Blue Team und Purple Team: Verteidigung modern aufstellen 2026
Red Teaming bringt nichts ohne ein Blue Team, das daraus lernt. Ein modernes Security Operations Center (SOC) ist 2026 nicht mehr nur "die Leute, die SIEM-Alerts triagieren" — es ist die operative Verteidigungslinie, die Detection Engineering, Threat Hunting und Incident Response zusammenfuehrt. Und Purple Teaming ist der Mechanismus, der Blue und Red kontinuierlich besser macht.
Dieser Leitfaden erklaert, wie ein modernes Blue/Purple-Team-Setup funktioniert.
Die Team-Farben in der Cybersicherheit
| Team | Rolle | Typischer Arbeitstag |
|---|---|---|
| Red Team | Angreifer-Simulation | Phishing-Kampagne planen, Lateral Movement im Kundennetz |
| Blue Team | Verteidiger | SIEM-Triage, Detection-Regeln tunen, Incident-Response-Drills |
| Purple Team | Kollaborative Bruecke | Red und Blue zusammen — Techniken offen testen, Detection live verbessern |
| Yellow Team | Builder (Dev/IT) | Software entwickeln und betreiben |
| Green Team | Yellow + Blue | Secure-by-design, Detection-aware Engineering |
| Orange Team | Yellow + Red | Training fuer Devs ueber Angriffsmuster |
| White Team | Schiedsrichter | Steuert Engagements, Rules of Engagement |
Fuer 95% der deutschen Unternehmen sind drei Farben relevant: Blue, Red, Purple.
Was ein modernes Blue Team leistet
Kern-Funktionen
- Security Monitoring — SIEM/EDR-Triage in 24/7
- Detection Engineering — eigene Erkennungsregeln auf Basis aktueller Bedrohungen
- Threat Hunting — proaktive Suche nach Indikatoren, die Tools nicht automatisch finden
- Incident Response — Containment, Eradication, Recovery
- Threat Intelligence Integration — externe IOCs in eigene Systeme einspeisen
- Forensik — Beweissicherung nach Vorfaellen
- Tabletop Exercises — Notfallplaene durchspielen, ohne echten Vorfall
Reifegradmodell
| Level | Beschreibung |
|---|---|
| 0 | Kein dediziertes Team. Sicherheit als Nebenaufgabe der IT. |
| 1 | Outsourced MDR/SOC, eigenes Team triagiert nur kritische Alerts |
| 2 | Eigenes 9-to-5-Blue-Team mit MDR-Backup nachts/Wochenende |
| 3 | 24/7-eigenes-SOC, eigene Detection-Regeln |
| 4 | Threat Hunting, Detection Engineering, regelmaessige Purple Teams |
| 5 | Threat Intelligence-driven, Auto-Response (SOAR), proaktive Adversary Simulation |
In DE-Mittelstand 2026: Mehrheit ist Level 0-1. NIS2 zwingt schrittweise Richtung Level 2-3.
Toolchain eines modernen Blue Teams
SIEM (Security Information and Event Management)
- Splunk — Marktfuehrer, teuer
- Microsoft Sentinel — natuerlich bei M365-Stacks
- Elastic Security — Open-Source-orientiert, gutes Preis-Leistungs-Verhaeltnis
- Securonix, Exabeam — UEBA-stark
- Wazuh — Open Source
EDR / XDR (Endpoint Detection and Response)
- CrowdStrike Falcon — Marktfuehrer
- Microsoft Defender for Endpoint — bei M365 enthalten
- SentinelOne — autonomous response
- Sophos Intercept X — beliebt im DE-Mittelstand
SOAR (Security Orchestration, Automation, Response)
- Palo Alto Cortex XSOAR (frueher Demisto)
- Splunk SOAR (frueher Phantom)
- Tines — moderner, no-code
- Microsoft Sentinel Playbooks — kostenfrei mit Sentinel
Threat Intelligence
- Recorded Future — Premium TI
- MISP — Open Source TI Sharing
- CrowdStrike Falcon X, Mandiant — adversary-focused
Detection Engineering
- Sigma-Rules (Open Source, SIEM-agnostisch)
- Atomic Red Team (atomare Tests fuer ATT&CK-Techniken)
- Caldera (MITRE-eigene Adversary Emulation Plattform)
MITRE ATT&CK als Pflicht-Framework
Modernes Blue Teaming organisiert Detection Engineering entlang MITRE ATT&CK — dem De-facto-Standard fuer Taktiken und Techniken. Jede Detection-Regel wird auf eine ATT&CK-Technik gemappt:
- Coverage-Heatmap zeigt, welche Techniken man erkennt und welche nicht
- Gap-Analyse macht Investitions-Entscheidungen objektiv (statt "wir brauchen mehr Logs")
- Threat-Modeling auf Basis realer Akteur-Profile (APT29, Lazarus, BlackCat)
Tools: ATT&CK Navigator (kostenfrei) zum Visualisieren.
Was Purple Teaming wirklich ist
Purple Teaming ist nicht "ein Mittelding zwischen Red und Blue" — es ist eine kollaborative Uebung, in der Red und Blue zusammen am Tisch sitzen und Detection live verbessern.
Typischer Workshop (2 Tage)
Tag 1 Vormittag: Hypothesen
- Welche Bedrohungen sind fuer uns realistisch? (Threat Modeling)
- Welche ATT&CK-Techniken passen?
- Aktuelle Detection-Coverage durch Heatmap
Tag 1 Nachmittag: Atomic Tests
- Red Team fuehrt einzelne ATT&CK-Techniken offen aus
- Blue Team beobachtet in SIEM/EDR — was wird erkannt? Was nicht?
- Sofortige Detection-Regel-Anpassungen
- Werkzeuge: Atomic Red Team, Caldera
Tag 2: Chained Scenarios
- Mehrere Techniken in realistischen Angriffsketten
- Blue Team triagiert wie im Echtfall
- Reaktionszeiten messen, Eskalation pruefen
- Detection-Engineering-Backlog fuer naechste Sprints
Output:
- Konkrete neue/verbesserte Sigma-Regeln
- ATT&CK-Coverage-Report
- Backlog priorisierter Lueckenschluesse
- Trainings-Bedarf des Blue Teams
Vorteile gegenueber klassischem Red Team
- Schneller Lerneffekt — Verbesserung in Tagen, nicht Monaten
- Guenstiger — typisch EUR 25k-60k vs EUR 80k+ fuer Red Team
- Realer Wissensgewinn — Blue Team versteht Angriffe statt nur Bericht zu lesen
- Wiederholbar — quartalsweise als Fitness-Routine
Nachteile
- Weniger realistisch — Blue weiss, was kommt, also keine Reaktionsfaehigkeit-Pruefung
- Erfordert Reife im Blue Team — ohne mindestens Level 2 SOC ist es Verschwendung
Empfehlung: Quartalsweise Purple Team Workshop + alle 18-24 Monate verdecktes Red Team.
Blue-Team-KPIs, die wirklich zaehlen
| KPI | Best Practice |
|---|---|
| Mean Time to Detect (MTTD) | < 1 Stunde fuer kritische Vorfaelle |
| Mean Time to Respond (MTTR) | < 4 Stunden fuer Containment |
| Detection Coverage (ATT&CK) | > 60% der relevanten Techniken |
| False Positive Rate | < 5% (sonst burnout) |
| Alert Volume per Analyst per Day | < 50 |
| Anteil automatisch geloester Vorfaelle (SOAR) | > 30% |
| Tabletop Exercises pro Jahr | Mindestens 4 |
| Purple Team Workshops pro Jahr | Mindestens 2 |
SOC-Operating-Modelle fuer DE-Mittelstaendler
Model A: 100% Outsourced (MDR)
- Externer MDR-Provider (z.B. Arctic Wolf, Sophos MDR, eSentire, NTT)
- 24/7 Triage, externes SOC-Team
- Kunde reagiert nur bei Eskalation
- Kosten: EUR 60k-300k/Jahr je nach Groesse
Geeignet fuer: Unternehmen unter 500 MA ohne eigene Sicherheitsexpertise
Model B: Hybrid (intern + MDR-Backup)
- Eigenes Blue Team im Tag-Schicht (3-5 FTE)
- MDR-Backup nachts und Wochenende
- Eigene Detection-Regeln und Threat Hunting
- Kosten: EUR 150k-500k/Jahr
Geeignet fuer: Unternehmen 500-3.000 MA, regulierte Branchen
Model C: Vollstaendig intern (24/7 SOC)
- Eigenes 24/7-SOC mit 12-15 FTE
- Eigene Detection Engineers und Threat Hunters
- Kosten: EUR 1-3 Mio/Jahr
Geeignet fuer: Konzerne, KRITIS, Banken
Model D: Co-Managed
- Eigenes 9-to-5-Team
- MDR-Provider liefert Plattform und 24/7-Coverage
- Hybrid aus Tools, Personal, Prozess
- Kosten: EUR 200k-700k/Jahr
Geeignet fuer: wachsende Mid-Market-Unternehmen
Compliance-Bezug
NIS2 Art. 21 lit. b)
Behandlung von Sicherheitsvorfaellen — ohne Blue Team nicht erfuellbar. NIS2 erwartet zusaetzlich Meldewege ans BSI binnen 24/72 Stunden — Vorfaelle muessen also schnell erkannt werden.
DORA Art. 17-18
Incident-Klassifizierung und Meldepflichten an Aufsicht. Setzt funktionierendes SOC voraus.
ISO 27001:2022 Annex A 5.24-5.27
Incident Management. Auditoren wollen dokumentierte Prozesse, Drills und KPIs.
KRITIS / BSI
Fuer KRITIS-Betreiber: 24/7-Monitoring ist Pflicht.
Wie Matproof passt
Matproof ist nicht Ihr SIEM und nicht Ihr SOC. Aber:
- Findings aus Matproof-Pentests fliessen automatisch in das Detection-Engineering-Backlog
- Compliance-Mapping zeigt, welche NIS2/DORA/ISO-Anforderungen das Blue Team erfuellt
- Purple-Team-Workshops koennen Matproof-Pentest-Findings als Grundlage nutzen
- Reporting zur Geschaeftsleitung kombiniert Pentest-Ergebnisse + SOC-KPIs in einem Dashboard
Mehr zur Plattform | Red Teaming Leitfaden
Fazit
Ein modernes Blue Team ist 2026 keine Option mehr — fuer NIS2-, DORA- und ISO-pflichtige Unternehmen ist es Voraussetzung. Die Frage ist nicht "ob", sondern wie: vollstaendig outgesourct, hybrid, oder intern.
Purple Teaming ist der Hebel, der ein bestehendes Blue Team von Level 2 auf Level 4 hebt — schneller und billiger als reine Red Teams. Wer heute schon ein SOC betreibt, sollte mindestens zwei Purple-Team-Workshops pro Jahr fest einplanen.
Weiter lesen: Red Teaming Leitfaden | Schwachstellenmanagement | Active Directory Pentest