Red Teaming — Ihr freundlicher Advanced Persistent Threat.
Keine Vorabwarnung. Kein abgesteckter Testpfad. Wir bilden nach, wie echte Angreifer gegen Ihr Institut vorgehen — nachrichtendienstlich gesteuert, nach der TIBER-EU-Methodik, aus einem Team.
Ein Standard-Pentest sagt Ihnen, welche Schwachstellen existieren. Er sagt Ihnen nicht, ob ein motivierter Angreifer sie zu einer Kette verbinden, unentdeckt bleiben und Ihre kritischen Funktionen erreichen kann. Genau diese Frage stellt Ihr Vorstand — und genau diese Frage stellt inzwischen auch die Aufsicht.
Seit dem 17. Januar 2025 ist DORA (Verordnung (EU) 2022/2554) unmittelbar anwendbar, und 2026 sind die Aufsichtsbehörden von der Prüfung der Konzepte zur aktiven Überwachung übergegangen. Bedrohungsgeleitetes Red Teaming ist damit von der Kür zur Pflicht geworden — für als bedeutend eingestufte Institute sogar gesetzlich verankert.
Die eigentliche Frage ist nicht mehr ob Sie testen, sondern ob der Test die Realität abbildet. Und hier scheitern viele Programme: Threat Intelligence und Red Teaming werden auf zwei Dienstleister verteilt, die sich nicht abstimmen. Das Ergebnis sind generische Angriffsszenarien, verlorene Zeit an den Übergabepunkten und eine Operation, die Ihre reale Bedrohungslage nicht trifft.
Wir agieren als Ihr „freundlicher“ Advanced Persistent Threat: ein Angreifer mit denselben Zielen, denselben Techniken und derselben Geduld wie ein echter Akteur — nur auf Ihrer Seite.
APT, OCG und Initial Access Broker Ihres Sektors, gemappt auf MITRE ATT&CK.
Verdeckte, szenariobasierte Operationen — TIBER-EU-Methodik.
Phishing, Pretexting, Tailgating, Zutrittstests.
Gemeinsame Übung mit Ihrem Blue Team — Detektion messbar besser.
Kontinuierliche, wiederkehrende Operationen statt Einmal-Snapshot.
Der Unterschied in Klartext.
| Penetrationstest | Red Teaming | |
|---|---|---|
| Frage | Welche Schwachstellen gibt es? | Kann ein echter Angreifer sein Ziel erreichen? |
| Umfang | Definiertes System / Scope | Ganzes Institut, realer Angriffspfad |
| Ankündigung | Bekannt, abgestimmt | Verdeckt — nur White Team weiß Bescheid |
| Ziel | Abdeckung & Vollständigkeit | Realismus & Wirkung |
| Ergebnis | Schwachstellenliste | Bewertung Ihrer Erkennungs- und Abwehrfähigkeit |
Ein Pentest ist die richtige Wahl, um Systeme in der Breite abzusichern. Red Teaming ist die richtige Wahl, um zu erfahren, ob Ihre Abwehr im Ernstfall standhält.
Threat Intelligence und Angriff — kein Übersetzungsverlust.
Die TIBER-EU-Methodik trennt zwei Funktionen: die Threat Intelligence, die das maßgeschneiderte Bedrohungsbild und die Angriffsszenarien erstellt, und das Red Team, das diese Szenarien gegen Ihre Systeme ausführt. Wir bringen beide in einem Mandat zusammen.
- →Kein Übersetzungsverlust. Was die Aufklärung findet, testet das Red Team direkt.
- →Realistischere Szenarien. Wir bilden die Akteure ab, die tatsächlich Ihren Sektor angreifen.
- →Ein Ansprechpartner, eine Verantwortung — von der Aufklärung bis zum Bericht.
Hinweis zur Unabhängigkeit bei regulatorischen Tests: Das TIBER-/DORA-Rahmenwerk verlangt Rollentrennung und Unabhängigkeit. Für bedeutende Kreditinstitute müssen externe Tester eingesetzt werden; spätestens bei jedem dritten Test ist ein externes Red Team zwingend. Wir strukturieren jedes regulatorische Mandat so, dass die aufsichtsrechtlichen Anforderungen nachweislich erfüllt sind.
Wirklich bedrohungsgeleitet — nicht bedrohungslackiert.
„Threat-led“ steht auf vielen Angeboten. Bei uns steht dahinter Feldarbeit: Seit vier Jahren wirken wir in der ENISA Ad-Hoc Working Group zur Cyber Threat Landscape mit — dem Gremium, aus dem der jährliche ENISA Threat Landscape Report entsteht. Wir bringen Sektorbeobachtungen ein und arbeiten mit CERTs, Aufsehern und Peers an einer belastbaren Einordnung dessen, was tatsächlich läuft.
