Was moderne Red Teams über Ihr Unternehmen wissen müssen
Der unsichtbare Besucher
Der Morgen beginnt wie jeder andere. Ein Mitarbeiter fährt seinen Laptop hoch, begrüßt im Vorbeigehen zwei Kollegen und schiebt gedankenverloren seine Tasse unter die Kaffeemaschine. Nichts deutet auf eine Besonderheit hin. Die Systeme laufen stabil, das Monitoring zeigt keine Auffälligkeiten und das Postfach ist voll mit den üblichen Anforderungen, Rückfragen und Statusupdates.
Während im Gebäude das Tagesgeschäft beginnt, ist ein Red Team längst Teil der internen Realität geworden. Es bewegt sich unbemerkt von System zu System, sammelt Informationen, beobachtet Verhaltensmuster und gleitet durch Netzwerkbereiche, in denen niemand einen Angreifer vermuten würde. Der Weg dorthin begann nicht mit einem spektakulären Exploit, sondern mit einer unscheinbaren Information auf einer frei zugänglichen Webseite.
Genau hier liegt der Kern des modernen Red Teamings: Es beginnt nicht dort, wo Tools starten, sondern dort, wo Informationen entstehen. Es beginnt vor dem Angriff selbst, lange bevor ein einzelner Alarm überhaupt die Chance hat, aufzuleuchten.
Warum moderne Angriffe anders funktionieren, als viele glauben
Viele Unternehmen denken bei Angriffen an Firewall-Logs, verdächtige IP-Adressen oder automatisierte Exploits. In der Vorstellung existiert eine klare Linie zwischen „sicher“ und „kompromittiert“. In der Realität ist diese Linie unscharf, manchmal kaum sichtbar.
Red Teams denken nicht in Tools. Sie denken in Chancen, Abhängigkeiten, Verhalten und Kontext. Ein Tool ist austauschbar, aber ein Fehler im Prozess bleibt konstant. Ein Tool kann aktualisiert werden, aber eine organisatorische Gewohnheit bleibt oft unverändert.
Eine starke technische Verteidigung kann helfen, Zeit zu gewinnen, aber sie verhindert keinen Angriff, wenn Menschen und Prozesse leicht zu beeinflussen sind. Manche Verteidigungsmaßnahmen erzeugen sogar eine Art trügerische Komfortzone. Firewalls stehen, Policies existieren, technische Maßnahmen wurden implementiert. Alles scheint solide. Bis ein Angriff dort ansetzt, wo keine Firewall greift: bei Routinen, bei menschlichen Reflexen oder im Zusammenspiel verschiedener kleiner Lücken.
Das ist die eigentliche Illusion der Sicherheit. Systeme erscheinen robust, weil sie technisch korrekt konfiguriert sind. Gleichzeitig bleiben ungetestete Prozesse, vermeintliche Kleinigkeiten oder unerwartete Abweichungen bestehen. Moderne Angriffe entstehen genau dort.
Die Grundfragen, die jedes Red Team stellt
Bevor ein Red Team irgendeine Aktion ausführt, versucht es zu verstehen, wie ein Unternehmen wirklich funktioniert. Nicht die IT-Struktur, sondern die Logik des Betriebs.
Die erste Frage lautet stets: Welche Geschäftsprozesse sind kritisch?
Ein modernes Unternehmen besteht nicht aus Servern, sondern aus Abläufen. Kundenportale, Bestellprozesse, Logistiksteuerung, Abrechnungszusammenhängen. Angreifer interessieren sich selten für eine einzelne Schwachstelle. Sie interessieren sich für den Punkt, an dem ein Angriff echten Schaden erzeugen kann – und das ist fast immer ein Geschäftsprozess.
Die zweite Frage lautet: Welche Systeme halten das Unternehmen am Laufen?
Im Sicherheitsumfeld spricht man von den „Crown Jewels“. Das können Datenbanken, Identitätsdienste, Cloud-basierte Prozesse oder Produktionssteuerungen sein. Oft verstecken sich die tatsächlich kritischen Systeme hinter scheinbar nebensächlichen Komponenten. Wenn ein Identitätsdienst schwächelt, bricht die gesamte Zugriffskette zusammen.
Die dritte Frage lautet: Wo sind Angriffsflächen sichtbar?
Diese Frage bezieht sich nicht nur auf IT-Assets. Sie umfasst Abläufe, Kultur, Verhalten und interne Entscheidungswege. Ein Unternehmen ist kein technisches Konstrukt, sondern ein soziales System mit technischen Elementen. Genau dort entstehen die interessantesten Angriffspunkte.
Informationsgewinnung: Die unscheinbarsten Details sind die gefährlichsten
Einen großen Teil der Arbeit investieren Red Teams in die Informationsbeschaffung. Diese Phase ist unspektakulär, aber äußerst wirkungsvoll.
