Von Hakan Akcan · Reepa Solutions
Die Begriffe Penetrationstest und Red-Team-Assessment werden im Marketing-Sprech vieler Anbieter gleichbedeutend verwendet — sie sind es nicht. Zwischen den beiden Disziplinen liegen unterschiedliche Zielsetzungen, unterschiedliche Methoden, deutlich unterschiedliche Kosten und unterschiedliche Voraussetzungen auf Auftraggeber-Seite. Wer das eine bestellt und das andere bekommt, ist hinterher unzufrieden — entweder weil er Geld für eine Form von Bewertung ausgegeben hat, die zum eigenen Reifegrad nicht passt, oder weil das Engagement die erhoffte Frage nicht beantwortet. Dieser Artikel ordnet beide Disziplinen ein, vergleicht sie systematisch und gibt eine ehrliche Empfehlung, wer wann was braucht. Er ergänzt unseren Cybersecurity-Guide für den Mittelstand, in dem wir den weiteren Methodik-Rahmen samt OWASP, PTES und ICS-Audits darstellen.
Vorab ein Satz, der die meiste Verwirrung auflöst: ein Penetrationstest fragt „welche Schwachstellen hat dieses System?“, ein Red-Team-Assessment fragt „kann ein realistischer Angreifer ein konkretes Geschäfts-Ziel erreichen — und merkt jemand davon etwas?“. Beide haben ihre Berechtigung. Die meisten Mittelständler brauchen das erste; nur ein kleiner Teil ist für das zweite überhaupt reif.
Vergleich auf einen Blick
| Dimension | Penetrationstest | Red-Team-Assessment |
|---|---|---|
| Leit-Frage | Welche Schwachstellen sind in diesem System? | Erreicht ein Angreifer ein konkretes Geschäfts-Ziel? |
| Scope | Eng definiert — IPs, URLs, Anwendungen | Geschäfts-Ziel definiert, alle Wege erlaubt |
| Wissen IT-Team | Meist informiert (White-/Grey-Box) | Nicht informiert (Black-Cell / „Surprise“) |
| Methodik | PTES + OWASP + Tool-getrieben | MITRE ATT&CK, Threat-Intel-basiert, OPSEC |
| Multi-Vektor | Selten (meist tech-fokussiert) | Standard: Tech + Phishing + ggf. Physical |
| Dauer | 2–6 Wochen | 6–12 Wochen, TIBER 12–20 |
| Output | Breite Befund-Liste mit Reproduktion | Angriffs-Narrativ + Detection-Gap-Analyse |
| Typische Kosten | 15.000–80.000 € | 60.000–400.000 € |
| Voraussetzung | Funktionierende IT-Basis | Funktionierendes Detection-Team (SOC/EDR/SIEM) |
Was ist ein Penetrationstest?
Ein Penetrationstest (kurz „Pentest“) ist eine strukturierte Schwachstellen-Suche in einem definierten System — eine Web-Anwendung, eine API, ein Stück Infrastruktur, ein internes Netz, eine Cloud-Umgebung. Das Test-Team arbeitet gegen einen vorher abgestimmten Scope, mit klaren Rules of Conduct, und liefert am Ende einen Bericht, der möglichst alle relevanten Sicherheits-Befunde dokumentiert.
Der Test folgt etablierten Methodiken — der Penetration Testing Execution Standard (PTES) als generischer Phasen-Rahmen, OWASP-Top-10 oder OWASP ASVS als Test-Tiefe für Web-Anwendungen, OSSTMM für Infrastruktur, MASVS für Mobile. Wir beschreiben den vollständigen Ablauf eines Pentests aus Kunden-Perspektive im Cluster Penetrationstest Ablauf — Sieben Phasen im Detail.
Wesentliche Merkmale: das Scope ist eng und vorhersagbar, die IT-Abteilung ist meist informiert (häufig sogar mit Test-Accounts und Architektur-Dokumentation versorgt = Grey-Box), und das Ziel ist Breite — möglichst viele relevante Schwachstellen finden, damit das Team sie beheben kann. Ein guter Pentest-Report umfasst typischerweise zwischen zehn und dreißig Befunden, jeder mit klarer Reproduktion, technischer Klassifikation und Priorisierung.
Was ist ein Red-Team-Assessment?
Ein Red-Team-Assessment ist eine Angriffs-Simulation gegen ein gesamtes Unternehmen, ausgerichtet auf ein konkretes Geschäfts-Ziel. Typische Ziele: „Zugriff auf die Kunden-Datenbank erlangen“, „Domain-Admin-Rechte im Active Directory erreichen“, „eine Überweisung im ERP-System auslösen“, „Quellcode des Hauptprodukts exfiltrieren“. Wie das Red-Team dieses Ziel erreicht, ist (innerhalb eines vorab vereinbarten Regelwerks) frei wählbar.
Die Methodik orientiert sich am MITRE ATT&CK-Framework — der weltweit etablierten Taxonomie realer Angreifer-Techniken — und wird oft mit Threat-Intelligence über tatsächliche Angreifer-Gruppen unterfüttert, die das Unternehmen oder seine Branche tatsächlich ins Visier nehmen würden. Das Red-Team arbeitet in OPSEC-konformer Geschwindigkeit — also bewusst langsam, unauffällig, mit Tools und Techniken, die echte Angreifer auch nutzen.
Ein kritischer Unterschied zum Pentest: nur ein sehr kleiner Kreis im Unternehmen weiß, dass die Übung läuft („Trusted Agent“, oft Geschäftsleitung plus CISO). Die IT- und SOC-Teams sind nicht informiert. Ihre Reaktion auf die simulierten Angriffe ist Teil der Bewertung — bemerken sie die Aktivität? Wann? Reagieren sie korrekt? Welche Eskalations-Kette greift?
Die wichtigsten Unterschiede im Detail
Zielsetzung. Pentest: Breite an Befunden. Red-Team: Tiefe einer Angriffs-Kette. Ein Red-Team mag einen einzigen Initial-Access-Vektor nutzen — etwa eine Phishing-Mail an drei gut recherchierte Personen — und davon ausgehend in vier Wochen Domain-Admin werden. Der Befunds-Report ist dann kurz: ein dokumentierter Pfad in elf Schritten. Aber er beantwortet die Frage „Geschäfts-Risiko“ konkreter als jeder Befunds-Katalog mit 50 generischen Items.
Methodik. Pentest nutzt automatisierte Scanner als Breite, manuelle Tests als Tiefe, ggf. Code-Review bei Grey-Box. Red-Team verzichtet meist auf laute Scanner (würde detektiert werden) und nutzt Techniken wie Living-off-the-Land, Custom-Implants, langsame DNS-Tunnel, gezielte Spear-Phishing-Kampagnen und legitime Cloud-Services als Command-and-Control-Kanäle.
OPSEC. Bei einem Pentest ist OPSEC nicht das Thema — die IT weiß Bescheid und ignoriert die Test-IPs. Bei einem Red-Team ist OPSEC zentral — wenn das SOC den Angriff binnen Tagen erkennt, ist das ein Befund (positiv für die Detection-Kapazität); wenn es sechs Wochen unentdeckt bleibt, ist das auch ein Befund (kritisch).
Multi-Vektor. Pentests fokussieren meist auf einen Technologie-Bereich (Web, Infrastruktur, AD, Cloud). Red-Team-Engagements kombinieren typischerweise mehrere Vektoren — Phishing für Initial Access, dann interner Lateral Movement, dann Cloud-Pivot, ggf. Physical-Intrusion in einem Standort. Diese Multi-Vektor-Dimension entspricht der Realität moderner APT-Kampagnen besser als ein isolierter Tech-Test.
Kommunikation während des Engagements. Pentest: tägliche Touchpoints, oft Daily-Stand-ups mit dem Auftraggeber-Team. Red-Team: stille Phasen über Wochen, nur Kontakt zum sehr kleinen Trusted-Agent-Kreis, mit klaren „Safe Words“ für Notfall-Abbruch.
