Offensive Security
Red Team vs. Penetrationstest: Was ist der Unterschied?
Vincent Heinen9 Min.
Red Teaming
Wie weit kommt ein
Angreifer in Ihrem Unternehmen?
Multi-Vektor. Monatelang. Unbemerkt. Wir simulieren APT-Angriffe - und zeigen Ihnen exakt, wo Ihre Verteidigung versagt.
MITRE ATT&CK TIBER-DE OSCP-zertifiziert
RED TEAM - OPERATION TIMELINE
W1
RECONNAISSANCE
37 Mitarbeiter-Profile identifiziert. 4 exponierte Subdomains. VPN-Gateway mit bekannter CVE.
W2
INITIAL ACCESS
Spear-Phishing an IT-Abteilung. 3 von 12 Mitarbeitenden klicken. Credential Harvesting erfolgreich.
W3
LATERAL MOVEMENT
Kerberoasting → Service-Account kompromittiert. Zugriff auf Fileserver mit Kundendaten.
W4
OBJECTIVE ACHIEVED
Domain-Admin-Rechte erlangt. Zugriff auf ERP-System und Finanzdaten demonstriert.
Blue Team Detection: 0 Alerts Dwell Time: 26 Tage
Diese Unternehmen vertrauen uns
- der Red Teams erreichen ihr Ziel
-
- mittlere Verweildauer (Mandiant)
-
- Wochen Engagement-Dauer
-
- Freelancer - nur Festangestellte
-
Warum Unternehmen jetzt Red Teaming brauchen
Automatisierte Scanner und jährliche Pentests reichen nicht mehr. Moderne Angreifer denken in Kampagnen - Ihre Verteidigung sollte das auch.
DORA-TLPT seit Januar 2025
Art. 26-27 DORA machen Threat-Led Penetration Testing (TLPT) für systemrelevante Finanzunternehmen alle 3 Jahre zur Pflicht. TIBER-DE ist die zugelassene Methodik.
60% beginnen mit Phishing
Über die Hälfte aller Ransomware-Vorfälle 2024 starteten mit Phishing. 33% der Mitarbeitenden klicken auf Phishing-Links. Ein Pentest findet das nicht - ein Red Team schon.
74 Tage bis zum Patch
Ein Angreifer braucht 4 Tage, um ein Netzwerk zu durchdringen. Die mittlere Patch-Zeit für kritische Schwachstellen: 74 Tage. Red Teaming zeigt, wie Angreifer dieses Fenster nutzen.
Multi-Vektor-Angriff
Vier Angriffsvektoren - wie bei einem echten APT
Ein realer Angreifer beschränkt sich nicht auf einen Kanal. Unser Red Team greift Ihr Unternehmen koordiniert über alle relevanten Vektoren an.
Technische Exploitation
Netzwerk-Exploitation, Active-Directory-Angriffe (Kerberoasting, Pass-the-Hash), Privilege Escalation, Custom-C2-Infrastruktur. Dokumentation nach MITRE ATT&CK.
MITRE ATT&CK Cobalt Strike Mimikatz BloodHound
Social Engineering
Spear-Phishing mit personalisierten Pretexts, Vishing (telefonische Angriffe gegen Helpdesk/IT), Smishing, Pretexting. Wir testen, ob Ihre Mitarbeitenden auf gezielte Manipulation reagieren.
Spear-Phishing Vishing Credential Harvesting
Physische Sicherheit
Zutrittsversuche zu gesicherten Bereichen, Badge-Cloning (RFID/HID), Tailgating, USB-Drop-Attacks, Dumpster Diving. Auf Wunsch mit Foto- und Videodokumentation.
Badge-Cloning Tailgating USB-Drop
OSINT & Aufklärung
Welche Informationen findet ein Angreifer über Sie? Mitarbeiterdaten, Infrastruktur-Leaks, exponierte Services, GitHub-Repos, Dark-Web-Einträge, Social-Media-Profile.
Maltego SpiderFoot Dark-Web-Monitoring
Drei Engagement-Modelle
Je nach Reifegrad und Zielsetzung wählen wir das passende Szenario.
Full External Attack
Unser Team erhält nur den Firmennamen. Vollständige Black-Box-Simulation: OSINT, Phishing, technische Exploitation, physischer Zutritt - alles, was ein APT-Akteur tun würde.
4-8 Wochen · Ab 25.000 EUR
Assumed Breach
Wir starten mit einem kompromittierten Zugang (Mitarbeiter-Account, infiziertes Gerät). Fokus auf Lateral Movement, Detektionsfähigkeit und Incident-Response-Geschwindigkeit.
2-4 Wochen · Ab 15.000 EUR
TIBER-DE / DORA-TLPT
Für regulierte Finanzunternehmen: Threat-Intelligence-Phase, Red-Team-Test gegen Live-Systeme, obligatorische Purple-Team-Phase. Berichterstattung an BaFin/Bundesbank.
3-6 Monate · Ab 50.000 EUR
Was kostet ein Red-Team-Engagement?
Transparente Preise. Festpreisangebot in 24 Stunden. Keine versteckten Kosten.
Assumed Breach
ab 15.000 EUR
2-3 Wochen
Full External
ab 25.000 EUR
4-6 Wochen
Full-Scope + Physisch
ab 40.000 EUR
6-8 Wochen
TIBER-DE / TLPT
ab 50.000 EUR
3-6 Monate
Inkl. Purple-Team-Debrief, MITRE-ATT&CK-Dokumentation und Nachtest der gefundenen Schwachstellen.
Kontinuierliches Red Teaming - quartalsweise, planbar
Retainer-Modell für Unternehmen, die ihre Verteidigung kontinuierlich testen wollen. Inkl. Purple-Team-Exercises und ATT&CK-Coverage-Tracking.
Cyber Kill Chain
Unser Red-Team-Ablauf
Orientiert an der Lockheed Martin Cyber Kill Chain und dokumentiert nach MITRE ATT&CK.
01
Threat Intelligence & Scoping
Analyse Ihrer Bedrohungslage gemeinsam mit dem White Team. Definition der Angriffsziele und Rules of Engagement. Bei TIBER-DE: Beauftragung eines Threat Intelligence Service Providers (TISP).
02
Reconnaissance & OSINT
Umfassende passive und aktive Aufklärung: Social-Media-Profile, LinkedIn-Scraping, technische Infrastruktur, DNS-Enumeration, Certificate-Transparency-Logs, Dark-Web-Monitoring, Lieferkettenanalyse.
03
Initial Access
Koordinierter Angriff über den vielversprechendsten Vektor: Spear-Phishing, VPN-Exploitation, physischer Zutritt, Supply-Chain-Kompromittierung. Etablierung einer C2-Verbindung.
04
Lateral Movement & Privilege Escalation
Bewegung im Netzwerk: AD-Enumeration, Kerberoasting, Pass-the-Hash, Exploitation von Trust-Relationships. Ziel: Domain Admin oder Zugriff auf definierte Kronjuwelen.
05
Objective Achievement
Nachweis des Zugriffs auf die definierten Ziele: Kundendatenbank, ERP-System, SWIFT-Zugang, Produktionssteuerung. Dokumentation als Proof-of-Concept - keine echte Datenexfiltration.
06
Purple-Team-Debrief & Report
Gemeinsame Nachbesprechung mit Ihrem Blue Team. Offenlegung der kompletten Angriffskette mit Zeitstempeln. Live-Replay der Techniken im SIEM. Priorisierte Handlungsempfehlungen und ATT&CK-Heatmap.
Red Teaming vs. Penetration Test vs. Schwachstellenscan
Drei Disziplinen - eine Reifegrad-Leiter. Jede hat ihren Platz.
| Schwachstellenscan | Penetration Test | Red Teaming | |
|---|---|---|---|
| Ziel | Schwachstellen finden | Exploitability beweisen | Verteidigung testen |
| Scope | Breite Abdeckung | Definierte Systeme | Gesamtes Unternehmen |
| Vektoren | Technisch (Scanner) | Technisch (manuell) | Tech + Mensch + Physisch |
| Dauer | 3-5 Tage | 1-3 Wochen | 4-8 Wochen |
| Blue Team informiert? | Ja | Ja | Nein |
| Ideal für | Compliance-Basis | Alle Unternehmen | Reife Security-Teams |
| Regulatorisch | NIS-2, ISO 27001 | NIS-2, ISO, BSI | TIBER-DE, DORA, KRITIS |
Nicht sicher, was Sie brauchen? Im Erstgespräch klären wir das gemeinsam.
TIBER-DE & DORA-TLPT
Threat-Led Penetration Testing für den Finanzsektor
Seit Januar 2025 macht DORA (Art. 26-27) TLPT für systemrelevante Finanzunternehmen alle 3 Jahre zur Pflicht. TIBER-DE - entwickelt von EZB und Bundesbank - ist die zugelassene Methodik in Deutschland. BaFin und Bundesbank fungieren gemeinsam als TLPT-Aufsichtsbehörde.
Threat-Intelligence-Phase: Targeted Threat Intelligence Report zu branchenspezifischen APT-Akteuren
Red-Team-Testphase: Angriff gegen Live-Produktionssysteme basierend auf dem TTI-Report
Purple-Team-Phase: Gemeinsame Remediation mit dem Blue Team - obligatorisch nach TIBER-EU 2025
Closure Report: Berichterstattung an die zuständige Aufsichtsbehörde (BaFin/Bundesbank)
Beispiel-Dokument
Red-Team-Report
Sehen Sie, wie wir die komplette Angriffskette dokumentieren - mit ATT&CK-Mapping und Detektionslücken.
01 Executive Summary & Risikobewertung
02 Vollständige Angriffskette (Narrative)
03 MITRE ATT&CK Heatmap & Coverage
04 Detektionslücken & Purple-Team-Empfehlungen
Red-Team-Beispielbericht anfordern
Sehen Sie anhand eines anonymisierten Red-Team-Reports, wie wir Angriffsketten dokumentieren und Detektionslücken aufzeigen - kostenlos und unverbindlich.
Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Kein Spam - nur der angeforderte Bericht.
Wie weit käme ein Angreifer in Ihrem Unternehmen?
Kostenloses 30-Minuten-Gespräch mit unserem Red Team. Festpreisangebot in 24 Stunden.
Kostenlos · 30 Minuten · Unverbindlich
Ist Red Teaming das Richtige für Sie?
Red Teaming ist die Königsdisziplin der Offensive Security - aber nicht für jedes Unternehmen der richtige Einstieg.
Red Teaming ist richtig, wenn Sie...
- +...bereits ein SOC, SIEM oder EDR-Lösung betreiben
- +...wissen wollen, ob Ihre Verteidigung einem APT standhält
- +...TIBER-DE, DORA oder KRITIS-Anforderungen erfüllen müssen
- +...bereits regelmäßige Pentests durchführen und den nächsten Schritt suchen
- +...Ihr Incident-Response-Team unter realen Bedingungen testen wollen
Starten Sie besser mit einem Pentest, wenn...
- !...Sie noch kein dediziertes Security-Team haben
- !...Sie noch nie einen Pentest durchgeführt haben
- !...Ihr Hauptziel eine Schwachstellenliste ist
- !...Sie eine einzelne Applikation testen wollen
Rechtssicher - von der ersten Minute
Red Teaming bewegt sich im Spannungsfeld zwischen IT-Sicherheit und Strafrecht. Wir sorgen dafür, dass jeder Schritt rechtlich abgesichert ist.
Signierte Rules of Engagement
Vor jedem Engagement: Schriftliche Autorisierung durch vertretungsberechtigte Personen mit klar definiertem Scope, Techniken und Notfallkontakten.
Schutz vor §§ 202a-c StGB
Unsere Autorisierung ist als TOM gem. Art. 32 DSGVO, § 165 TKG und § 8a BSIG legitimiert. Schriftliche Einwilligungen schützen vor Strafbarkeit.
Nur Festangestellte
Kein Freelancer, kein Subunternehmer. Alle Tester unterliegen strengen NDAs und verarbeiten Daten ausschließlich auf eigener Infrastruktur in Deutschland.
Warum AWARE7 für Ihr Red-Team-Engagement
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
Referenzen aus der Praxis
Live Hacking & AwarenessLive Hacking & AwarenessLive Hacking & Awareness
PAYBACK GmbH
Remote Live Hacking Awareness Show für 150+ Mitarbeiterinnen und Mitarbeiter
150+
Teilnehmerinnen und Teilnehmer
90
Minuten Veranstaltungsdauer
Munich Re
(Remote) Live Hacking Show auf den Security Days in München
39.000+
Mitarbeitende im Konzern
3
Jahre der Zusammenarbeit
Fujitsu
Fujitsu Experience Days 2023 - Live Hacking Roadshow in sechs Städten
6
Städte in der Roadshow
60
Minuten pro Show
Sicherheit ist auch gesellschaftliche Verantwortung
AWARE7 engagiert sich über das Tagesgeschäft hinaus: Als Stifter eines Stipendiums an der Ruhr-Universität Bochum fördern wir den Nachwuchs in der IT-Sicherheit. Wir sind Mitglied der Allianz für Cyber-Sicherheit des BSI und bilden selbst Fachkräfte aus. Unser F&E-Zertifikat bestätigt unsere Innovationskraft in der Cybersecurity-Forschung.
Mehr über AWARE7Häufige Fragen zum Red Teaming
Was unterscheidet Red Teaming von einem Penetration Test?
Ein Pentest identifiziert systematisch technische Schwachstellen in definierten Systemen - der Scope ist klar abgegrenzt, das Blue Team informiert. Red Teaming simuliert einen realen APT-Angriff über alle Vektoren: Technik, Mensch und Prozesse. Das Blue Team weiß nicht, wann und wie der Angriff kommt. Das Ziel ist nicht eine Schwachstellenliste, sondern die Antwort auf die Frage: Kann ein motivierter Angreifer Ihre Kronjuwelen erreichen - und wie schnell erkennt Ihre Verteidigung den Angriff?
Wie lange dauert ein Red-Team-Engagement?
Ein typisches Engagement dauert 4-8 Wochen: 1-2 Wochen Reconnaissance und OSINT, 2-4 Wochen aktive Angriffsphase (Initial Access, Lateral Movement, Zielerreichung), 1 Woche Reporting und Debrief. TIBER-DE-konforme Engagements für den Finanzsektor dauern 3-6 Monate inkl. Threat-Intelligence-Phase und Purple-Team-Exercises.
Weiß unser IT-/Security-Team Bescheid?
In der Regel kennt nur ein „White Team" den Zeitraum und Scope - typischerweise Geschäftsführung, CISO und ggf. Legal. Das Blue Team (SOC, IT-Security) wird bewusst nicht informiert, um die Reaktionsfähigkeit unter realen Bedingungen zu testen. Nach dem Engagement findet ein gemeinsames Purple-Team-Debrief statt, in dem wir die komplette Angriffskette offenlegen und gemeinsam Detektionslücken schließen.
Ist Red Teaming auch für mittelständische Unternehmen sinnvoll?
Red Teaming eignet sich für Unternehmen, die bereits ein Sicherheitsfundament haben - ein SOC oder SIEM, Endpoint Detection, geschulte Mitarbeitende. Für KMU ohne existierendes Security-Team empfehlen wir zunächst einen Penetrationstest oder unsere KMU-Sicherheitsanalyse. Die Investition in ein Red-Team-Engagement lohnt sich erst, wenn Sie wissen wollen, ob Ihre bestehenden Schutzmaßnahmen einem koordinierten Angriff standhalten.
Was kostet ein Red-Team-Engagement?
Die Kosten hängen von Scope, Dauer und Komplexität ab. Ein fokussiertes Red-Team-Engagement (primär technisch, 2-3 Wochen) beginnt ab ca. 15.000 EUR. Ein vollumfängliches Engagement mit Social Engineering und physischer Komponente über 4-8 Wochen liegt typischerweise bei 25.000-50.000 EUR. TIBER-DE-konforme Engagements für den Finanzsektor beginnen ab ca. 50.000 EUR. Sie erhalten ein verbindliches Festpreisangebot - keine Stundensätze, keine Nachforderungen.
Welche Frameworks nutzen Sie?
Wir dokumentieren alle Angriffstechniken nach MITRE ATT&CK - dem internationalen Standard für Adversary Behavior. Für regulierte Finanzunternehmen orientieren wir uns am TIBER-EU/TIBER-DE-Framework der EZB/Bundesbank. Zusätzlich nutzen wir die Lockheed Martin Cyber Kill Chain zur Strukturierung unserer Kampagnen und das PTES (Penetration Testing Execution Standard) als methodische Grundlage.
Was ist ein Assumed-Breach-Szenario?
Im Assumed-Breach-Modell starten wir mit einem bereits kompromittierten Zugang innerhalb Ihres Netzwerks - z.B. einem regulären Mitarbeiter-Account oder einem infizierten Endgerät. Damit überspringen wir die Perimeter-Phase und testen gezielt Ihre internen Verteidigungsmaßnahmen: Netzwerk-Segmentierung, Privilege-Escalation-Schutz, Lateral-Movement-Detection und Incident-Response-Fähigkeit. Ideal für Unternehmen, die ihren Perimeterschutz bereits getestet haben.
Was passiert im Purple-Team-Debrief?
Im Debrief legen wir Ihrem Blue Team die komplette Angriffskette offen - Schritt für Schritt, mit Zeitstempeln, verwendeten Tools und generierten Artefakten. Wir zeigen exakt, welche Logs und Alerts hätten ausgelöst werden müssen, warum sie es nicht wurden, und wie Sie Ihre Detektionsregeln anpassen können. Auf Wunsch führen wir die Techniken live vor, damit Ihr SOC die Artefakte in Echtzeit im SIEM sehen und Detektions-Use-Cases entwickeln kann.
Ist Red Teaming für die NIS-2-Compliance erforderlich?
NIS-2 (§ 30 BSIG) verlangt „Sicherheitsprüfungen" als Mindestmaßnahme, benennt aber Red Teaming nicht explizit als Pflicht. Für KRITIS-Betreiber und NIS-2-betroffene Unternehmen mit reifen Security-Programmen ist Red Teaming jedoch die effektivste Methode, die Wirksamkeit ihrer Schutzmaßnahmen nachzuweisen. Für den Finanzsektor macht DORA (Art. 26-27) Threat-Led Penetration Testing (TLPT) alle 3 Jahre verbindlich - und TIBER-DE ist die zugelassene Methodik.
Wie stellen Sie die Rechtssicherheit sicher?
Jedes Engagement beginnt mit einem signierten Rules-of-Engagement-Dokument (RoE), das von einer vertretungsberechtigten Person Ihres Unternehmens unterschrieben wird. Darin sind Scope, erlaubte Techniken, Notfallkontakte und Datenhandhabung klar definiert. Diese schriftliche Autorisierung schützt vor Strafbarkeit nach §§ 202a-c, 303a StGB. Alle Tester sind festangestellt bei AWARE7, unterliegen NDAs und verarbeiten Daten ausschließlich in Deutschland.
Bieten Sie auch TIBER-DE/TLPT für den Finanzsektor an?
Ja. Wir führen Engagements nach dem TIBER-EU/TIBER-DE-Framework durch, das seit 2025 auch die offizielle Methodik für DORA-TLPT ist. Der Prozess umfasst: Threat-Intelligence-Phase (Targeted Threat Intelligence Report), Red-Team-Testphase gegen Live-Produktionssysteme und obligatorische Purple-Team-Phase. Die Ergebnisse werden an die zuständige Aufsichtsbehörde (BaFin/Bundesbank) berichtet.
In drei Schritten zum Red-Team-Engagement
Kein langwieriger Beschaffungsprozess. Sie sprechen mit uns - und wir legen los.
1
Erstgespräch
30 Minuten, kostenlos. Wir klären Angriffsziele, Scope und Rahmenbedingungen.
2
Festpreisangebot in 24h
Verbindlich, transparent, ohne versteckte Kosten. Inkl. Rules of Engagement.
3
Red Team startet
Unser Team beginnt mit der Reconnaissance - Ihr Blue Team weiß von nichts.
ISO 27001:2022
OSCP · OSCP+ · OSWA · OSWP
MITRE ATT&CK
BSI Allianz für Cyber-Sicherheit
100% Deutschland
Bereit für die Königsdisziplin?
94% aller Red Teams erreichen ihr Ziel. Testen Sie Ihre Verteidigung, bevor es ein echter Angreifer tut.
Kostenlos · 30 Minuten · Unverbindlich