OSINT – die Kunst der offenen Informationen
Viele Unternehmen ahnen nicht, wie viel über sie im Netz zu finden ist. Ein einzelner Social-Media-Post kann Dienstpläne verraten, interne Abkürzungen offenlegen oder Rückschlüsse auf Strukturen ermöglichen. Eine unbedachte Präsentation auf einer Konferenz enthält oft Screenshots mit Metadaten. Eine Stellenausschreibung verrät verwendete Technologien, Cloud-Stacks oder interne Prozesse.
Diese Informationen wirken harmlos. In Kombination ergeben sie jedoch ein präzises Bild.
Digitales Verhalten – Spuren, die niemand sieht
Cloud-Shares werden häufig geteilt, ohne zu prüfen, ob externe Nutzer lesen können. Git-Repositories enthalten Konfigurationsreste, Kommentarzeilen oder alte Token. Tools und Apps hinterlassen Fußabdrücke, die ein Angreifer zunächst nur beobachtet, aber später strategisch nutzt.
Physische Welt – der unterschätzte Bereich
Ein Red Team kennt Gebäude besser, als man denkt. Besucherroutinen, Paketlieferdienste, Putzkräfte, Abwesenheitszeiten, Konferenzkalender. All das liefert Hinweise, wie ein physischer oder sozialer Einstieg aussehen könnte.
Interne Strukturen – die stille Offenbarung
Manchmal zeigt sich ein Angriffspfad nicht durch Technologie, sondern durch Verantwortlichkeiten. Wenn ein Team unklar geführt wird, Prozesse inkonsistent angewendet werden oder niemand weiß, wer für einen bestimmten Bereich zuständig ist, entsteht ein idealer Angriffspunkt.
Angriffspfade: Der Weg vom ersten Kontakt zum Ziel
In der Realität beginnt ein Angriff selten mit einem technischen Event. Viel öfter beginnt er mit Kontaktaufnahme, Beziehungsaufbau oder gezielten Beobachtungen.
Der erste Schritt ist selten technisch
Ein Anruf, eine vermeintliche Service-Mail, ein falsch adressiertes Dokument. Kleine Interaktionen, die Vertrauen schaffen oder Zweifel unterdrücken. Viele erfolgreiche Angriffe nutzen die Tatsache, dass Mitarbeiter hilfsbereit sein wollen oder dass Stress den Blick für Details trübt.
Der Effekt der indirekten Wege
Statt eine Tür einzutreten, sucht ein Angreifer den Menschen, der bereit ist, sie zu öffnen. Die indirekten Wege führen über Partnerunternehmen, Service-Accounts, Schattenprozesse oder archivierte Systeme. Jedes Unternehmen besitzt Strukturen, die nicht mehr aktiv genutzt werden, aber noch funktionieren. Genau das macht sie attraktiv.
Hybridketten: wenn alles zusammenkommt
Ein moderner Angriff kombiniert technische und menschliche Elemente. Ein falsch konfigurierter Dienst liefert nur den Einstieg. Der eigentliche Erfolg ergibt sich aus dem Zusammenspiel mit menschlichen Mustern. Red Teams achten darauf, an welchen Stellen beide Dimensionen sich gegenseitig verstärken.
Das Denken eines Red Teams: Taktik, Kreativität, Improvisation
Viele stellen sich Red Teams als technisch hochgerüstete Spezialisten vor, die mit Tools durch Infrastrukturen pflügen. Aus der Nähe betrachtet ist der Ansatz weniger technisch, dafür sehr viel strategischer.
Kreativität als Werkzeug
Tools sind austauschbar. Ein kreativer Ansatz ist es nicht. Gute Red Teams suchen ungewöhnliche Wege: eine alte Subdomain, ein personalisiertes Social-Engineering-Muster oder eine unauffällige Kombination verschiedener technischer Eigenschaften.
Minimaler Lärm
Je weniger Spuren, desto größer der Erfolg. Red Teams vermeiden unnötige Aktionen, veröffentlichen keine sichtbaren Signaturen und verzichten auf spektakuläre Manöver. Ein leiser Angriff ist der realistische Angriff.
Iteratives Arbeiten
Ein Angriff entsteht selten am Stück. Red Teams bauen schrittweise auf kleinen Erfolgen auf. Ein minimaler Zugang reicht aus, um Hypothesen zu testen. Jede Beobachtung kann eine neue Richtung eröffnen.
Psychologie als Einflussfaktor
Angreifer bewerten Risiken anders als Verteidiger. Sie fragen sich nicht, ob etwas erlaubt ist, sondern ob es auffällt. Diese Denkweise verändert die Perspektive auf ein Unternehmen radikal.
Wo Angriffslogik und Sicherheitslogik aufeinanderprallen
Verteidiger strukturieren ihre Produkte, Prozesse und Verantwortlichkeiten. Angreifer umgehen diese Strukturen. Diese gegensätzlichen Denkansätze erzeugen eine Spannung, die in jedem Red Teaming sichtbar wird.
Verteidiger verlassen sich auf Policies, Regeln und hinterlegte Prozesse. Angreifer nutzen den Raum zwischen diesen Regeln. Oft bleiben Policies ungelebt, weil sie in der Realität unpraktisch sind. Red Teams decken diese Diskrepanz auf.
Ein weiterer Faktor ist Stress. Überlastete Admins verkürzen Prozesse, Supportteams improvisieren und Notfallpläne werden übergangen, weil sie in hektischen Momenten zu komplex wirken. Moderne Infrastruktur ist zudem so vielschichtig, dass Komplexität zur Schwachstelle wird. Jede neue Technologie schafft Chancen, aber auch neue Angriffspunkte.
Was Red Teams wirklich liefern: Erkenntnisse, nicht Exploits
Der Wert eines Red Teamings liegt nicht im Hack selbst, sondern in der Analyse danach.
Angriffspfade als Entscheidungsgrundlage
Ein gutes Red Team dokumentiert nicht nur technische Schritte, sondern erzählt eine nachvollziehbare Geschichte. Diese Narrative zeigt Zusammenhänge und verdeutlicht, wie verschiedene kleine Details einen großen Angriff ermöglichen.
Resilienzmessung: Erkennen, reagieren, unterbrechen
Ein Red Team zeigt, ob ein SOC Alarmzeichen versteht, ob Analysten Muster erkennen und ob Incident-Response-Prozesse funktionieren. Viele Unternehmen erkennen erst durch Red Teaming, wie selten Alerts tatsächlich im vorgesehenen Kontext betrachtet werden.
Sichtbarkeit organisatorischer Schwächen
Unklare Verantwortlichkeiten, fehlende Eskalationsstufen oder Schattenprozesse werden oft erst bei realistischen Simulationen sichtbar.
Erkenntnisse, die für CISOs wichtig sind
Es geht nicht darum, wie viele Schwachstellen bestehen, sondern welche Risiken durch Kombination vieler kleiner Schwächen entstehen. Die Frage ist nicht, ob eine Komponente verwundbar ist, sondern welchen Schaden ein echter Angriff verursachen würde.
Ein Red Teaming ist ein Lernformat, kein Wettbewerbsformat.
Wie Unternehmen sich vorbereiten können, ohne sich selbst zu täuschen
Erfolgreiche Red Teamings beginnen mit klaren Zielen. Nicht „wir wollen gehackt werden“, sondern „wir wollen wissen, wie wir reagieren“. Kommunikation ist entscheidend. Wer früh Stakeholder einbindet, vermeidet spätere Konflikte.
Der Umfang muss realistisch sein. Ein Unternehmen mit begrenztem Monitoring wird in einer tiefen Simulation überfordert. Gleichzeitig sollten Organisationen nicht unterschätzen, wie wichtig eine gute Nachbereitung ist. Erst in der Auswertung entsteht der tatsächliche Wert eines Red Teamings.
Fallbeispiel: Der Angriff, der nie begonnen hätte – wenn ein Detail anders gewesen wäre
Ein hypothetisches, aber realistisches Beispiel zeigt die Mechanik moderner Red Teams:
Ein öffentlich sichtbarer Dokumentenlink verweist auf eine alte Projektübersicht. Ein Red Team erkennt darin interne Systemnamen. Ein Prozessfehler erlaubt die Nutzung eines alten Service-Accounts. Ein Team im SOC übersieht einen ungewöhnlichen Logeintrag, weil er wie ein Routinevorgang wirkt. Die Kette aus kleinen Elementen ermöglicht unauffällige Bewegung im Netzwerk. Am Ende steht Zugriff auf sensible Bereiche.
Der Angriff hätte bei jedem dieser Schritte gestoppt werden können. Doch das Zusammenspiel kleiner Details schafft ein realistisches Angriffsszenario. Genau diese Perspektive führt Unternehmen oft zu nachhaltigen Veränderungen.
Fazit: Die wahre Kunst des Angriffs ist das Verständnis des Unternehmens
Red Teaming zeigt nicht, wie man Tools knackt, sondern wie man Systeme versteht. Es offenbart systemische Risiken, die in technischen Berichten nicht sichtbar werden. Der Wert liegt im Perspektivwechsel. Unternehmen sehen, was Angreifer sehen – und erkennen dadurch, was wirklich zählt.
Wer diese Sicht verinnerlicht, begreift Security nicht als Sammlung technischer Maßnahmen, sondern als lebendiges Zusammenspiel von Menschen, Prozessen und Strukturen.