Red Teaming ist ein realitätsnahes Sicherheitsverfahren, bei dem ein Unternehmen echte Angreifer simulieren lässt. Anders als ein klassischer Test nach Checkliste prüft Red Teaming, ob technische Kontrollen, Mitarbeitende und Entscheidungswege tatsächlich funktionieren.
Definition
Red Teaming bedeutet in der Cybersicherheit, dass ein spezialisiertes Team mit vorher definierten Regeln versucht, konkrete Angriffsziele zu erreichen. Dazu können technische Angriffe, Social Engineering, physische Zugangsversuche oder die Umgehung interner Prozesse gehören.
Der zentrale Unterschied zum Penetrationstest liegt im Ansatz. Ein Penetrationstest untersucht meist klar abgegrenzte Systeme oder Anwendungen auf Schwachstellen. Red Teaming ist umfassender, stärker szenariobasiert und am tatsächlichen Angriffsziel ausgerichtet. Deshalb fließen oft auch Threat Intelligence und die Reaktionsfähigkeit des SOC ein.
Relevanz für NIS2
Im Rahmen der NIS2-Richtlinie ist Red Teaming relevant, weil Art. 21 Abs. 2 lit. f der Richtlinie (EU) 2022/2555 die „Bewertung der Wirksamkeit“ von Risikomanagementmaßnahmen zur Cybersicherheit verlangt. Für betroffene Unternehmen reicht es daher nicht, Policies, Firewalls oder Playbooks nur auf dem Papier zu haben.
Red Teaming ist dafür besonders geeignet, weil es nicht isoliert auf Technik schaut. Das Verfahren zeigt, ob Erkennung, Alarmierung, interne Kommunikation und Krisensteuerung zusammenspielen. Für Unternehmen, die ihre Pflichten entlang des NIS2-Hubs strukturieren, ist Red Teaming deshalb ein Instrument zur Wirksamkeitskontrolle.
Auch sektorale Spezialregime greifen das Prinzip auf. Im Finanzsektor verweist DORA in Art. 26 auf fortgeschrittene threat-led Tests gegen kritische oder wichtige Funktionen. Das knüpft an TIBER-EU beziehungsweise TIBER-DE an, also an ein threat-intelligence-basiertes Ethical Red Teaming für Finanzunternehmen. Dort wird besonders deutlich: Je kritischer die Funktion, desto wichtiger ist ein realistischer Test gegen echte Angreiferpfade.
Praxisbeispiel
Ein deutsches E-Commerce-Unternehmen möchte prüfen, wie widerstandsfähig seine Auftragsabwicklung gegen einen kombinierten Angriff ist. Das Red Team startet mit einem realistischen Szenario: Phishing gegen Mitarbeitende im Einkauf, anschließende Rechteausweitung im Identitätsmanagement und späterer Zugriff auf ein Administrationskonto für das Warenwirtschaftssystem.
Im Test zeigt sich, dass die technische Mehrfaktor-Authentifizierung zwar vorhanden ist, Helpdesk-Prozesse jedoch durch Social Engineering umgangen werden können. Zusätzlich erkennt das interne Sicherheitsteam verdächtige Aktivitäten zu spät. Das Ergebnis ist für ein späteres Audit wertvoller als eine reine Liste einzelner Schwachstellen, weil es Lücken im Zusammenspiel von Menschen, Prozessen und Technik offenlegt.
Abgrenzung und Purple Teaming
Red Teaming sollte nicht mit einem Pentest verwechselt werden. Ein Pentest ist häufig enger eingegrenzt, technisch fokussiert und auf Schwachstellenidentifikation ausgerichtet. Red Teaming verfolgt dagegen eine Missionslogik: Kann ein realistischer Angreifer ein relevantes Ziel erreichen?
Besonders wirksam wird das Verfahren in Kombination mit Purple Teaming. Dabei arbeiten Red Team und Verteidiger enger zusammen, um Erkennungsregeln, Reaktionsabläufe und Schutzmaßnahmen unmittelbar zu verbessern. So wird aus dem Test ein konkreter Verbesserungsprozess.
Häufig gestellte Fragen
Was ist Red Teaming?
Red Teaming ist ein realitätsnaher Sicherheitstest, bei dem ein Team das Verhalten echter Angreifer simuliert, um die Wirksamkeit von Technik, Prozessen und Reaktionen im Unternehmen zu prüfen.
Welche Rolle spielt Red Teaming unter NIS2?
Red Teaming ist unter NIS2 relevant, weil Art. 21 Abs. 2 lit. f der Richtlinie (EU) 2022/2555 verlangt, die Wirksamkeit von Cybersicherheitsmaßnahmen zu bewerten. Genau diese Wirksamkeit macht ein realistischer Angriffstest sichtbar.
Wenn Sie NIS2-Pflichten für Geschäftsführung, IT und Fachbereiche vermitteln wollen, ist die NIS2-Schulung ein sinnvoller Schritt.