Diese Arbeit zwingt uns, Bedrohungen pro Vertikale und Horizontale sauber herunterzubrechen — Finanzen, Energie, Fertigung, öffentliche Verwaltung, Telekom, Gesundheit. Genau diese Sicht fließt in unsere Angriffspläne ein: keine allgemeinen APT-Namensschilder, sondern die Akteure, Techniken und Vorgehensweisen, die für Ihr Segment aktuell relevant sind.
Ad-Hoc Working Group Cyber Threat Landscape — jährlicher ENISA Threat Landscape Report.
Finanzen, Energie, Fertigung, Public Sector, Telekom, Gesundheit — statt „APT allgemein“.
Aus Notwendigkeit gebaut: verwertbare Intelligence statt Marketing-Folien Dritter.
Der Weg ist einfach zu beschreiben, aber schwer zu gehen: Aus der Sektor-Landschaft leiten wir die relevanten Akteure ab — APTs, OCGs, Initial Access Broker. Aus deren tatsächlichen TTPs entstehen die Angriffsszenarien für Ihren Test. Nicht umgekehrt.
Kein „Ups, das Szenario funktioniert doch nicht“ — vor allem nicht mit dem Regulator am Tisch.
Aus Sicht des Red-Team-Anbieters ist einer der wichtigsten Handwerksschritte, Szenarien so zu planen, dass sie in der Realität Ihrer Umgebung tatsächlich durchführbar sind. Der Unterschied zwischen einem regulatorisch begleiteten Red Team und einem klassischen Red Team liegt genau hier: Wenn Bundesbank oder EZB im TLPT-Test-Manager-Meeting sitzen, ist es keine Option, in der Ausführung festzustellen, dass eine kritische Funktion aus der geplanten Netzsegmentierung schlicht nicht erreichbar ist, weil der Zugriff nur aus einer Cloud-Umgebung erfolgt — und damit das gesamte Szenario kippt.
Erreichbarkeit kritischer Funktionen, Netz- und Identitätspfade, Cloud- vs. On-Prem-Abhängigkeiten, Drittanbieter-Grenzen — wir gehen jedes Szenario technisch durch, bevor es in die Ops-Phase geht.
Ein Leg-up scheitert nicht, weil die Idee falsch war, sondern weil der zuständige Stakeholder im Urlaub ist. Und den Kreis der Eingeweihten im TIBER-/TLPT-Test einfach zu vergrößern, ist keine Option. Wir planen Leg-ups mit Vertretungen, Zeitfenstern und Fallbacks — abgestimmt mit dem White Team.
TLPT-Test-Manager-Meetings sind kein Format für Überraschungen. Wir bereiten Szenarien, Leg-ups und Attestierungspfad so vor, dass sie den Erwartungen von Bundesbank, BaFin und ggf. EZB/SSM standhalten — inhaltlich und dokumentarisch.
Ein Pentest darf Sackgassen finden; ein Red Team darf sie umgehen. Ein regulatorisch begleitetes Red Team darf sie erst gar nicht in den Plan schreiben. Diese drei Disziplinen brauchen unterschiedliche Vorbereitung — wir kennen die Übergänge.
Diese Erfahrung ist nicht aus einem Playbook — sie ist aus Jahren an TIBER-/TLPT-Mandaten, in denen genau diese Details über Bestehen und Nachbesserung entschieden haben. Sie müssen sie nicht selbst durchlaufen.
Drei Phasen.
Vorbereitung
Scoping der kritischen und wichtigen Funktionen, Festlegung des White Teams, klare Rules of Engagement (nicht-destruktiv, Vorstandsfreigabe, Kill-Switch). Bei regulatorischen Tests: Abstimmung mit der Bundesbank bzw. der zuständigen Behörde und Validierung des Prüfumfangs.
Angriff
Wir erstellen das maßgeschneiderte Threat-Intelligence-Bild und führen die Red-Team-Operation gegen Ihre produktiven Live-Systeme durch — verdeckt, szenariobasiert und über den vollen Angriffspfad hinweg.
Abschluss
Detaillierte Auswertung, Replay gemeinsam mit Ihrem Blue Team (Purple Teaming), Maßnahmenkatalog. Bei regulatorischen Tests zusätzlich die geforderte Attestierung nach den technischen Regulierungsstandards (RTS).
Nicht einmalig prüfen — dauerhaft vorbereitet sein.
Ein Einmal-Test zeigt Ihnen, wie es heute aussieht. Aber die Bedrohungslage ändert sich täglich. Unser Continuous-Red-Teaming-Programm beginnt mit einer Baseline und hält Sie im Loop — ohne dass Sie selbst das Internet nach neuen Gefahren durchsuchen müssen.
Wer sind Sie? Wo operieren Sie? Welche APTs, OCGs und sonstigen motivierten Akteure sind für Sie relevant? Was ist Ihr Technologie-Footprint — FortiGate? Cisco? Wir kartieren Ihre reale Bedrohungslage.
Wir beobachten neue Schwachstellen, Chatter auf X und anderen Kanälen sowie Geheimdienstberichte, die für Ihr Profil relevant sind. Sobald etwas Passendes auftaucht, rüsten wir auf.
Sind Sie exposed? Können wir eindringen? Und sehen Sie es? Wir führen gezielte Angriffe durch — automatisiert, manuell oder beides — um in Echtzeit zu prüfen, ob die neue Bedrohung Sie betrifft. Kein ‚hätte, könnte, würde’.
Sie bekommen direkt Bescheid, wenn eine neue Bedrohung auftaucht und wie unser Test ausgegangen ist. Bei Emerging Threats werden Sie automatisch geprüft — mit allem, was nötig ist. Sie bleiben informiert, nicht im Unklaren.
Continuous Red Teaming ist das Gegenstück zum klassischen Einmal-Mandat: permanente Prüfbereitschaft statt punktueller Schnappschuss. Wenn Sie wissen wollen, wie das für Ihr Haus aussehen könnte — sprechen Sie uns an.
TIBER-DE und DORA TLPT.
Die deutsche Umsetzung des TIBER-EU-Rahmenwerks, administriert durch die Deutsche Bundesbank. Ein freiwilliger, nachrichtendienstlich gesteuerter Red-Team-Test.
Die verpflichtende Variante. Für bedeutende Finanzunternehmen schreibt Art. 26 DORA denselben Testtyp gesetzlich vor. Grundlage: Delegierte Verordnung (EU) 2025/1190 mit den RTS, veröffentlicht am 18. Juni 2025.
Der entscheidende Punkt: Beide nutzen dieselbe methodische Grundlage. Das im Januar 2025 aktualisierte TIBER-EU-Rahmenwerk ist heute die operative Basis für sowohl freiwillige TIBER-DE-Tests als auch verpflichtende DORA TLPT. Ein sauber durchgeführter TIBER-DE-Test kann als erster DORA-TLPT-Zyklus anerkannt werden — die Drei-Jahres-Frist läuft ab Abschluss.
Kurz: Wer heute freiwillig nach der TIBER-EU-Methodik testet, erfüllt bereits die Struktur, die DORA morgen verpflichtend fordert.
- ▸DORA gilt seit dem 17. Januar 2025 unmittelbar für Finanzunternehmen in der EU.
- ▸Nicht Sie entscheiden, ob Sie testen müssen — die zuständige Behörde tut es.
- ▸EU-weit sind schätzungsweise 200–250 Unternehmen vom verpflichtenden TLPT betroffen.
- ▸Turnus: mindestens alle drei Jahre, auf Live-Systemen, über kritische und wichtige Funktionen.
- ▸Erster Pflicht-Zyklus bis 17. Januar 2028 — Programmaufsatz dauert 9–14 Monate.
- ▸Wer 2026 nicht plant, gerät in Verzug.
Unsicher, ob Ihr Haus betroffen ist? Sprechen Sie uns an — wir ordnen Ihre Situation in einem vertraulichen Erstgespräch ein.
Wir gehörten zu den ersten Anbietern, die einen DORA TLPT abgeschlossen haben — bereits 2024. Wir arbeiten seit rund zehn Jahren mit regulierten Instituten, Energieversorgern und KRITIS-Betreibern — im DACH-Raum und international — und führen Red-Team-Operationen nach der TIBER-EU-Methodik durch.
Aus Vertraulichkeitsgründen nennen wir keine Testkunden namentlich — die Ergebnisse einer solchen Operation gehören ausschließlich dem geprüften Unternehmen und seiner Aufsicht. Was wir sagen können: Wir kennen die Erwartungshaltung von BaFin, Bundesbank und EZB/SSM aus der Praxis, nicht aus dem Lehrbuch.
Vertrauen von Banken, Energieversorgern und KRITIS-Betreibern.
Was ist der Unterschied zwischen Red Teaming und einem Pentest?+
Was ist der Unterschied zwischen TIBER-DE und DORA TLPT?+
Zählt ein bereits durchgeführter TIBER-DE-Test für DORA?+
Können wir Threat Intelligence und Red Teaming von einem Anbieter beziehen?+
Wie lange dauert ein regulatorischer Test?+
Wer ist unser Ansprechpartner bei der Aufsicht?+
Finden Sie es heraus, bevor es ein anderer tut.
Der Aufsatz einer belastbaren Red-Team-Operation dauert Wochen bis Monate — die Aufklärung, die Abstimmung, die eigentliche Operation. Reden wir jetzt.