der Zweck ist nicht, ein Framework abzuhaken, sondern Verteidigungsbudget dort einzusetzen, wo es tatsächlich zählt.

Einstieg

Fokussiertes Szenario

Ein Angreifer, ein Ziel, 3–5 Wochen. Beispiel: „Ransomware-Gang erreicht in 10 Tagen Domain-Admin.“

Enterprise

Vollständige Operation

Mehrere Szenarien, 8–14 Wochen. Cyber, Social Engineering und physisch — end-to-end wie ein realer Akteur.

Reguliert

TIBER-DE / DORA TLPT

Regulatorische Ausführung nach TIBER-EU-Methodik mit White Team, Threat-Intelligence-Bericht und Attestierung.

Zur TIBER/DORA-Seite
Angreiferperspektive

Wer greift Sie an? Wie? Und was hält?

Wir starten nicht bei Ihren Systemen, sondern bei den Akteuren, für die Sie ein Ziel sind — Ransomware-Gruppen, Initial Access Broker, Insider, staatliche Akteure, aktivistische Gruppen. Aus deren Zielen und typischen Techniken (MITRE ATT&CK) leiten wir Szenarien ab, die Sie tatsächlich treffen könnten. Alles andere ist Kino.

Wer?

Threat-Intel-Bild zu Akteuren, die Ihren Sektor und Ihre Geografie tatsächlich adressieren.

Wie?

Ihre plausibelsten Angriffspfade — Initial Access, Lateral Movement, Wirkung — sauber auf ATT&CK gemappt.

Was hält?

Objektive Bewertung Ihrer Detection- und Response-Kette, technik-für-technik.

Beispielszenarien

Konkrete Fragestellungen, die wir mit einem Red Team beantworten.

Produzierendes Unternehmen

Was für greifbare und nachweisbare Optionen hat eine Aktivistengruppe mit böswilliger Absicht, aber einem Budget unter 5.000 €, um unseren Tagesbetrieb zu stören?

Rüstungsunternehmen

Da wir als Waffenlieferant in den Ukraine/Russland-Konflikt eintreten: Wie gut sind unsere Verteidigungen auf russische APT-Angriffe abgestimmt?

Logistikunternehmen

Da Ransomware-Angriffe von organisierten kriminellen Gruppen (OCGs) gegen andere Unternehmen in unserer Branche durchgeführt werden: Wie gut halten unsere Verteidigungen gegen solche Angriffe stand?

Über Cyber hinaus

Ein Low-Budget-Angreifer läuft durchs Foyer. Bemerkt es jemand?

Nicht jeder Angreifer schickt Phishing-Mails. Aktivistische Gruppen — von Fridays for Future bis Extinction Rebellion — haben Produktionslinien gestört, Fahrzeuge blockiert und Zutritt zu Rechenzentren erlangt, ohne eine einzige Zeile Code zu schreiben. Kleinkriminelle stehlen Notebooks aus Konferenzräumen. Konkurrenten schicken jemanden mit Warnweste und Klemmbrett, um zu fotografieren, was interessant aussieht.

Unsere physischen Red Teams prüfen, was Ihre Kameras, Schließanlagen, Empfangsprozesse und Ihre Belegschaft in dieser Sekunde leisten: Tailgating am Nebeneingang, offene Desktop-Rechner in Meeting-Räumen, ungesicherte Serverräume, Cleaning-Staff-Pretext um Mitternacht, USB-Drop im Parkhaus. Der Bericht ist unbequem — und genau deshalb wertvoll.

Tailgating & Zutritt
Empfang & Pretexting
Serverräume & MDF
Offene Desktops & Drop-Angriffe
Warum sich das rechnet

Budget dort, wo es wirkt

Sie erfahren, welche Kontrolle den Angriff wirklich stoppt — und welche nur im Compliance-Bericht gut aussieht. Ein Red Team ersetzt Bauchgefühl durch Evidenz.

Verweildauer sichtbar machen

Mandiant M-Trends 2024: die globale mediane Angreifer-Verweildauer liegt bei 10 Tagen. Ihre eigene Zahl kennen Sie erst nach einer verdeckten Operation.

Realität schlägt Annahmen

Verizon DBIR 2024: 68 % der Breaches enthalten ein menschliches Element. Ein Red Team testet genau diese Kette — Mensch, Prozess, Technik — im Zusammenspiel.

Operationen

Sechs Formate — vom fokussierten Szenario bis zum kontinuierlichen Programm.

Adversary Simulation

APTs, OCGs und Initial Access Broker Ihres Sektors, auf MITRE ATT&CK gemappt.

Social Engineering

Phishing, Vishing, Pretexting — bis zur nachvollziehbaren Wirkung, nicht nur zur Klickrate.

Physische Intrusion

Zutrittstests, Tailgating, USB-Drops, Serverraum- und MDF-Zugang.

Purple Team

Gemeinsame Übung mit Ihrem Blue Team — Detektionen messbar besser, Playbook-für-Playbook.

TIBER-DE / DORA TLPT

Bedrohungsgeleitete, regulatorisch anerkannte Operation nach TIBER-EU-Methodik.

Zur Priority-Seite

RTaaS

Kontinuierliche Red-Team-Kampagnen statt Einmal-Snapshot.

Rules of Engagement
Nicht-destruktiv

Wir kompromittieren, ohne zu zerstören. Ihre Produktion läuft weiter.

Vorstands- und White-Team-Freigabe

Ein kleines White Team weiß Bescheid — der Rest der Organisation wird real getestet.

Kill-Switch jederzeit

Die Operation lässt sich innerhalb von Minuten anhalten. Immer.

Nächster Schritt

Finden Sie nicht nur heraus, ob Sie verwundbar sind — sondern wie Ihre Verteidigung gegen die Akteure abschneidet, die tatsächlich für Sie relevant sind.

30 Minuten mit einem Senior-Operator. Wir klären das passende Format, ein realistisches Szenario und einen Preisrahmen — bevor Sie sich zu irgendetwas verpflichten.