Red Team vs. Penetrationstest: Was ist der Unterschied?
Penetrationstest und Red Team werden oft verwechselt - dabei sind Scope, Tiefe, Dauer und Ziel grundlegend verschieden. Dieser Artikel erklärt wann welche Methode sinnvoll ist und was ein Red Team tatsächlich leistet.
Vincent Heinen Abteilungsleiter Offensive Services TL;DR
Ein Red Team-Test unterscheidet sich grundlegend von einem Penetrationstest, da er die Fähigkeit eines Unternehmens zur Erkennung und Abwehr eines echten, zielgerichteten Angreifers über Wochen oder Monate simuliert. Während ein Penetrationstest einen klar definierten Scope auf Schwachstellen prüft, verfolgt ein Red Team ein spezifisches Ziel, wie das Erlangen von Domain-Admin-Rechten oder die Exfiltration von Finanzdaten, und nutzt dabei alle realistischen Angriffsvektoren, einschließlich Social Engineering und physischen Zugangs. Das eigene Security-Team (Blue Team) wird dabei nicht vorab informiert, um die realistische Erkennungsfähigkeit zu testen und Lücken in der Incident Response aufzudecken. Ein Red Team-Test dauert typischerweise 4-12 Wochen und schließt mit einem Debriefing ab, das die Erkennungslücken analysiert und Empfehlungen zur Verbesserung der Detection liefert.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (7 Abschnitte)
“Wir haben letztes Jahr einen Penetrationstest gemacht.” Wenn Kunden das sagen, frage ich gerne nach: Was wurde getestet? Wie lange hat es gedauert? Wer wusste davon? Die Antworten zeigen schnell ob es sich um einen echten Penetrationstest handelte - oder vielleicht eher um einen Schwachstellenscan, eine Sicherheitsüberprüfung oder, in seltenen Fällen, tatsächlich um einen Red-Team-Test.
Die Begriffe im Überblick
| Methode | Scope | Dauer | Ziel | Wissen intern |
|---|---|---|---|---|
| Schwachstellenscan | Alle Systeme | Stunden | CVEs finden | Vollständig bekannt |
| Penetrationstest | Definierter Scope | Tage-Wochen | Ausnutzbare Schwachstellen | IT weiß es |
| Red Team | Ganzes Unternehmen | Wochen-Monate | Ziel erreichen, Erkennung testen | Nur Auftraggeber |
| Purple Team | Definiert | Tage-Wochen | Detection verbessern | IT + Security wissen es |
Penetrationstest: Strukturierte Schwachstellenanalyse
Ein Penetrationstest (Pentest) testet einen klar definierten Bereich auf Sicherheitslücken - innerhalb eines vereinbarten Scope, Zeitraums und einer vereinbarten Methodik.
Was einen Pentest ausmacht:
Klarer Scope: “Testet diese 5 Web-Applikationen und dieses /24-Subnetz - nicht mehr.”
Wissen im IT-Team: Die IT-Abteilung weiß, dass getestet wird (koordiniert mit IT-Betrieb, um keine Störungen zu verursachen).
Methodische Abdeckung: Systematisches Testing nach OWASP WSTG, PTES, BSI-Anforderungen - alle relevanten Schwachstellenkategorien werden geprüft.
Klarer Zeitrahmen: 5 Tage für Web-App, 3 Tage für Netzwerk-Infrastruktur.
Ergebnis: Bericht mit allen gefundenen Schwachstellen, CVSS-Bewertung, Reproduktionsschritten, Handlungsempfehlungen.
Was ein Pentest NICHT leistet:
- Er zeigt nicht, ob Ihr Security-Team den Angreifer erkennen würde
- Er zeigt nicht, ob Ihr Incident-Response-Prozess funktioniert
- Er testet nicht die menschlichen Faktoren (Social Engineering, physischer Zugang)
- Er deckt nicht ab, was außerhalb des Scope liegt
Red Team: Angreifer simulieren, Realität testen
Ein Red Team simuliert einen echten, zielgerichteten Angreifer (APT) über Wochen oder Monate - mit einem einzigen Ziel statt einem Vulnerability-Katalog.
Red-Team-Charakteristika:
Objectives statt Scope: Nicht “teste diese Systeme” sondern “erreiche Domain Admin Rechte” oder “exfiltriere Finanzdaten” oder “verschaffe dir Zugang zum Treasury-System.”
Blue Team testet mit: Das eigene Security-Team (Blue Team) weiß nicht vom Test - erst am Ende werden Angriffspfad und Erkennungslücken gemeinsam analysiert.
Alle Vektoren sind erlaubt: Phishing, Social Engineering, physischer Zugang, Netzwerk-Angriffe, Supply Chain, Public-Cloud-Zugang - alles was ein echter Angreifer auch nutzen würde.
Realistische Dauer: 4-12 Wochen, manchmal länger für komplexe Zielumgebungen.
Red-Team-Ablauf (typisch):
Woche 1-2: Reconnaissance
- OSINT: LinkedIn, Shodan, Jobausschreibungen, GitHub-Leaks
- Domain- und Subdomain-Enumeration
- E-Mail-Muster, Mitarbeiter-Identifizierung
Woche 2-4: Initial Access
- Spear-Phishing gegen identifizierte Targets
- VPN/Webserver-Schwachstellen (externe Angriffsfläche)
- Social Engineering (Telefonat, physischer Besuch der Rezeption)
Woche 4-8: Post-Compromise
- Persistence (Backdoor, C2)
- Lateral Movement
- Privilege Escalation → Domain Admin
- Data Collection + Exfiltration (simuliert, ohne echte Daten zu stehlen)
Abschluss: Debrief mit Blue Team
- Gemeinsame Aufarbeitung: Was hat Blue Team erkannt? Was nicht?
- Lücken in Detection und Response identifiziert
- Empfehlungen für Detection-VerbesserungPurple Team: Kollaboratives Testen
Ein Purple Team kombiniert Red und Blue in kollaborativem Modus:
Red Team: "Wir probieren jetzt Kerberoasting"
Blue Team: "Wir aktivieren Detection-Regel X"
Red Team führt Angriff durch
Gemeinsame Analyse: Regel hat funktioniert? SIEM hat Alert generiert?
Blue Team: Regel anpassen wenn nötig
→ Nächste TechnikPurple Team ist effizienter als Red Team für die Verbesserung der Erkennungsfähigkeiten - weniger Überraschungseffekt, dafür direktes Feedback für Blue Team.
Wann welche Methode?
Penetrationstest sinnvoll wenn:
- Spezifisches System/App vor Launch oder nach großen Änderungen testen
- Compliance-Anforderung (PCI DSS, NIS2) - Pentest als Nachweis
- Newcomer in strukturiertem Testing - guter Einstieg
- Budget begrenzt
- Keine eigene Security-Funktion (kein Blue Team zum Testen)
Red Team sinnvoll wenn:
- Unternehmen hat bereits reifes Security-Programm (SOC, SIEM, EDR vorhanden)
- Frage lautet: “Würden wir einen realen APT-Angriff erkennen?”
- Nach mehreren Penetrationstests die keine kritischen Lücken mehr finden
- Compliance-Anforderung (TIBER-EU für Finanzsektor, DORA Art. 26 Threat-Led-Penetration-Testing)
- Realistische Bedrohungsmodellierung für kritische Infrastruktur
Purple Team sinnvoll wenn:
- Detection-Fähigkeiten systematisch verbessern
- SOC-Team trainieren
- Neue SIEM-Regeln validieren
- Effizientere Alternative zum Full Red Team
Kosten-Orientierung (Deutschland, 2026)
| Methode | Typische Kosten | Dauer |
|---|---|---|
| Schwachstellenscan | 1.000-5.000 € | 1-2 Tage |
| Pentest Web-App | 5.000-15.000 € | 3-5 Tage |
| Pentest Netzwerk (intern) | 8.000-20.000 € | 5-10 Tage |
| Red Team (Assessment) | 30.000-100.000 € | 4-12 Wochen |
| Purple Team | 15.000-40.000 € | 2-4 Wochen |
Qualitätsmerkmale: Was einen guten Test ausmacht
Für Penetrationstests:
- Methodisch (PTES, OWASP, BSI-Technische Richtlinien)
- Zertifizierte Tester (OSCP, OSEP, GPEN, CEH)
- Klarer Bericht mit Proof-of-Concept-Code, nicht nur Tool-Output
- Debriefing und Review-Test nach Remediation
Für Red Teams:
- Klares Objective (nicht “alles testen”)
- Realistische TTPs (MITRE ATT&CK-basiert)
- Keine vorherige Information über interne Infrastruktur (Black Box)
- Abschlussbericht mit Angriffspfad und Detection-Lücken
Sie überlegen ob Ihr Unternehmen einen Penetrationstest oder Red Team braucht? In einem kostenlosen Erstgespräch klären wir gemeinsam welche Methode Ihren Sicherheitszielen und dem Budget gerecht wird.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