Output. Pentest liefert technischen Befunds-Katalog mit CVSS-Scores. Red-Team liefert ein Angriffs-Narrativ — die nacherzählte Kill-Chain mit Zeitstempeln, betroffenen Systemen, eingesetzten Techniken (MITRE ATT&CK Mapping) — sowie eine Detection-Gap-Analyse: wo hat die Verteidigung gegriffen, wo nicht, was sollte sie sehen können.
Unsicher, was zu Ihrem Reifegrad passt? Wir klären es in einem 30-Minuten-Gespräch.
Wir sagen Ihnen offen, ob ein klassischer Pentest, ein Purple-Team-Workshop oder ein volles Red-Team-Assessment für Ihre aktuelle Detection-Kapazität sinnvoll ist — und was es realistisch kostet.
Erstgespräch vereinbarenWann brauche ich was? Drei realistische Szenarien
Szenario A — IT-Basis ohne dediziertes Sicherheits-Team
Sie haben eine IT-Abteilung, die operative Themen abdeckt, ggf. einen externen Hoster, aber keinen dedizierten Sicherheits-Verantwortlichen, kein SOC, kein SIEM. Ein Red-Team ohne Detection-Team zu testen ergibt keinen Sinn — es würde nur dokumentieren, dass niemand etwas sieht (was Sie auch ohne Test wissen). Stattdessen: klassischer Pentest gegen die exponiertesten Systeme, kombiniert mit kontinuierlicher externer Validierung. Maximaler Wert pro Euro für 80 Prozent aller Mittelständler.
Szenario B — Aufgebaute Sicherheits-Funktion, lernendes SOC
Sie haben einen ISB, ein EDR im Rollout, erste SIEM-Use-Cases, ggf. ein junges SOC oder einen MSSP-Vertrag. Ein vollständiges Red-Team wäre noch zu viel — Ihr Team würde aus den Ergebnissen lernen, aber nicht effizient. Purple-Team-Sessions liefern den größeren Erkenntnis-Gewinn: gemeinsam mit dem Red-Team konkrete MITRE-ATT&CK-Techniken durchspielen, Detection prüfen, Use-Cases tunen. Häufig pro Übungseinheit zehn bis zwanzig Techniken behandelt, sofort verbesserbare Detection-Regeln.
Szenario C — Reifes SOC, gewachsene Detection-Kapazität
Sie haben ein dediziertes SOC mit 24/7-Reaktion, ein gut konfiguriertes SIEM mit dokumentierten Use-Cases, ein EDR mit aktiver Verfolgung, definierte Eskalations-Pfade. Hier ergibt ein Red-Team-Assessment Sinn — es bewertet realistische Angriffs-Resistenz, deckt blinde Flecken in der Detection-Kette auf und liefert dem SOC echtes Übungs-Material. Frequenz: alle 18 bis 24 Monate sinnvoll, dazwischen kleinere thematische Engagements (Cloud-Red-Team, AD-Red-Team, Phishing-Resistance).
Aus unserer Beratungs-Praxis: rund 80 Prozent der Mittelständler liegen in Szenario A, etwa 15 Prozent in Szenario B, vielleicht 5 Prozent in Szenario C. Wer in Szenario A ein Red-Team kauft, verbrennt Budget für eine Bewertung, die das Unternehmen noch nicht verwerten kann — die Befunde wären „Detection fehlt komplett“, was ohne Test bekannt ist, und „Lateral-Movement war trivial möglich“, was an einer komplett anderen Stelle (Active-Directory-Härtung) ansetzen müsste.
Purple-Team — der pragmatische Mittelweg
Purple-Teaming ist die kollaborative Variante: Red und Blue arbeiten in derselben Sitzung zusammen. Statt heimlicher Angriffs-Simulation führt das Red-Team konkrete Techniken live durch, und das Blue-Team beobachtet in Echtzeit, ob die Tooling-Kette diese Technik sieht. Wo eine Lücke auftaucht, wird sie sofort adressiert: Log-Source ergänzen, Detection-Regel anpassen, Alarm-Konfiguration nachbessern.
Vorteile: schnelle Lern-Kurve für das Verteidigungs-Team, sofortige Verbesserungen statt monatelangem Wartens auf einen Red-Team-Report, deutlich geringere Kosten pro behandelte ATT&CK-Technik. Nachteil: misst nicht die reale Detection-Performance unter echten Bedingungen — das tut nur ein verdeckte Red-Team-Übung.
Unsere klare Empfehlung für die meisten Mittelständler mit beginnender Detection-Kapazität: Purple-Team-Sessions in einem regelmäßigen Rhythmus (etwa quartalsweise) statt seltener großer Red-Team-Engagements. Die Wirkung ist messbar besser und das Budget passt zur typischen Mittelstands-Realität.
Threat-Led Penetration Testing — TIBER-EU als Sonderfall
Für Finanzinstitute unter EZB-Aufsicht gilt seit 2018 das TIBER-EU-Framework. Es ist im Kern ein hoch reguliertes Red-Team-Format mit drei zusätzlichen Bausteinen: einer expliziten Threat-Intelligence-Phase zu tatsächlichen Angreifer-Gruppen, einer engen Begleitung durch die nationale Zentralbank, und einem strukturierten Test-Manager-Rollenmodell, das die Trennung zwischen Auftraggeber, Threat-Intel-Lieferant, Red-Team-Provider und Auswerter formalisiert.
Mit DORA (Digital Operational Resilience Act, voll wirksam ab 2025 für Banken und Versicherer) wird ein vergleichbares Konzept — TLPT (Threat-Led Penetration Testing) — für eine wachsende Zahl regulierter Finanzakteure verpflichtend. Für klassische Mittelständler außerhalb der Finanzwelt ist TIBER/TLPT nicht relevant, aber die Methodik-Konzepte (Threat-Intel-getriebene Szenarien, Detection-Gap-Analyse, MITRE-ATT&CK-Mapping) sind übertragbar und werden zunehmend als „Stand der Technik“ für Red-Team-Engagements verstanden.
Wenn keines passt — was dann?
Drei Alternativen, die für die meisten Mittelständler kostengünstiger und zugleich wertvoller sind als ein voreilig gekauftes Red-Team:
Continuous Validation / Breach-and-Attack-Simulation (BAS). Plattformen, die kontinuierlich definierte Angriffs-Techniken simulieren und die Detection-Kette testen — ohne menschlichen Red-Team-Aufwand. Kosten typisch 30.000 bis 80.000 Euro pro Jahr. Unsere eigene Reepa-Security-Plattform deckt die externe Angriffsfläche kontinuierlich ab und ergänzt klassische Pentest-Engagements mit monatlichen Soll/Ist-Reports. Mehr im Cybersecurity-Pillar.
Thematische Tiefe-Pentests. Statt eines „bunten“ Red-Teams gezielt einzelne Hochrisiko-Bereiche tief prüfen: Active-Directory-Audit, Cloud-Hauptkonto, kritische Custom-Anwendung. Drei thematische Pentests à 25.000 Euro liefern oft mehr verwertbare Erkenntnisse als ein 100.000-Euro-Red-Team in einer Organisation, die für die Red-Team-Form noch nicht reif ist.
Phishing-Simulation als Eintritts-Übung. Wer wissen will, wie resistent das eigene Personal gegen Social Engineering ist, kann mit einer fokussierten Phishing-Simulation starten — ohne den vollen Red-Team-Aufwand. Mehr im Cluster Phishing-Simulation für Mitarbeiter.
Häufige Fragen
Was ist der Unterschied zwischen Penetrationstest und Red-Team-Assessment?
Ein Penetrationstest ist eine breite, scope-gebundene Schwachstellen-Suche in einem definierten System. Ziel: möglichst viele relevante Befunde dokumentieren. Ein Red-Team-Assessment ist eine ziel-gebundene Angriffs-Simulation gegen das gesamte Unternehmen, oft ohne enges Scope. Ziel: nachweisen, ob ein realistischer Angreifer ein konkretes Geschäfts-Ziel (Zugriff auf Kunden-Datenbank, Domain-Admin, Auslösen einer Überweisung) erreichen kann — und ob das interne Sicherheits-Team es bemerkt. Pentest = Breite an Befunden, Red-Team = Tiefe einer Angriffs-Kette.
