Red Teaming & Adversary Simulation Services

Was Red Teaming von einem Pentest unterscheidet

Ein klassischer Penetrationstest arbeitet einen definierten Scope ab und sucht möglichst viele Schwachstellen in einem System. Ein Red Teaming Assessment verfolgt stattdessen ein konkretes Ziel, zum Beispiel den Zugriff auf eine geschäftskritische Anwendung oder einen sensiblen Datenbestand, und nutzt dafür jeden Weg dorthin: Technik, Social Engineering und physischen Zutritt.

Der entscheidende Unterschied: Red Teaming testet nicht nur deine Systeme, sondern dein gesamtes Verteidigungssystem. Wie schnell erkennt dein SOC den Angriff? Greifen die Reaktionsprozesse? Halten Technik, Prozesse und Menschen unter realem Druck zusammen?

Was wir testen

• Technische Abwehr: Erkennung und Reaktion auf komplexe, mehrstufige Angriffsszenarien in deiner Produktivumgebung.
• Blue Team Effektivität: Reaktionsprozesse, Analysefähigkeiten und Geschwindigkeit deines Verteidigungsteams.
• Organisatorische Resilienz: Wie gut greifen Prozesse, Technologie und Menschen im Ernstfall ineinander?

Das Ziel ist nicht die Bewertung von Erfolg oder Misserfolg, sondern die kontinuierliche Verbesserung deiner Abwehrfähigkeit gegen immer raffiniertere Angriffstechniken.

Adversary Simulation: Angriff nach echtem Bedrohungsbild

Adversary Simulation geht einen Schritt weiter als ein generischer Angriff. Wir bilden das Vorgehen eines konkreten Bedrohungsakteurs nach, der für deine Branche realistisch ist, abgeleitet aus realer Threat Intelligence. Wir verwenden die Taktiken, Techniken und Werkzeuge bekannter Gruppen und auf Wunsch eigens entwickelte Custom Malware, um die Effektivität deines XDR- oder EDR-Systems zu prüfen.

So wird sichtbar, ob deine Verteidigung gegen genau die Angreifer hält, die dich tatsächlich ins Visier nehmen, und nicht nur gegen ein theoretisches Lehrbuchszenario.

Die Phasen eines Red Teaming Assessments

Ein Red Teaming Engagement durchläuft mehrere Phasen. Je nach Zielsetzung kombinieren wir sie oder setzen einen Schwerpunkt.

Initial Access

Den ersten Fuß in die Tür bekommen wir über realistische Angriffskanäle, ohne deine Mitarbeitenden vorzuführen. Typische Vektoren:

• E-Mail-Phishing: maßgeschneiderte Kampagnen mit täuschend echten Domains und Landing Pages.
• Vishing: telefonische Manipulation mit gefälschter Anrufer-ID.
• CEO Fraud: Identitätsmissbrauch hochrangiger Personen.
• USB-Drops und präparierte Hardware: Verteilung manipulierter Datenträger.
• Physischer Zutritt: auf Wunsch kombiniert mit einem Physical Security Assessment.

Assumed Breach

Beim Assumed Breach starten wir dort, wo ein Angreifer bereits im Netzwerk ist, und prüfen, wie weit er kommt. Die initiale Kompromittierung wird übersprungen, der Fokus liegt auf der lateralen Bewegung:

• Privilege Escalation: von einem Standardbenutzer zu erweiterten Rechten.
• Active Directory: Angriffe auf die zentrale Identitätsinfrastruktur.
• Netzwerksegmentierung: Trennung zwischen Client-, Server- und Gästenetzen.
• AV/EDR-Effektivität: Konfiguration und Wirksamkeit deiner Endpoint-Schutzlösungen.

Auf Wunsch testen wir offensiv mit aktivem XDR, um zu messen, wie effektiv dein SOC den Angriff erkennt, oder als White-Box ohne Gegenmaßnahmen, um möglichst viele technische Schwachstellen aufzudecken.

Red Teaming nach TIBER-AT

Für regulierte Finanzinstitute setzen wir Red Teaming Assessments nach dem TIBER-AT-Framework um, der österreichischen Umsetzung von Threat-Led Penetration Testing. TIBER-AT ist eng an die Anforderungen von DORA angelehnt und basiert auf realer Threat Intelligence gegen die produktive Live-Umgebung.

Mehr zur Methodik findest du in unserem Red Teaming Whitepaper und in der Übersicht der Red Teaming Anbieter im DACH-Raum.

Was du bekommst

• Detaillierter Bericht: alle Angriffspfade mit Risikobewertung, nachvollziehbar dokumentiert für Technik und Management.
• Priorisierte Handlungsempfehlungen: konkrete Maßnahmen, sortiert nach Wirkung und Aufwand.
• Management-Debrief: persönliche Präsentation der wichtigsten Erkenntnisse für Geschäftsführung und CISO.
• Replay-Workshop: auf Wunsch gemeinsame Nachstellung der Angriffe mit deinem Blue Team zur Schließung der Lücken.

Häufige Fragen

Was ist der Unterschied zwischen Red Teaming und einem Penetrationstest?

Ein Penetrationstest arbeitet einen definierten Scope ab und sucht möglichst viele Schwachstellen in einem System oder einer Anwendung. Ein Red Teaming Assessment verfolgt ein konkretes Ziel und nutzt dafür jeden Vektor: Technik, Social Engineering und physischen Zutritt. Red Teaming testet zusätzlich, wie gut dein Blue Team den Angriff erkennt und darauf reagiert.

Was ist Adversary Simulation?

Wir bilden das Vorgehen eines konkreten Bedrohungsakteurs nach, der für deine Branche realistisch ist. Statt generischer Angriffe verwenden wir die Taktiken, Techniken und Werkzeuge bekannter Gruppen, abgeleitet aus realer Threat Intelligence.

Wie lange dauert ein Red Teaming Assessment?

Ein fokussiertes Engagement dauert in der Regel vier bis acht Wochen. Ein vollständiger TIBER-AT-Zyklus mit Threat Intelligence, Red Teaming und Replay erstreckt sich über sechs bis neun Monate.

Was kostet ein Red Teaming Assessment?

Das hängt von Scope, Dauer und Zielsetzung ab. Ein vollständiger TIBER-AT-Zyklus beginnt bei etwa 150.000 EUR, fokussierte Red-Team-Engagements liegen darunter. Den konkreten Rahmen klären wir unverbindlich im Erstgespräch.

Brauchen wir Red Teaming oder reicht ein Pentest?

Red Teaming lohnt sich, wenn die grundlegenden Schwachstellen bereits behoben sind und du wissen willst, wie deine Verteidigung unter realen Bedingungen standhält. Willst du ein einzelnes System gezielt absichern, ist ein Penetrationstest der passendere Einstieg.