Red Teaming

Realistische, objective-based Angriffssimulation durch erfahrene Red Teamer – mit dem Ziel, Ihre Verteidigung unter realen Bedingungen zu testen.

Red Teaming ist der Königsdisziplin der IT-Sicherheitstests. Anders als ein klassischer Pentest, der auf das Finden möglichst vieler Schwachstellen ausgerichtet ist, fokussiert sich Red Teaming auf ein spezifisches Ziel: das Erreichen einer Crown Jewel (z.B. Zugriff auf das ERP-System, Exfiltration von Kundendaten, Domain Admin). Mein Red Team operiert über Wochen oder Monate hinweg, nutzt mehrere Angriffsvektoren parallel (Social Engineering, physisches Eindringen, Netzwerk-Pentesting, Malware-Entwicklung) und agiert genau wie eine echte APT-Gruppe. Das Ziel ist nicht der schnelle Nachweis einer Schwachstelle, sondern die realistische Prüfung Ihrer Detect-and-Response-Fähigkeiten unter Stress.

Das Problem

Pentests finden Schwachstellen, zeigen aber nicht, ob Ihr SOC, Ihre Incident Response und Ihre Mitarbeiter in der Lage sind, einen echten, persistenten Angreifer zu erkennen und zu stoppen. Viele Unternehmen investieren Millionen in Security-Tools, wissen aber nicht, ob diese unter realen Angriffsbedingungen effektiv sind. Red Teaming schliesst diese Lücke.

Methodik & Vorgehensweise

1. Objective Definition & Rules of Engagement

Gemeinsame Definition der Crown Jewels (Ziele), des Scopes, der Regeln und der Konsequenzen. Klare Absprachen zu Ausweichmanövern, Degradierung und Notfallkontakten.

2. Initial Access & Persistence

Etablierung eines initialen Fussabdrucks durch Spear-Phishing, Watering-Hole-Angriffe, externe Schwachstellen oder physisches Eindringen. Aufbau von Persistence und C2-Kommunikation.

3. Lateral Movement & Privilege Escalation

Langsame, noise-arme Ausbreitung im Netzwerk. Nutzung von legitimen Tools (Living off the Land), Pass-the-Hash, Kerberoasting und ACL-Abuse zur Erreichung höherer Rechte.

4. Data Exfiltration & Objective Achievement

Gezielte Suche nach den definierten Crown Jewels, Simulation von Datenexfiltration oder Ransomware-Deployment (nur simuliert, kein echtes Schadprogramm).

5. Debriefing & Purple Team

Detailliertes Debriefing mit Blue Team und SOC. Analyse aller Alerts, Missed Detections und Response-Zeiten. Gemeinsame Erarbeitung von Detection- und Response-Verbesserungen (Purple Teaming).

Meine Leistungen im Detail

  • Objective-based Angriffssimulation über Wochen/Monate
  • Kombination aus Social Engineering, physischem Zugang und technischem Pentesting
  • C2-Infrastruktur und Living-off-the-Land-Techniken
  • Purple-Team-Debriefing mit SOC und Incident Response

Rechtliche Grundlagen & Compliance

Meine Tests sind auf die regulatorischen Anforderungen im DACH-Raum abgestimmt. Ich helfe Ihnen, Nachweise für Audits, Zertifizierungen und Aufsichtsbehörden zu erbringen.

  • ISO 27001 Anhang A.12.6.1 (Management von technischen Schwachstellen)
  • BSI C5 (Cloud) und BSI IT-Grundschutz (Red-Team-Bezüge)
  • FINMA-Rundschreiben (Operational Resilience, Cyber)
  • NIS2 (Sicherheitsprüfungen kritischer Infrastrukturen)
  • MITRE ATT&CK Framework Alignment

Branchen & Anwendungsfälle

Finanzdienstleister & Versicherungen
KRITIS-Betreiber
Regulierte Industrie
Pharma & Biotech
Grosskonzerne
Behörden & Militär

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen Pentest und Red Teaming?

Ein Pentest ist zeitlich begrenzt (Tage), breit angelegt und zielt auf das Finden von Schwachstellen. Red Teaming ist langfristig (Wochen/Monate), zielorientiert und simuliert eine echte APT mit dem Fokus auf Erreichung eines spezifischen Ziels und Test der Verteidigungsfähigkeiten.

Wie lange dauert eine Red-Team-Operation?

Typischerweise 4–12 Wochen, abhängig vom Ziel, der Netzwerkgrösse und der gewünschten Tiefgründigkeit. Ich empfehle für den Einstieg eine 4-wöchige Operation.

Wird dabei tatsächlich Malware eingesetzt?

Ich nutze simulierte Malware und Living-off-the-Land-Techniken (PowerShell, WMI, etc.). Echte, persistente Malware wird nur nach expliziter schriftlicher Zustimmung und in isolierten Umgebungen eingesetzt.

Was ist Purple Teaming im Nachgang?

Purple Teaming ist die kollaborative Zusammenarbeit zwischen Red Team (Angreifer) und Blue Team (Verteidiger) nach der Operation. Ziel ist es, gemeinsam Detection-Gaps zu schliessen und die Response-Fähigkeiten zu verbessern.

Was ist ein Crown Jewel?

Ein Crown Jewel ist das wertvollste digitale Asset Ihres Unternehmens – z.B. das ERP-System, die Kundendatenbank, die Entwicklungsumgebung oder die Domain Controller. Das Red Team hat genau dieses Ziel: den Nachweis, dass ein Angreifer das Crown Jewel erreichen kann.

Für wen ist Red Teaming sinnvoll?

Red Teaming ist ideal für Unternehmen mit einem etablierten Security-Programm (SOC, SIEM, Incident Response), die ihre Detect-and-Response-Fähigkeiten unter realen Bedingungen testen wollen. Für Erst-Prüfer empfehle ich zunächst einen klassischen Pentest.

Verwandte Leistungen

Penetrationstest (Pentest)Social Engineering & Phishing-SimulationNetzwerk-Pentest (Infrastruktur)Cloud-Pentest (AWS / Azure / GCP)

Sie stehen vor dieser Herausforderung?

Ich bewerte gerne in einem kurzen, kostenfreien 30-Minuten-Assessment, ob meine Expertise zu Ihrem Setup passt.

Kontakt

Zielgruppen-Fit

Unternehmen mit ausgereiftem Sicherheitsprogramm, SOC und Incident Response, die ihre Detect-and-Response-Fähigkeiten unter realen APT-Bedingungen validieren wollen.

Zusammenarbeit

Ausschliesslich NDA-basiert. Vendor-neutral. Dokumentiert nach PTES-Standard. Flexible Terminierung auch kurzfristig.

DACH-Region

Ich bin spezialisiert auf Unternehmen in der Schweiz (Zürich, Zug, Bern, St. Gallen, Basel, Genf), Deutschland (München, Frankfurt, Berlin, Hamburg) und Österreich (Wien, Graz). Alle Reports werden auf Deutsch oder Englisch erstellt – konform zu FINMA, BSI und NIS2.