Brauche ich als Mittelständler ein Red-Team?
Meistens noch nicht. Ein Red-Team-Assessment ergibt erst Sinn, wenn ein funktionierendes Detection-Team existiert (SOC, EDR, SIEM mit Alerts und 24/7-Reaktion) — denn ein wesentlicher Output eines Red-Teams ist die Bewertung, wie gut die Detection-Kette funktioniert. Ohne Detection gibt es nichts zu testen. Für die meisten Mittelständler ist ein klassischer Penetrationstest, kombiniert mit kontinuierlicher Validierung, deutlich wertvoller. Red-Team kommt typischerweise erst ab Reifegrad-Level 3-4 sinnvoll in Frage.
Was kostet ein Red-Team-Assessment?
Realistisch zwischen 60.000 und 200.000 Euro für eine Standard-Engagement von 6 bis 12 Wochen. Größere Engagements mit Multi-Vektor-Phasen (Phishing, Physical, Cloud, OT-Initial-Access) bewegen sich bei 150.000 bis 400.000 Euro. Im Vergleich kostet ein typischer Web-Application-Pentest 15.000 bis 50.000 Euro, eine umfassendere Infrastruktur-Bewertung 30.000 bis 80.000 Euro. Red-Team ist nicht teurer pro Tag, sondern in Summe — weil Tage und Beteiligte mehr sind. Mehr Details im Cluster Pentest-Kosten.
Wie lange dauert ein Red-Team-Assessment?
Ein realistisches Red-Team dauert 6 bis 12 Wochen Kalenderzeit für ein mittleres Unternehmen. Davon sind 3 bis 5 Wochen aktive Operations-Tage, der Rest ist Pre-Engagement (Threat-Intelligence-basiertes Szenario), Wartezeiten in OPSEC-konformer Geschwindigkeit (Angreifer arbeiten nicht im 8-Stunden-Sprint) und Reporting. Frameworks wie TIBER-EU sehen längere Engagements vor — typisch 12 bis 20 Wochen — weil sie explizite Threat-Intelligence-Phasen vorschreiben.
Was ist Purple-Teaming?
Purple-Teaming ist die Zusammenführung von Red- (Angriff) und Blue-Team (Verteidigung) in einer kollaborativen Übung. Statt geheimer Angriffs-Simulation arbeitet das Red-Team mit den Verteidigern zusammen — führt eine konkrete Angriffs-Technik (z.B. Kerberoasting) live durch, prüft mit dem Blue-Team, ob deren EDR/SIEM die Aktivität sieht, und tunet gemeinsam die Detection. Ergebnis: konkret verbesserte Detection-Kontrollen, oft pro Übungseinheit zehn bis zwanzig MITRE-ATT&CK-Techniken durchgegangen. Bestes Preis-Leistungs-Verhältnis für die meisten Mittelständler mit beginnender Detection-Kapazität.
Sind Red-Teams in Deutschland reguliert?
Für klassische Mittelständler nicht. Für Banken im SSM (Single Supervisory Mechanism) der EZB gilt seit 2018 das TIBER-EU-Framework — Threat Intelligence-Based Ethical Red Teaming — als empfohlener Rahmen für Red-Team-Engagements unter Aufsicht der nationalen Zentralbanken. Für kritische Infrastrukturen wird mit DORA (für Banken/Versicherer ab 2025) und perspektivisch im NIS2-Kontext erwartet, dass „Threat-Led Penetration Testing“ verbindlicher Bestandteil wird. Wer in regulierten Branchen tätig ist, sollte den TIBER-EU-Ansatz kennen, auch wenn er heute (noch) nicht zwingend ist.
Wir beraten Sie ehrlich — auch wenn die Antwort „noch kein Red-Team“ ist.
In einem 30-Minuten-Gespräch bewerten wir Ihren Reifegrad und empfehlen das passende Format: klassischer Pentest, Purple-Team-Session oder vollständiges Red-Team. Inklusive grober Budget-Spanne.
Erstgespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über Pentest-Methodik, Red-Team-Reifegrad-Bewertung und Detection-Engineering.
Geprüft am: 22. Mai 2026 · Mehr über Hakan