Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Offensive Security Glossar

Red Team / Blue Team / Purple Team

Red Team: Angreifer-Team simuliert realistische Cyberangriffe. Blue Team: Verteidiger-Team erkennt und reagiert. Purple Team: Kooperation beider für maximalen Lerneffekt.

Red Team und Blue Team sind zwei gegnerische Perspektiven in der Cybersecurity - die Angreifer und die Verteidiger. Ihre Zusammenarbeit macht Unternehmen widerstandsfähiger gegen echte Angriffe.

Red Team

Das Red Team nimmt die Perspektive des Angreifers ein und simuliert realistische Cyberangriffe gegen eine Organisation - mit dem Ziel, Schwachstellen in Prozessen, Menschen und Technologie zu finden, die ein echter Bedrohungsakteur ausnutzen würde.

Unterschied zum klassischen Penetrationstest:

  • Pentest: Technisch fokussiert, definierter Scope, oft White-Box
  • Red Team: Ganzheitlich (Menschen, Prozesse, Technik), realistisches Angreifer-Szenario, oft Black-Box, längere Zeitspanne

Typische Red-Team-Aktivitäten:

  • Phishing-Kampagnen gegen Mitarbeitende
  • Physischer Einbruchsversuch (Tailgating, Lockpicking)
  • Ausnutzung technischer Schwachstellen
  • Social Engineering gegen IT-Support und Helpdesk
  • Laterale Bewegung im Netzwerk nach initialem Zugang
  • Exfiltration von Daten als “Proof of Concept”

Werkzeuge: Cobalt Strike, Metasploit, Impacket, BloodHound, Evilginx2

Blue Team

Das Blue Team ist für die Verteidigung zuständig: Erkennung, Reaktion und Verbesserung der Sicherheitslage.

Blue-Team-Aufgaben:

  • Security Operations Center (SOC) - 24/7 Monitoring
  • Incident Response - Reaktion auf erkannte Vorfälle
  • Threat Hunting - proaktive Suche nach Angreifern
  • Security Engineering - Härtung von Systemen
  • Vulnerability Management - Schwachstellensuche und -behebung

Werkzeuge: SIEM (Splunk, Microsoft Sentinel), EDR (CrowdStrike, Defender), Threat-Intel-Feeds, SOAR

Purple Team

Das Purple Team ist keine dritte Gruppe, sondern die strukturierte Kollaboration zwischen Red und Blue:

  1. Red Team führt einen Angriff aus und dokumentiert jede Technik (MITRE ATT&CK-Mapping)
  2. Blue Team versucht, den Angriff zu erkennen
  3. Gemeinsame Analyse: Was wurde erkannt? Was nicht? Warum?
  4. Verbesserung der Erkennungsregeln und Reaktionsprozesse
  5. Iteration bis die Angriffstechnik zuverlässig erkannt wird

Nutzen: Maximaler Lerneffekt - Red und Blue Team arbeiten zusammen statt gegeneinander. Direkter Transfer von Angriffs-Know-how in verbesserte Verteidigungsfähigkeiten.

TIBER-EU

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) ist ein europäischer Rahmen für Red-Team-Tests bei Finanzinstituten - entwickelt von der EZB, koordiniert von nationalen Zentralbanken. Pflicht für bestimmte DORA-regulierte Unternehmen.

Das BSI bietet ähnliche Rahmenbedingungen für kritische Infrastruktur.

Rechtliche Grundlage

Red-Team-Übungen erfordern schriftliche Genehmigung mit klarem Scope. Ohne Genehmigung sind Red-Team-Aktivitäten strafbar (§ 202a ff. StGB Computerbetrug, Hausfriedensbruch bei physischen Tests).

AWARE7 Leistungen zum Thema

Penetrationstest

Ausführlicher Wiki-Artikel

Active Directory Angriffe

10 Min. Lesezeit

Incident Response

9 Min. Lesezeit

Penetrationstest (Pentest)

8 Min. Lesezeit

Verwandte Begriffe

APT (Advanced Persistent Threat) IOC (Indicator of Compromise) Lateral Movement - Wie Angreifer sich im Netz ausbreiten Privilege Escalation SOC (Security Operations Center)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung