red team blue team security

Von Thomas Schäfer technology 11 Min. Lesezeit
red team blue team security

Hacker schlafen nicht. Während du diesen Satz liest, scannen automatisierte Bots wahrscheinlich gerade die Firewall deines Unternehmens nach einer winzigen Lücke. Wer glaubt, dass ein installierter Virenscanner und eine einmal jährlich aktualisierte Richtlinie ausreichen, lebt gefährlich. Die Realität in deutschen Rechenzentren sieht oft düster aus. Sicherheitsverantwortliche wiegen sich in falscher Sicherheit, bis die Ransomware-Forderung auf dem Bildschirm flackert. Um das zu verhindern, braucht es einen radikalen Perspektivwechsel. Man muss lernen, wie ein Angreifer zu denken, um die Verteidigung wasserdicht zu machen. Genau hier setzt Red Team Blue Team Security an, ein Konzept, das militärische Übungsszenarien direkt in die IT-Abteilungen überträgt. Es geht nicht um Theorie. Es geht um den simulierten Kriegszustand im eigenen Netzwerk.

Das Prinzip von Angriff und Verteidigung verstehen

Stell dir vor, eine Gruppe hochspezialisierter Experten versucht mit allen Mitteln, in dein Büro einzubrechen. Sie knacken Schlösser, fälschen Ausweise oder manipulieren die Klimaanlage, um physischen Zugang zu den Servern zu erhalten. Das ist die Angreiferseite. Auf der anderen Seite steht dein Sicherheitspersonal, das jeden Schatten beobachtet und versucht, die Eindringlinge zu stoppen. In der digitalen Welt nennen wir diese Gruppen Farben. Das rote Team ist die offensive Kraft. Diese Leute sind ethische Hacker, die beauftragt wurden, Schwachstellen zu finden und auszunutzen. Sie kopieren die Methoden echter Krimineller, von Social Engineering bis hin zu Zero-Day-Exploits. Ihr Ziel ist der totale Einbruch.

Das blaue Team ist das interne Schutzschild. Das sind die Administratoren und Analysten im Security Operations Center, kurz SOC. Sie müssen Angriffe in Echtzeit erkennen, isolieren und abwehren. Der Wert dieser Übung liegt im Konflikt. Ohne Reibung entsteht keine Hitze und ohne Hitze wird die Abwehr nicht geschmiedet. Es ist ein ständiges Katz-und-Maus-Spiel. Wenn das rote Team gewinnt, lernt das blaue Team, wo die Mauer bröckelt. Wenn das blaue Team gewinnt, muss das rote Team kreativer werden.

Die Rolle des Angreifers im Detail

Das rote Team agiert meist verdeckt. Sie melden sich nicht an der Pforte an. Oft verbringen sie Wochen mit der Aufklärung. Sie schauen sich Mitarbeiterprofile auf LinkedIn an, suchen nach geleakten Passwörtern im Darknet oder finden heraus, welche Softwareversionen auf den öffentlich erreichbaren Webservern laufen. Ein typisches Szenario beginnt oft mit Spear-Phishing. Eine perfekt gestaltete E-Mail an die Buchhaltung, die scheinbar eine Rechnung eines bekannten Partners enthält. Klickt jemand, ist der erste Fuß in der Tür. Von dort aus bewegen sie sich lateral durch das Netzwerk. Sie suchen nach Domänen-Admin-Rechten. Haben sie diese erst einmal, gehört ihnen das gesamte Unternehmen.

Die Aufgaben der Verteidiger

Die Verteidiger sitzen oft vor Monitoren, die Datenströme visualisieren. Sie nutzen SIEM-Systeme (Security Information and Event Management), um Anomalien zu finden. Ein Log-in nachts um drei Uhr aus einem Land, in dem kein Mitarbeiter sitzt? Das schlägt Alarm. Aber gute Angreifer sind leise. Sie nutzen "Living off the Land"-Techniken. Das bedeutet, sie verwenden legitime Systemwerkzeuge wie die PowerShell unter Windows, um ihre Spuren zu verwischen. Die Verteidiger müssen also nicht nur nach Viren suchen, sondern nach verdächtigem Verhalten. Das ist deutlich schwerer. Man muss den normalen Betrieb in- und auswendig kennen, um das Abnormale zu identifizieren.

Red Team Blue Team Security in der operativen Praxis

Es reicht nicht, zwei Gruppen zu bilden und sie aufeinander loszulassen. Ohne eine klare Strategie wird das Ganze zum Chaos. Ein gut geplantes Manöver folgt einem Drehbuch, auch wenn die Ausführung spontan bleibt. In Deutschland achten viele Firmen bei solchen Tests besonders auf den Datenschutz und die Einhaltung der DSGVO. Das rote Team darf zwar Systeme angreifen, aber keine echten Kundendaten abgreifen oder den Betrieb so stark stören, dass die Produktion stillsteht. Eine saubere Planung der Red Team Blue Team Security umfasst daher immer auch Notfall-Absprachen.

Phasen eines typischen Einsatzes

Zuerst kommt die Vorbereitung. Hier legen die Führungskräfte fest, was das Ziel ist. Geht es um den Diebstahl von geistigem Eigentum? Oder um die Verschlüsselung der Datenbanken? Dann startet die Aufklärungsphase. Das rote Team sammelt Informationen. Danach folgt die Infiltration. Sobald der Zugriff steht, versucht das Team, seine Privilegien auszuweiten. Währenddessen ist das blaue Team im Alarmmodus. Sie wissen oft gar nicht, dass gerade ein Test läuft. Das macht die Sache realistisch. Erst wenn der Angriff entdeckt wird oder das rote Team sein Ziel erreicht hat, endet die aktive Phase.

Die Bedeutung der Nachbesprechung

Der wichtigste Teil passiert nach dem Angriff. Man nennt das oft die "Purple Team"-Phase. Hier setzen sich beide Seiten an einen Tisch. Das rote Team zeigt genau, welche Lücke sie genutzt haben. Das blaue Team erklärt, warum sie den Angriff gesehen haben – oder warum eben nicht. Diese Transparenz ist oft schmerzhaft. Niemand gibt gerne zu, dass er ein offenes Fenster übersehen hat. Aber genau dieser Schmerz verhindert, dass echte Kriminelle später Erfolg haben. Man erstellt eine Roadmap zur Behebung der Mängel. Das können technische Patches sein, aber oft sind es prozessuale Änderungen oder Schulungen für die Mitarbeiter.

Häufige Fehler bei der Umsetzung dieser Strategie

Viele Unternehmen machen den Fehler, diese Übungen als reinen Wettbewerb zu sehen. Es geht nicht darum, wer gewinnt. Wenn das rote Team immer gewinnt, verliert das blaue Team die Motivation. Wenn das blaue Team von vornherein weiß, wo der Angriff kommt, ist die Übung wertlos. Ein weiterer Fehler ist mangelndes Budget für die Nachbereitung. Was nützt die Erkenntnis über eine Sicherheitslücke, wenn danach kein Geld da ist, um sie zu schließen?

Oft wird auch der menschliche Faktor unterschätzt. Echte Angreifer rufen beim IT-Support an und geben sich als verzweifelte Mitarbeiter aus, die ihr Passwort vergessen haben. Wenn dein rotes Team das nicht darf, testest du nur die halbe Wahrheit. In Deutschland gibt es klare rechtliche Grenzen beim Social Engineering, aber im Rahmen von Penetrationstests sind viele Methoden nach vorheriger Absprache möglich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet hierfür gute Orientierungshilfen und Standards für die Durchführung von IT-Sicherheitschecks.

Die Falle der Tools

Man kann Sicherheit nicht einfach kaufen. Viele Firmen investieren Millionen in die neuesten Firewalls und KI-gestützten Erkennungssysteme. Aber Software ist nur so gut wie der Mensch, der sie bedient. Ein rotes Team findet oft Wege, diese teuren Tools einfach zu umgehen. Vielleicht durch einen ungesicherten IoT-Kühlschrank im Pausenraum, der am selben Netzwerk hängt wie die Server. Hardware-Sicherheit und physische Barrieren gehören zwingend dazu. Wer nur auf Bit und Bytes schaut, übersieht den USB-Stick, den ein Angreifer auf dem Parkplatz "verliert".

Warum der Mittelstand nicht wegschauen darf

Lange Zeit dachten kleine und mittlere Unternehmen (KMU), sie seien kein Ziel. Ein fataler Irrtum. Große Konzerne haben oft riesige Budgets für ihre Abwehr. KMU sind hingegen oft das "schwache Glied" in der Lieferkette. Ein Angreifer hackt den kleinen Zulieferer, um über dessen VPN-Zugang in das Netz des großen Autoherstellers zu kommen. Daher ist ein simulierter Angriff auch für kleinere Betriebe sinnvoll. Man muss dafür kein eigenes Team fest anstellen. Es gibt spezialisierte Sicherheitsdienstleister in Europa, die solche Dienstleistungen als Projekt anbieten.

