Cyberkriminalität entwickelt sich stetig weiter – in Taktik, Technologie und Tempo. Unternehmen können sich nicht mehr auf punktuelle Sicherheitsprüfungen verlassen, sondern müssen ihre IT-Landschaft laufend aus verschiedenen Blickwinkeln überprüfen – sowohl technisch als auch organisatorisch. Wer die eigene Verteidigungslinie verstehen will, muss die Methoden potenzieller Angreifer kennen – und gezielt testen.
Zwei der wirkungsvollsten Methoden dabei sind der Penetrationstest (kurz: Pentest) und die Red Teaming Operation. Obwohl beide Ansätze oft in einem Atemzug genannt werden, verfolgen sie unterschiedliche Ziele und setzen verschiedene Schwerpunkte.
In diesem Beitrag erklären wir den Unterschied zwischen beiden Methoden und geben Ihnen eine praxisnahe Entscheidungshilfe für Ihr Unternehmen.
Pentesting: Systematische Prüfung auf Schwachstellen
Ein Penetrationstest ist ein kontrollierter Angriff auf IT-Systeme. Das Ziel ist es, möglichst viele Sicherheitslücken in einem gegebenen Zeitraum zu identifizieren, auszunutzen und zu dokumentieren – allerdings unter klar definierten Bedingungen.
Das zuständige Personal ist über den Test informiert und steht im Austausch mit den Testern.
In der Praxis werden häufig verschiedene Varianten durchgeführt – darunter Tests der externen und internen Umgebung sowie applikationsspezifische Tests wie Webanwendungs-, Mobile-App- oder Cloud-Pentests.
Typischer Ablauf eines Pentests
- Planning
Festlegung des zu betrachtenden Scopes, Kontaktpersonen, Kommunikationswege und des Zeitraumes - Reconnaissance
Sammeln von Informationen über die Zielsysteme - Vulnerability Assessment
Identifikation potenzieller Schwachstellen - Exploitation
Versuch, Schwachstellen auszunutzen - Post-Exploitation
Bewertung, welche Daten oder Systeme durch eine erfolgreiche Kompromittierung betroffen sind - Lateral Movement
Mögliche Ausbreitung auf weitere Systeme mittels gefundener Schwachstellen - Reporting
Dokumentation der Ergebnisse mit konkreten Handlungsempfehlungen
Red Teaming: Realitätsnahe Simulation eines Angriffs
Bei einem Red-Team-Assessment handelt es sich um eine szenarienbasierte Emulation eines gezielten Angriffs auf das Unternehmen. Hierbei wird insbesondere das Zusammenspiel aus Technik, Menschen und Prozessen geprüft.
Vor Beginn des Assessments wird ein Zeitraum definiert sowie ein konkretes Ziel – etwa das Erlangen vertraulicher Personalakten, der Zugriff auf bestimmte Systeme oder das unbemerkte Einschleusen von Schadsoftware. Im Gegensatz zu einem Penetrationstest wird kein genauer Zeitpunkt, sondern nur ein variabler Zeitraum vereinbart, in dem Aktionen stattfinden können. Auch werden keine Angaben über vorhandene Systeme oder Schutzmaßnahmen auf Kundenseite an die Tester weitergegeben. Um die Erreichung des Ziels sicherzustellen, wird großer Wert darauf gelegt, dass die durchgeführten Maßnahmen verdeckt erfolgen.
Auf Seiten des zu prüfenden Unternehmens sind nur wenige Personen über die Art und Dauer des Engagements informiert. Die zum Einsatz kommenden Tools, Techniken und Prozeduren werden nicht beschränkt und umfassen oft ebenfalls Social Engineering oder das physische Eindringen in Gebäude.
Typischer Ablauf eines Red-Team-Assessments
- Planning
Festlegung des zu erreichenden Ziels, Kontaktpersonen, Kommunikationswege und des Zeitraumes - Reconnaissance
Ausgedehnte Sammlung jeglicher verfügbaren Informationen über das Unternehmen, einschließlich Darknet-Recherche, ggf. Social-Engineering zum Erlangen weiterer Information über intern eingesetzte Schutzmaßnahmen und mögliche Zielsysteme sowie dem Auskundschaften von Zulieferern und Partnern (Supply-Chain Evaluation) - Target Identification
Ausmachung eines möglichen Angriffspfades zu Erreichung des festgelegten Ziels, gegebenenfalls Nachstellung der Kundenumgebung, Entwicklung möglicher Exploits und Strategien - Gaining Access
Zugriff auf das Unternehmen durch in den vorherigen Phasen identifizierte Schwachstellen, ggf. Verschaffung von Zutritt in Gebäude und Einbringung von Hardware - Establishing Foothold and Maintaining Presence
Aufrechterhalten des erreichten Zugriffs sowie Ausbreitung und Erweiterung von Rechten in der Infrastruktur des Unternehmens - Completing Objectives
Mögliche Exfiltration von Daten, Erbringung von Nachweisen über die Ziel-Erreichung und Dokumentation
Pentest vs. Red Teaming – Der direkte Vergleich
Kriterium
Penetrationstest
Red Teaming
ZIELSETZUNG
Identifikation und Ausnutzung technischer
Schwachstellen
Simulation realistischer, zielgerichteter
Angriffe auf Prozesse, Technik und Menschen
ZEITRAUM
Definierter Start- und Endzeitpunkt
Definition eines Zeitraums, in dem Aktivitäten stattfinden können
ANGRIFFSFLÄCHE
Vorab definierte Systeme oder Anwendungen
Gesamtorganisation mit Fokus auf ein konkretes Angriffsziel
TESTUMFANG
Scope, Methoden und Systeme sind vorab definiert, Untersuchung in der Breite
Fokus auf Erreichung des konkreten Ziels, Red Team agiert autonom und kreativ
VORGEHENSWEISE
Strukturiert, methodisch, technikorientiert
Dynamisch, realitätsnah, szenarienbasiert
TYPISCHE METHODEN
Schwachstellenscans, Exploits, Konfigurationsprüfungen
Sämtliche Taktiken, Techniken und Prozeduren aus dem Repertoire eines Angreifers
REIFEGRAD-ANFORDERUNG
Einstiegstest für IT-Sicherheitsanalyse
Fortgeschrittener Test – baut auf bestehenden Sicherheitsmaßnahmen auf
ZIELGRUPPEN-NUTZEN
Ideal zur Absicherung einzelner Anwendungen, Netzwerke oder nach Systemänderungen
Testet Resilienz, Detektions- und Reaktionsfähigkeit des Unternehmens als Ganzes
TYPISCHE ANWENDUNGSFÄLLE
Regelmäßige Prüfung, vor Go-Live, nach Migrationen, zur Erfüllung von NIS2- / CRA Anforderungen, bei ISO/IEC 27001-Zertifizierungen
Nach regelmäßig durchgeführten Pentests, zur Blue Team Validierung, bei TIBER-EU/-DE / DORA Anforderungen
ERGEBNISSE
Technischer Bericht mit konkreten Schwachstellen und Maßnahmenvorschlägen
Angriffsbericht inkl. Erfolgsweg und strategischen Empfehlungen
Pentest oder Red Teaming – was ist wann sinnvoll?
Unsere Empfehlung:
Starten Sie mit einem Pentest, wenn Sie:
- Noch nie eine umfassende Sicherheitsüberprüfung durchgeführt haben
- Technische Schwachstellen in Webportalen, Schnittstellen oder Netzwerken identifizieren möchten
- Einen klar umrissenen Systembereich testen wollen
- Anforderungen auf Grund von NIS2, CRA oder im Zuge einer ISO/IEC 2700-Zertifizierung erfüllen müssen
Setzen Sie auf Red Teaming, wenn:
- Das Sicherheitsniveau der Organisation technisch wie auch organisatorisch bereits auf einem hohen Stand ist
- Sie die Resilienz Ihrer Organisation gegenüber realistischen Angriffen testen wollen
- Sie wissen möchten, wie effektiv Ihr Blue Team Angriffe erkennt und abwehrt
- Sie regulatorische Vorgaben erfüllen müssen, wie etwa DORA, TIBER-DE oder TIBER-EU im Finanzsektor
Kurz umrissen: Red Teaming ist kein Einstiegstest, sondern ein Härtetest, der zeigt, wie ein echter Angriff aussehen könnte.
Fazit: Sicherheit ist kein Produkt – sondern ein Prozess
Ein einmaliger Sicherheitscheck reicht nicht aus, um Ihr Unternehmen vor modernen Cyberbedrohungen zu schützen. Mit einem professionellen Pentest schaffen Sie die technische Grundlage: Sie identifizieren konkrete Schwachstellen, priorisieren Risiken und leiten gezielte Gegenmaßnahmen ein – etwa durch regelbasiertes Schwachstellenmanagement, Härtung von Systemkonfigurationen, Firewall-Optimierung oder Zugriffsrechte-Prüfungen.
Mit einer Red Teaming Operation gehen Sie noch einen Schritt weiter: Sie erhalten Einblick in die tatsächliche Angriffsdynamik – inklusive des Faktors Mensch. Aufbauend auf den Erkenntnissen lassen sich dann Security Awareness Trainings, Incident Response Playbooks, SIEM-Feinjustierungen oder auch technische Detektionsmechanismen gezielt weiterentwickeln. Ebenso können Sie die Effektivität Ihres Blue Teams systematisch steigern – etwa durch die Einführung von Purple Teaming oder regelmäßigen Detection & Response Übungen (Tabletop-Tests).
Kurz gesagt: Pentest und Red Teaming liefern nicht nur Ergebnisse – sie liefern konkrete Handlungsgrundlagen für den Ausbau Ihrer IT-Sicherheitsstrategie, abgestimmt auf den Reifegrad Ihrer Organisation.
Sie möchten wissen, wie ein gezielter Test Ihrer IT-Sicherheit aussehen könnte?
Unser Team für offensive Sicherheit bei Possehl Secure berät Sie gerne.
Nehmen Sie Kontakt mit uns auf – und stellen Sie Ihr Unternehmen auf die Probe, bevor es echte Angreifer tun.