Wie unterscheidet sich ein Red-Team-Einsatz von einem Penetrationstest?
Kurzantwort
Ein Pentest zielt auf breite Abdeckung — so viele Schwachstellen wie möglich in einem abgegrenzten Ziel finden. Ein Red Team ist zielgetriebene Adversary Emulation: ein Ziel wählen (z. B. die wertvollsten Daten erreichen), die TTPs eines bestimmten Bedrohungsakteurs emulieren, verdeckt bleiben, um Detektion und Reaktion zu testen, und lautes Scanning vermeiden. Red Teaming misst das blaue Team und die ganze Organisation, nicht nur das Asset; beide brauchen strenge Rules of Engagement und Autorisierung.
Ein Red Team mit einem Pentest zu verwechseln, ist ein klassisches Junior-Anzeichen. Sie teilen das Tooling, beantworten aber unterschiedliche Fragen, und Interviewer stellen diese Frage, um zu sehen, ob Sie den Zweck hinter der Methodik verstehen und nicht nur die Exploits.
Der Kernunterschied: Abdeckung gegen Ziel
Ein Penetrationstest optimiert auf Abdeckung — innerhalb eines definierten Scopes so viele Schwachstellen wie möglich aufzählen und validieren und alle berichten. Lärm ist in Ordnung; das blaue Team weiß meist, dass es passiert.
Ein Red-Team-Einsatz ist zielgetriebene Adversary Emulation. Sie wählen ein konkretes, am Geschäftsrisiko ausgerichtetes Ziel — die Kundendatenbank exfiltrieren, Domain Admin erlangen, das Zahlungssystem erreichen — und emulieren das Handwerk eines relevanten Bedrohungsakteurs (oft an die TTPs von MITRE ATT&CK angelehnt), um es zu erreichen. Entscheidend: Sie testen die Detektion und Reaktion der Organisation, also zählt Verdecktheit; lautes Schwachstellen-Scanning würde den Zweck zunichtemachen.
Red-Team-Methodik
Sie folgt der Kill Chain: Reconnaissance, Initial Access (oft Phishing oder externe Ausnutzung), C2 etablieren, Privilegieneskalation, Lateral Movement und Actions on Objective — alles unter Minimierung des erkennbaren Fußabdrucks. Das Maß des Erfolgs ist nicht „wie viele Bugs", sondern „haben sie das Ziel erreicht, und hat das blaue Team es gesehen?".
Rules of Engagement
Beide erfordern eine schriftliche Autorisierung, aber die ROE eines Red Teams sind strenger: explizite Ziele, tabuisierte Systeme und Techniken, Zeiten, ein Deconfliction-Kanal, damit das blaue Team „seid ihr das?" bestätigen kann, und ein Get-out-of-Jail-Schreiben, das bei jeder physischen oder Social-Engineering-Aktivität mitgeführt wird. Realismus bedeutet nie, die Autorisierung zu überspringen.
Wann was wählen
Empfehlen Sie einen Pentest, wenn die Organisation viele Schwachstellen finden und beheben will oder am Anfang ihrer Reife steht. Empfehlen Sie ein Red Team, wenn sie ein funktionierendes Sicherheitsprogramm hat und testen will, ob ihre Menschen, Prozesse und Detektion einen entschlossenen Angreifer tatsächlich stoppen.
Worauf Interviewer achten
Sie wollen den Rahmen Abdeckung gegen Ziel, ein Bewusstsein für Verdecktheit und das Testen der Detektion, die auf MITRE ATT&CK basierende Emulation und die Reife, auf Autorisierung und Deconfliction zu bestehen.
Wahrscheinliche Anschlussfragen
- Was muss ein Red-Team-Rules-of-Engagement-Dokument festlegen, das ein Pentest-Dokument vielleicht nicht?
- Was ist ein Deconfliction- oder Get-out-of-Jail-Prozess und warum brauchen Sie einen?
- Wann würden Sie einem Kunden einen Pentest statt eines Red Teams empfehlen?