Red Teaming bezeichnet in der Cybersicherheit eine hochgradig realistische und zielgerichtete Angriffssimulation auf ein Unternehmen, die von einer Gruppe spezialisierter, ethischer Hacker (dem sogenannten „Red Team“) durchgeführt wird. Das primäre Ziel dieser Übung ist es nicht, jede einzelne technische Sicherheitslücke aufzudecken, sondern die tatsächlichen Erkennungs- und Abwehrfähigkeiten einer Organisation – insbesondere des internen Sicherheitsteams (dem „Blue Team“) – unter realen Stressbedingungen auf die Probe zu stellen. Dabei agiert das Red Team wie ein echter, fortgeschrittener Angreifer (Advanced Persistent Threat, APT) und versucht, ein vorher definiertes Hauptziel zu erreichen, beispielsweise den unbemerkten Zugriff auf das zentrale ERP-System oder den Diebstahl streng vertraulicher Kundendaten.

Unangekündigte, reale Angriffssimulation

Ein wesentliches Merkmal des Red Teamings ist die strenge Geheimhaltung: Die Angriffe erfolgen in der Regel völlig unangekündigt und das interne Verteidigungsteam weiß nicht, dass es sich um eine Simulation handelt. Um das Vorgehen echter Cyberkrimineller (deren Tactics, Techniques and Procedures, kurz TTPs) authentisch nachzubilden, bedienen sich die Tester einer großen Bandbreite an Methoden. Dies beschränkt sich keineswegs nur auf digitale Netzwerk- und Softwareangriffe. Oftmals werden auch Social Engineering (wie gezielte Phishing-Kampagnen oder Anrufe bei Mitarbeitenden) sowie physische Eindringversuche in Unternehmensgebäude eingesetzt, um das Zusammenspiel von Technik, physischen Barrieren und dem Faktor Mensch ganzheitlich zu evaluieren.

Abgrenzung zum klassischen Penetrationstest (Pentest)

Obwohl beide Methoden der Sicherheitsüberprüfung dienen, gibt es einen fundamentalen Unterschied im Ansatz. Ein klassischer Penetrationstest (Pentest) fokussiert sich darauf, innerhalb eines eng abgesteckten Bereichs (Scope) – etwa einer neuen Webanwendung oder einer bestimmten Serverlandschaft – in einer festgelegten Zeitspanne möglichst alle vorhandenen Schwachstellen zu identifizieren und zu dokumentieren. Red Teaming hingegen ist zielorientiert (Objective-based) und testet die gesamte Sicherheitsarchitektur eines Unternehmens. Während ein Pentest also aufzeigt, welche Lücken existieren, beantwortet das Red Teaming die weitaus komplexere Frage, wie gut das Unternehmen in der Lage ist, einen echten, verdeckt agierenden Angreifer über alle Verteidigungslinien hinweg rechtzeitig zu erkennen, zu stoppen und abzuwehren.