Kosten-Nutzen-Rechnung

Ein einziger erfolgreicher Ransomware-Angriff kann ein Unternehmen ruinieren. Die Kosten für Wiederherstellung, Erpressungszahlungen und vor allem der Imageverlust sind gigantisch. Verglichen damit sind die Kosten für ein externes rotes Team eine Investition in die Betriebskontinuität. Man sollte es wie eine Brandschutzübung sehen. Niemand beschwert sich über die Zeit, die eine Evakuierungsübung kostet, wenn im Ernstfall alle wissen, was zu tun ist. In der IT ist es identisch. Das Ziel ist die "Resilienz". Das bedeutet nicht, dass man nie angegriffen wird. Es bedeutet, dass man den Angriff überlebt und schnell wieder auf die Beine kommt.

Die rechtliche Komponente

In Deutschland greifen verschiedene Gesetze wie das IT-Sicherheitsgesetz 2.0. Besonders Betreiber kritischer Infrastrukturen (KRITIS) sind verpflichtet, ihre Systeme nach dem Stand der Technik abzusichern. Wer hier schlampt, riskiert nicht nur Datenverlust, sondern auch empfindliche Bußgelder. Ein dokumentierter Test durch ein professionelles Team kann im Schadensfall als Nachweis dienen, dass man seine Sorgfaltspflicht erfüllt hat. Es geht also auch um Haftungsfragen für die Geschäftsführung.

Wie man ein Programm zur Angriffssimulation startet

Du musst nicht von Null auf Hundert beschleunigen. Es ist völlig in Ordnung, klein anzufangen. Zuerst sollte man die kritischen Assets identifizieren. Was ist das "Kronjuwel" der Firma? Das Kundendatenverzeichnis? Die Konstruktionspläne? Darauf sollte der Fokus liegen.

  1. Definiere den Umfang: Was darf getestet werden und was ist absolut tabu?
  2. Wähle einen Partner: Suche nach Zertifizierungen wie CREST oder spezialisierten Anbietern, die Erfahrung im deutschen Markt haben.
  3. Sensibilisiere das blaue Team: Sie müssen verstehen, dass dies eine Lernchance ist, kein Test ihrer Kompetenz.
  4. Führe den Test durch: Lass das rote Team arbeiten, aber behalte eine Notfall-Leitung offen.
  5. Werte die Ergebnisse aus: Erstelle einen konkreten Plan zur Behebung der gefundenen Lücken.

Ein wichtiger Aspekt ist die Regelmäßigkeit. Die IT-Welt ändert sich täglich. Neue Schwachstellen wie Log4j tauchen plötzlich auf und verändern die Spielregeln sofort. Ein Test, der vor zwei Jahren gut lief, hat heute keine Aussagekraft mehr. Man muss diesen Prozess als Kreislauf begreifen. Stillstand ist in der Cybersicherheit der Anfang vom Ende.

Die technische Tiefe der Verteidigung optimieren

Ein starkes blaues Team nutzt heute oft Automatisierung. Wenn ein Angriff erkannt wird, müssen bestimmte Gegenmaßnahmen sofort greifen. Das Blockieren einer IP-Adresse oder das Isolieren eines infizierten Laptops darf nicht erst durch drei Management-Ebenen freigegeben werden müssen. Hier helfen Playbooks. Das sind vordefinierte Abläufe für bestimmte Vorfälle. Wenn das rote Team diese Playbooks testet, finden sie oft logische Fehler. Vielleicht greift die Isolierung nicht, wenn der Rechner über WLAN verbunden ist? Solche Details kommen nur in der Praxis ans Licht.

Überwachung jenseits der Endpunkte

Verteidigung findet auf vielen Ebenen statt. Netzwerk-Monitoring ist essenziell. Man muss den Datenverkehr zwischen verschiedenen Segmenten des Unternehmens kontrollieren. Das Konzept "Zero Trust" spielt hier eine große Rolle. Vertraue niemandem, egal ob er sich im internen Netz befindet oder von außen kommt. Jede Anfrage muss verifiziert werden. Ein gutes blaues Team überwacht nicht nur, ob ein System läuft, sondern wie es kommuniziert. Wenn der Drucker plötzlich anfängt, Terabytes an Daten nach Übersee zu schicken, stimmt etwas nicht.

Ausbildung und Training

Echte Profis im blauen Team bilden sich ständig weiter. Plattformen wie Hack The Box oder spezialisierte Zertifizierungen halten das Wissen frisch. Es ist eine gute Investition, den eigenen Mitarbeitern Zeit zu geben, selbst einmal die Perspektive der Angreifer einzunehmen. Wer weiß, wie man einen SQL-Injection-Angriff durchführt, kann Code viel besser gegen solche Lücken absichern. Das Wissen um offensive Techniken macht Verteidiger erst richtig effektiv.

📖 Verwandt: diesen Beitrag

Die Zukunft der simulierten Angriffe

Wir sehen eine Entwicklung hin zum Continuous Security Validation. Das bedeutet, dass nicht mehr nur punktuell getestet wird. Automatisierte Tools simulieren ständig Angriffe im Hintergrund. Das ersetzt zwar kein menschliches rotes Team, da die Kreativität fehlt, aber es bietet eine Basissicherheit gegen bekannte Standardangriffe. Künstliche Intelligenz wird auf beiden Seiten eine Rolle spielen. Angreifer nutzen KI für bessere Phishing-Texte ohne Rechtschreibfehler. Verteidiger nutzen KI, um in den Milliarden von Log-Einträgen das Signal vom Rauschen zu trennen.

Integration in die Unternehmenskultur

Sicherheit darf keine Abteilung sein, die in der Ecke sitzt und "Nein" sagt. Sie muss Teil der Kultur werden. Wenn das Marketing eine neue Kampagnenseite plant, muss die Sicherheit von Anfang an dabei sein. Ein rotes Team kann hier als Berater fungieren. Anstatt erst am Ende zu testen, ob die Seite sicher ist, kann man schon beim Design Schwachstellen vermeiden. Das spart Zeit und Geld. In Deutschland nennen wir das oft "Security by Design". Es ist ein Qualitätsmerkmal, kein Hindernis.

Zusammenarbeit mit Behörden und Communities

Kein Unternehmen ist eine Insel. Der Austausch von Informationen über aktuelle Bedrohungen ist lebenswichtig. Organisationen wie die Alliance for Cyber Security bieten Plattformen für diesen Austausch. Wenn eine Firma von einem neuen Trick des roten Teams erfährt (oder von einem echten Angriff), sollten diese Informationen – anonymisiert – geteilt werden. So können alle ihre blauen Teams darauf vorbereiten. Gemeinsam ist die Abwehr deutlich stärker als alleine.

Praktische Schritte für die kommenden Wochen

Egal wo du stehst, du kannst heute etwas verbessern. Es geht nicht darum, morgen ein komplettes Expertenteam einzustellen. Es geht darum, den Prozess der ständigen Verbesserung zu starten.

  1. Prüfe deine Backups: Ein rotes Team wird versuchen, diese zu löschen. Sind sie offline oder unveränderbar gespeichert?
  2. Führe einen kleinen Phishing-Test durch: Nutze einfache Tools, um zu sehen, wie viele Mitarbeiter auf einen Link klicken. Das Ergebnis ist oft ein Augenöffner für das Management.
  3. Überprüfe die Sichtbarkeit: Weiß dein IT-Team eigentlich, was auf den Servern im Homeoffice passiert? Ohne Sichtbarkeit keine Verteidigung.
  4. Plane ein Budget für einen externen Test: Suche das Gespräch mit Dienstleistern und lass dir Szenarien erklären.
  5. Dokumentiere deine Prozesse: Sicherheit ist zu 50 % Technik und zu 50 % Organisation. Klare Verantwortlichkeiten sind im Ernstfall Gold wert.

Wenn du diese Schritte befolgst, bist du den meisten Angreifern bereits einen Schritt voraus. Sicherheit ist kein Ziel, das man erreicht, sondern ein Weg, den man geht. Ein professionelles Konzept für Red Team Blue Team Security hilft dir dabei, auf diesem Weg nicht die Orientierung zu verlieren. Bleib wachsam, hinterfrage deine eigenen Systeme und nimm den Schutz deiner Daten ernst. Die einzige Sicherheit, die man wirklich hat, ist die Gewissheit, dass man auf den nächsten Angriff vorbereitet ist.

TS

Thomas Schäfer

Thomas Schäfer verfolgt politische und soziale Debatten mit kritischem Blick und journalistischer Verantwortung.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap