Der Unterschied, der für CISOs entscheidend ist
Wenn zwei Tests dieselbe Frage beantworten sollen – und völlig unterschiedliche Antworten liefern
Ein CISO sitzt an einem Freitagnachmittag vor zwei frisch gelieferten Sicherheitsberichten. Der erste wirkt vertraut: 42 Schwachstellen, sauber kategorisiert, technisch nachvollziehbar, mit Empfehlungen und CVSS-Scores. Manche Findings sind kritisch, vieles ist mittelwichtig, einiges kosmetisch. Der Bericht erzählt, wo Angreifer theoretisch einsteigen könnten.
Der zweite Bericht liest sich völlig anders. Er beginnt mit einem Zeitstrahl. Dann folgen narrative Abschnitte, Screenshots von internen Administrator-Tools, Hinweise auf unentdeckte Lateral-Movement-Aktivitäten und eine nüchterne Feststellung: Ein simuliertes Angreiferteam konnte sich über Wochen hinweg unbemerkt im Netzwerk bewegen und am Ende auf sensible Geschäftsdaten zugreifen. Kein 42-Punkte-Katalog, sondern ein Angriffsszenario.
Beide Tests sollen das Sicherheitsniveau bewerten, doch sie scheinen aus verschiedenen Welten zu stammen. Genau an dieser Stelle beginnt der Kern des Themas: Pentest ist nicht Red Teaming.
Und die Verwechslung dieser beiden Methoden gehört zu den häufigsten strategischen Fehlannahmen im Sicherheitsmanagement.
Warum die Verwirrung so verbreitet ist
Ein großer Teil der Missverständnisse entsteht aus der Vorstellung, Red Teaming sei einfach ein Pentest „mit mehr Zeit“, „mit höheren Ansprüchen“ oder „mit echten Hackern statt Scannern“. Doch diese Annahmen greifen zu kurz. Pentests kommen aus einer Tradition technischer Überprüfungen, bei denen bekannte Systeme auf konkrete Schwachstellen untersucht werden. Red Teaming hingegen stammt aus der militärischen Taktik und wurde später in die Cyberwelt übertragen. Die Idee dahinter: Ein realistischer Gegner denkt nicht in Schwachstellen, sondern in Wegen, Zielen, Verhalten und Menschen.
In Ausschreibungen und Angeboten werden beide Begriffe häufig unscharf verwendet, teilweise absichtlich, teilweise aus Gewohnheit. Der Effekt ist immer der gleiche: Erwartungen, Aufwand und Ergebnisse passen nicht zusammen. Wer glaubt, ein Red Teaming bestellt zu haben, erhält manchmal einen erweiterten Pentest. Und wer eigentlich einen fundierten technischen Pentest wollte, bekommt eine komplexe Simulation, die das Unternehmen organisatorisch überfordert.
Kernunterschiede in einem Satz
Manchmal braucht es Klarheit in ihrer einfachsten Form:
Pentest bedeutet, technische Schwachstellen zu finden und zu bewerten.
Red Teaming bedeutet, einen realistischen, zielorientierten Angriff gegen Mensch, Prozess und Technik zu simulieren.
Für viele CISOs ist dieser „Executive Snapshot“ bereits der entscheidende Perspektivwechsel.
Perspektivenwechsel: Wie sich beide Methoden für Angreifer anfühlen
Der Pentester arbeitet wie ein digitaler Forensiker im Vorfeld. Er geht strukturiert vor, nutzt definierte Methoden und bewegt sich innerhalb eines festen Scopes. Das Ziel: technische Schwachstellen finden, ausnutzen und dokumentieren. Er prüft die technische Angriffsfläche in Breite und Tiefe, aber immer entlang klarer Grenzen.
Ein Red Team hingegen agiert wie ein Einbrecher mit Mission. Es sucht nicht die „beste Schwachstelle“, sondern den „wahrscheinlichsten Weg“. Technik ist nur eines von vielen Werkzeugen. Taktik, Täuschung, Social Engineering, OSINT, Timing und verhaltensbasierte Muster spielen eine ebenso große Rolle. Red Teams kombinieren Möglichkeiten, statt einzelne Schwachstellen mechanisch abzuarbeiten.
Dieser Perspektivenwechsel ist entscheidend:
Pentester testen Systeme. Red Teams testen Verteidigungsfähigkeit.
Vergleichsrahmen: Pentest und Red Team entlang realer Projektphasen
In der Realität werden die Unterschiede besonders sichtbar, wenn man die beiden Ansätze entlang typischer Projektphasen betrachtet.
Aufklärung:
Ein Pentest beginnt bei bekannten Systemen und einer klaren technischen Sicht.
Das Red Team startet hingegen im Unbekannten: öffentliche Informationen, Social Media, Gebäudezugänge, Schichtpläne, Third Parties. Während der Pentest „die Oberfläche“ prüft, kartiert das Red Team die gesamte Angriffsrealität, inklusive Menschen.
Angriffspfad vs. Schwachstellenkatalog:
Der Pentest arbeitet linear: Schwachstelle A, Exploit B, Ergebnis C.
Das Red Team denkt in Angriffslogik: Zugang, Privilegien erweitern, unauffällige Bewegung im Netzwerk, Ziel erreichen. Diese „Kill Chain“ ist viel näher an echten Angriffen als jede CVSS-Tabelle.
Umgang mit Hürden:
Ein Pentest akzeptiert Limits. Er stoppt, wenn Berechtigungen fehlen oder ein Weg nicht ohne Eskalation möglich ist.
Ein Red Team sucht Alternativen: Ein unachtsames Verhalten, ein schlecht geschütztes Dienstkonto, ein internes Projekt, ein anderer Einstiegspunkt. Misserfolge sind Teil der Arbeit. Wege entstehen, indem man sie geht.
Zieldefinition:
Während ein Pentest einzelne Systeme oder Anwendungen prüft, orientiert sich das Red Team am Wert des Unternehmens. Es testet Fragen wie: „Kommt ein Gegner an Kundendaten? Kann er operative Systeme stören? Kann er sich unbemerkt etablieren?“
Ergebnis & Impact:
Der Pentest liefert nachvollziehbare, priorisierte Findings.
Das Red Team liefert eine narrative Darstellung, ergänzt durch technische Details, aber vor allem durch eine Bewertung der Frage, wie gut der Verteidigungsapparat reagiert hat.
Der große strategische Unterschied: Was CISOs wissen müssen
Pentests messen Schwachstellen, Red Teaming misst Resilienz. Diese Unterscheidung ist für moderne Sicherheitsstrategien entscheidend. Die eine Methode zeigt, wo Angreifer theoretisch eindringen könnten. Die andere zeigt, wie gut ein Unternehmen einem echten Angriff standhalten würde. Der Unterschied zwischen Schwachstellen und Resilienz ist der Unterschied zwischen einer Checkliste und einem Überlebenssystem.
Pentests beantworten die Frage „Wie verwundbar sind wir?“
Red Teaming beantwortet die Frage „Wie widerstandsfähig sind wir?“
Wer Sicherheit ernsthaft steuern will, braucht beide Antworten – aber nicht zwingend gleichzeitig.
Typische Anwendungsszenarien: Wann welche Methode sinnvoll ist
Pentests passen zu neuen Plattformen, technischen Veränderungen oder Compliance-Anforderungen. Sie sind die beste Methode, um technische Hygiene zu überprüfen und Standards abzusichern. Auch bei begrenzten Budgets ist der Schritt über einen gut gesetzten Scope oft sinnvoller als ein komplexes Angriffsszenario.
Red Teaming entfaltet seinen Wert erst, wenn ein Unternehmen ein gewisses Sicherheitsniveau erreicht hat.
Ein SOC existiert, Monitoring ist eingerichtet, Incident Response ist mehr als ein PDF-Dokument. In dieser Phase geht es darum, die Frage zu beantworten, ob das Unternehmen einen gezielten Angriff erkennen und stoppen kann. Das schließt Social Engineering, Third-Party-Risiken und realistische Angriffsmethoden ein. Gerade für kritische Geschäftsprozesse oder Angriffe auf Führungskräfte ist Red Teaming ein echter Reifegrad-Indikator.
Ein typisches CISO-Problem: „Wir hatten Pentests – warum wurden wir trotzdem kompromittiert?“
Pentests decken technische Schwachstellen ab, aber keine Kombinationen aus Technik, Verhalten und Prozesslücken. Die meisten realen Angriffe nutzen genau diese Kombinationen. Ein veralteter Account, ein unklarer Prozess, ein ungeschützter Cloud-Endpunkt, eine unauffällige Phishing-Mail. In dieser Welt helfen Schwachstellenlisten nur bedingt.
Red Teaming macht sichtbar, wie Verteidiger agieren, wenn Angreifer aktiv werden. Es zeigt, ob Alerts interpretiert, ob Logdaten verstanden und ob kritische Aktionen rechtzeitig bemerkt werden. Diese Sichtbarkeit fehlt in Pentests – und sie ist oft der Grund, warum erfolgreiche Angriffe trotz guter Testergebnisse möglich waren.
Die Rolle der Verteidiger: SOC, Incident Response und die Detection Gap
Ein Red Teaming ist auch ein Test der Defensive. Sieht das SOC den Angreifer überhaupt? Werden ungewöhnliche Verhaltensmuster erkannt? Wird ein Alert im Kontext interpretiert? Werden Playbooks angewendet? Die Lücken liegen selten in Tools, sondern in Prozessen, Prioritäten und der Fähigkeit, Signale richtig zu deuten.
Diese Detection Gap ist in vielen Unternehmen größer, als die Security-Abteilung annimmt. Pentests decken sie naturgemäß nicht ab, da sie in der Regel mit der IT-Abteilung abgestimmt sind. Ein Red Team hingegen zeigt schonungslos, wie blinde Flecken wirken.
Kosten, Aufwand und Risiken – pragmatisch betrachtet
Pentests sind sauber planbar. Sie haben definierte Scopes, klaren Aufwand und kontrollierbare Risiken. Die Ergebnisse sind gut vergleichbar, wiederholbar und skalierbar.
Red Teamings sind variabler. Sie richten sich nach Zielen, Angreiferprofil und Reifegrad der Organisation. Ein gutes Red Teaming findet innerhalb eines Sicherheitsnetzes statt. Kontrollmechanismen, Abbruchkriterien und laufende Kommunikation gehören zwingend dazu. Für manche Unternehmen ist ein Red Teaming der beste Schritt in Richtung Resilienz. Für andere ist es schlicht zu früh.
Myth-Busting: Was Red Teaming nicht ist
Red Teaming ist kein Ersatz für Pentests und liefert keine vollständige Liste aller Angriffswege. Es ist kein Instrument zur Compliance und auch kein „Härtetest“, den man bestanden oder nicht bestanden hat. Es ist ein Spiegel der eigenen Sicherheitsrealität – nicht mehr, nicht weniger.
Leitfaden: Wie CISOs die richtige Methode auswählen
Die Auswahl hängt nicht vom Stil des Dienstleisters ab, sondern von der Frage, was man wissen will. Geht es um technische Qualität? Dann ist der Pentest das richtige Instrument. Geht es darum, die Widerstandsfähigkeit zu verstehen? Dann ist Red Teaming der logische nächste Schritt.
Eine sinnvolle Entscheidung entsteht aus fünf Fragen:
- Welches Sicherheitsziel ist relevant?
- Wie reif ist die Organisation?
- Welche Risiken will man wirklich sichtbar machen?
- Welche Stakeholder müssen einbezogen werden?
- Und wie sehen Budget und Zeitfenster realistisch aus?
In der Praxis arbeitet die pen.sec AG mit CISOs oft an genau diesen Fragen, bevor überhaupt ein Test beginnt. Die Erfahrung zeigt: Der richtige Scope entscheidet mehr als die gewählte Methode.
Fazit: Die richtigen Fragen sind wichtiger als die richtigen Tools
Pentests und Red Teaming sind keine Konkurrenten. Sie sind komplementäre Werkzeuge, die unterschiedliche Fragen beantworten. Ein CISO steuert Risiken – und Risiken entstehen selten nur auf einer Ebene. Die wichtigste Frage lautet daher nicht „Was wurde getestet?“, sondern „Was weiß ich jetzt über mein Risiko?“
Wer diese Frage klar beantworten kann, hat die richtige Methode gewählt.