security2026-04-197 min Lesezeit

Red Teaming: Der vollstaendige Leitfaden 2026

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01Was ist Red Teaming?
  2. 02Wann Red Teaming, wann Pentest?
  3. 03Die 5 Phasen eines Red-Team-Engagements
  4. 04MITRE ATT&CK als Referenzrahmen
  5. 05Regulatorische Red-Team-Programme
  6. 06Purple Teaming — die kollaborative Variante
  7. 07Vier Erfolgskriterien fuer ein Red-Team-Engagement
  8. 08Wer kann Red Teaming durchfuehren?
  9. 09Typische Red-Team-Findings in DE-Unternehmen
  10. 10Kosten und Zeitaufwand
  11. 11Wie Matproof passt
  12. 12Fazit

Red Teaming: Der vollstaendige Leitfaden 2026

Ein klassischer Pentest beantwortet die Frage "Welche Schwachstellen haben wir?". Ein Red-Team-Engagement beantwortet die Frage "Koennte ein realer Angreifer mit konkreten Zielen unsere Verteidigung wirklich ueberwinden?" — und bewertet damit nicht nur Technik, sondern auch Erkennung, Reaktion und Menschen.

Dieser Leitfaden erklaert, was Red Teaming ist, wie es funktioniert und wann es sich lohnt.

Was ist Red Teaming?

Red Teaming ist eine realistische, zielorientierte Angriffssimulation, bei der ein spezialisiertes Team versucht, vordefinierte "Kronjuwelen" Ihres Unternehmens zu kompromittieren — ohne dass die Verteidiger wissen, dass sie getestet werden. Im Gegensatz zum Pentest:

Merkmal Pentest Red Team
Frage "Wo sind die Loecher?" "Kommt ein Angreifer rein?"
Scope Definierte Systeme Gesamtes Unternehmen
Tester-Wissen Black/Grey/White Box Black Box (echter Angreifer-Stand)
Verteidiger informiert? Ja Nein (genau das ist der Punkt)
Mittel Technische Schwachstellen Technik + Social Engineering + ggf. physisch
Berichtsfokus Findings + Remediation Angriffspfade + Reaktionsfaehigkeit
Dauer Tage bis Wochen Wochen bis Monate
Kosten EUR 10k-50k EUR 60k-250k

Wann Red Teaming, wann Pentest?

Red Team wenn...

  • Sie regelmaessig Pentests machen und reife Sicherheitskontrollen haben
  • Sie ein eigenes SOC oder MDR-Service haben und dessen Erkennungsfaehigkeit testen wollen
  • Regulierungen es fordern (DORA TLPT, britisches CBEST, niederlaendisches TIBER-NL)
  • Konkrete Geschaeftsleitungs-Frage: "Wuerden wir einen ransomware-aehnlichen Angriff ueberleben?"

Pentest reicht wenn...

  • Sie noch keinen reifen Schwachstellenmanagement-Prozess haben
  • Es geht um ein konkretes System oder ein Audit (ISO 27001, TISAX)
  • Budget unter EUR 50k

Faustregel: Erst Pentests + Schwachstellenmanagement reifen lassen, dann Red Team. Andernfalls bezahlen Sie viel Geld, um zu lernen, was ein Pentest fuer 1/5 des Geldes auch gefunden haette.

Die 5 Phasen eines Red-Team-Engagements

Phase 1: Reconnaissance (1-3 Wochen)

Das Team sammelt Informationen aus oeffentlichen Quellen — Mitarbeiter auf LinkedIn, Subdomains, exponierte Dienste, Patentanmeldungen, Gerichtsakten. Ziel: ein Bild Ihrer Angriffsoberflaeche und Kultur.

Phase 2: Initial Access (1-2 Wochen)

Versuche, einen ersten Fuss in der Tuer zu bekommen:

  • Phishing-Kampagnen an ausgewaehlte Mitarbeitende (Finanz, IT-Admin, HR)
  • Supply-Chain-Angriffe ueber Lieferanten
  • Externe Schwachstellen in Web-Apps oder VPN-Geraeten
  • Physischer Zutritt (USB-Drop, Tailgating, Kameras)
  • Watering Hole (Manipulation von Webseiten, die Mitarbeitende besuchen)

Phase 3: Foothold und Persistence (1-3 Wochen)

Sobald drinnen: dauerhaften Zugang etablieren, ohne aufzufallen. Backdoors, geplante Tasks, gestohlene Credentials.

Phase 4: Lateral Movement und Privilege Escalation (2-4 Wochen)

Vom ersten kompromittierten System aus weiter ins Netz vorruecken — Active Directory, Cloud-Konten, Datenbanken. Ziel: Domain Admin, Cloud Owner, Datenbank-Root.

Phase 5: Mission Completion (1-2 Wochen)

Die "Kronjuwelen" tatsaechlich beruehren:

  • Datenbank exfiltrieren (simuliert, ohne echte Daten zu kopieren)
  • Eine fingierte Geldueberweisung anstossen
  • SCADA-System manipulieren (in Test-Umgebung)
  • Ransomware-Note auf einem Server hinterlassen (ohne Verschluesselung)

Danach: vollstaendige Dokumentation aller Angriffspfade, Erkennungsluecken, vorgeschlagene Verbesserungen.

MITRE ATT&CK als Referenzrahmen

Modernes Red Teaming arbeitet mit dem MITRE ATT&CK Framework — einer Datenbank aller bekannten Taktiken und Techniken realer Angreifer. Jede ausgefuehrte Aktion wird auf eine ATT&CK-Technik gemappt (z.B. T1566.001 Spearphishing Attachment, T1078 Valid Accounts).

Vorteil: der Bericht erlaubt Ihnen direkten Vergleich:

  • "APT29 nutzt T1566.001 — wir haben simuliert, ihre EDR hat erkannt = ja/nein"
  • "BlackCat-Ransomware nutzt T1486 — Reaktionszeit Ihres SOC = X Minuten"

So wird Red Teaming bedrohungsbasiert (threat-informed) statt generisch.

Regulatorische Red-Team-Programme

DORA TLPT (Threat-Led Penetration Testing)

Ab 2025/2026 verpflichtend fuer bedeutende Finanzinstitute (Art. 26-27 DORA). Nach TIBER-EU-Standard:

  • Bedrohungsbasiert (echte Angreifer-Profile, vom CTI-Team konstruiert)
  • Akkreditierter externer Provider erforderlich
  • Aufsichtsbehoerde und White Team eingebunden
  • Mindestens alle 3 Jahre
  • Kosten: EUR 90k-280k

Mehr zu TLPT unter DORA.

TIBER-EU Framework

Threat Intelligence-Based Ethical Red Teaming, entwickelt von der EZB. Wird in 17 EU-Laendern als nationales Red-Team-Framework eingesetzt (TIBER-DE, TIBER-NL, TIBER-IT etc.). Standard fuer DORA TLPT.

NIS2 und Red Teaming

NIS2 fordert kein Red Teaming explizit, aber "regelmaessige Wirksamkeitstests" — und fuer wesentliche Einrichtungen sehen Aufseher Red-Team-Engagements zunehmend als Best Practice. Insbesondere wenn Sie ein eigenes SOC betreiben.

Purple Teaming — die kollaborative Variante

Purple Teaming kombiniert Red Team (Angreifer) und Blue Team (Verteidiger) in einer transparenten Uebung:

  • Red Team fuehrt Techniken offen aus
  • Blue Team verfolgt in Echtzeit, welche Erkennungsregeln greifen
  • Gemeinsam: Detection-Engineering-Verbesserungen sofort umsetzen

Vorteil: schneller Lerneffekt, billiger als full Red Team (typisch EUR 25k-60k). Nachteil: weniger realistisch — das Blue Team weiss, was kommt.

Empfehlung: ein Purple-Team-Workshop pro Quartal als laufende Detection-Verbesserung, alle 18-24 Monate ein verdecktes Red-Team-Engagement.

Vier Erfolgskriterien fuer ein Red-Team-Engagement

  1. White Team etablieren — eine kleine Gruppe (CISO, IT-Leitung, Vorstand) weiss vom Test, alle anderen nicht. Sonst ist es kein realistischer Test.
  2. Klare "Kronjuwelen" definieren — z.B. "SAP-Finanzbuchhaltung exfiltrieren" oder "Domain Admin auf zwei verschiedenen Wegen erreichen". Ohne klares Ziel wird's beliebig.
  3. Rules of Engagement schriftlich — was ist tabu? (z.B. keine Krankenhausgeraete, kein Einbruch in Privatwohnungen, kein Kontakt mit Familienmitgliedern)
  4. Strukturiertes Debriefing — der wahre Wert liegt in der Diskussion zwischen Red Team und Blue Team nach dem Engagement, nicht im PDF-Bericht.

Wer kann Red Teaming durchfuehren?

Anforderungen an Anbieter:

  • CREST CCSAS (Certified Simulated Attack Specialist) oder OSEP / OSCE3 im Team
  • Erfahrung mit MITRE ATT&CK und CTI (Cyber Threat Intelligence)
  • Versicherung mit mindestens EUR 10 Mio. Deckung
  • Fuer DORA TLPT: TIBER-EU-Akkreditierung
  • Fuer KRITIS: BSI-Listing fuer Penetrationstester

In Deutschland erfuellen das z.B. SySS, HiSolutions, NVISO, NSIDE, Cobalt, sowie die internationalen Big-Four-Beratungen (PwC, EY, KPMG, Deloitte) mit Cyber-Security-Praktiken.

Typische Red-Team-Findings in DE-Unternehmen

Aus Branchen-Berichten 2025/26 die haeufigsten:

  1. Phishing-Erfolgsquote: 12-25% der Mitarbeitenden klicken Malware-Anhaenge an.
  2. Active-Directory-Schwaechen: Kerberoasting, Unconstrained Delegation, AD CS Misconfigurations — fast immer ausnutzbar.
  3. EDR-Bypasses: Endpoint-Detection wird in 60-70% der Faelle umgangen, oft durch trivial-modifizierte Tools.
  4. MFA-Luecken: alte SSO-Sessions, Help-Desk-Manipulation, MFA-Fatigue-Attacks.
  5. Cloud-Persistenz: Service-Principal-Backdoors, OAuth-App-Konsens, Token-Diebstahl in Microsoft 365.
  6. SOC-Reaktionszeiten: mediane Zeit von Initial Compromise bis Erkennung: 4-12 Tage. Best Practice: < 1 Stunde.

Kosten und Zeitaufwand

Engagement-Typ Dauer Kosten
Limited Red Team (Scope: nur extern + Phishing) 4-6 Wochen EUR 35k-70k
Full Red Team (alle Vektoren) 8-12 Wochen EUR 80k-180k
Red Team + physisch + Long-haul 12-20 Wochen EUR 150k-300k
TLPT unter DORA 4-6 Monate EUR 90k-280k
Purple Team Workshop 1-2 Wochen EUR 25k-60k

Wie Matproof passt

Matproof ist nicht der Anbieter fuer ein klassisches Red-Team-Engagement — solche Projekte gehoeren in die Hand spezialisierter Boutiquen. Matproof liefert die Vorbereitung und Nacharbeit:

  • Kontinuierliches Schwachstellenmanagement, das die "leichten" Findings vor dem Red Team eliminiert
  • Pentest-as-a-Service, der den Reifegrad fuer Red Teaming aufbaut
  • Compliance-Mapping fuer NIS2, DORA, ISO 27001 — die Findings aus Red Teaming landen automatisch in den richtigen Controls

Mehr zur Plattform | Pentest-Anbieter-Vergleich

Fazit

Red Teaming ist die Hochstufe der offensiven Sicherheitspruefung — wertvoll, aber nichts fuer Unternehmen ohne reife Grundlagen. Erst Schwachstellenmanagement, Pentests und ein funktionierendes SOC etablieren. Dann liefert Red Teaming die Antwort auf die Frage, die der Vorstand wirklich stellt: "Wuerden wir einen realen Angriff erkennen und stoppen?"

Fuer DORA-pflichtige Finanzinstitute wird TLPT ohnehin zur Pflicht. Fuer alle anderen ist es eine strategische Investition, die alle 18-24 Monate echten Erkenntnisgewinn liefert — vorausgesetzt, das White Team ist diszipliniert und die Rules of Engagement sind ernst gemeint.

Weiter lesen: TLPT unter DORA | Pentest-as-a-Service | Schwachstellenmanagement-Leitfaden

red teamred teamingred team assessmentred team deutschlandred team vs pentestpurple teamtiber euadversary simulation

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern