Article disponible en allemand
Cet article n'est actuellement disponible qu'en allemand. Nous travaillons à la traduction de notre contenu en français.
Lire en allemandSicherheitstests im Vergleich
Red Teaming vs. Penetrationstest: Der vollständige Vergleich
Red Teaming und Penetrationstests sind die beiden wichtigsten offensiven Sicherheitstests – doch sie verfolgen grundlegend unterschiedliche Ziele. Ein Penetrationstest identifiziert möglichst viele technische Schwachstellen in einem definierten Scope. Ein Red-Teaming-Engagement simuliert einen realistischen Angriff auf Ihre gesamte Organisation, um Lücken in Menschen, Prozessen und Technologie aufzudecken. Welcher Ansatz für Ihr Unternehmen der richtige ist, hängt von Ihrer Sicherheitsreife, Ihrem Budget und Ihren regulatorischen Anforderungen ab.
Kurzantwort
Wenn Sie technische Schwachstellen in bestimmten Systemen finden möchten, wählen Sie einen Penetrationstest (CHF 8'000-25'000). Wenn Sie wissen möchten, ob ein motivierter Angreifer Ihre gesamte Verteidigung überwinden kann, wählen Sie Red Teaming (CHF 30'000-80'000). Die meisten Unternehmen profitieren davon, mit regelmässigen Penetrationstests zu beginnen und bei höherer Sicherheitsreife Red Teaming hinzuzufügen.
Der Vergleich auf einen Blick
| Kriterium | Penetrationstest | Red Teaming |
|---|---|---|
| Ziel | Möglichst viele Schwachstellen finden | Realistische Angriffssimulation, Testen der Gesamtverteidigung |
| Scope | Definierter Bereich (z.B. Webanwendung, Netzwerk, API) | Gesamte Organisation (IT, Menschen, Prozesse, physisch) |
| Dauer | 1-3 Wochen | 4-12 Wochen |
| Methodik | Systematische Schwachstellensuche (z.B. OWASP, PTES) | Threat-Intelligence-basierte Angriffssimulation (z.B. MITRE ATT&CK) |
| Wissen der Verteidiger | IT-Team ist informiert | Nur minimale Einweihung (need-to-know) |
| Angriffsvektoren | Primär technisch | Technisch, Social Engineering, physisch, Supply Chain |
| Ergebnis | Priorisierte Schwachstellenliste mit Massnahmen | Angriffs-Narrative, Verteidigungs-Bewertung, strategische Empfehlungen |
| Kosten (Schweiz) | CHF 8'000 – 25'000 | CHF 30'000 – 80'000 |
| Frequenz | Mindestens jährlich | Alle 1-3 Jahre |
| Für wen | Alle Unternehmen | Unternehmen mit reifer Sicherheitsorganisation |
Was ist ein Penetrationstest?
Ein Penetrationstest (kurz: Pentest) ist eine systematische, autorisierte Sicherheitsprüfung, bei der erfahrene Sicherheitsexperten versuchen, Schwachstellen in einem klar definierten Scope zu identifizieren und auszunutzen. Der Fokus liegt darauf, möglichst alle technischen Schwachstellen zu finden und deren Auswirkungen zu bewerten.
Typische Pentest-Szenarien
- Externer Penetrationstest: Angriff auf die öffentlich erreichbare Infrastruktur (Webserver, VPN-Gateways, E-Mail-Server)
- Interner Penetrationstest: Simulation eines Angreifers im internen Netzwerk (z.B. nach Phishing-Kompromittierung)
- Web Application Pentest: Prüfung einer Webanwendung auf OWASP Top 10 und weitere Schwachstellen
- API-Pentest: Sicherheitsprüfung von REST- und GraphQL-APIs
- Mobile App Pentest: Prüfung von iOS- und Android-Anwendungen
- Cloud Pentest: Sicherheitsprüfung von AWS-, Azure- oder GCP-Umgebungen
Was ein Pentest typischerweise aufdeckt
Praxisbeispiele aus unseren Engagements
- SQL Injection in einer Kundenplattform: Bei einem Schweizer E-Commerce-Unternehmen konnten wir über eine SQL-Injection-Schwachstelle die gesamte Kundendatenbank mit über 50'000 Datensätzen auslesen. Behebungsaufwand: 2 Stunden. Potentieller Schaden ohne Pentest: Millionen CHF plus nDSG-Konsequenzen.
- Unsichere API-Authentifizierung: Eine Banking-API erlaubte durch fehlendes Rate Limiting und schwache Token-Validierung den Zugriff auf fremde Kontodaten. Die Schwachstelle war seit einem Refactoring 6 Monate unentdeckt geblieben.
- Veraltete SSL/TLS-Konfiguration: Ein Finanzdienstleister nutzte noch TLS 1.0 auf mehreren externen Systemen, was Man-in-the-Middle-Angriffe ermöglichte – ein klarer Verstoss gegen FINMA-Anforderungen.
Was ist Red Teaming?
Red Teaming ist eine umfassende Angriffssimulation, bei der ein Team von Sicherheitsexperten versucht, vordefinierte Ziele zu erreichen – genau so, wie es ein realer Angreifer tun würde. Im Gegensatz zum Pentest ist das Ziel nicht, alle Schwachstellen zu finden, sondern zu prüfen, ob die Verteidigungsmassnahmen einer Organisation einem gezielten, motivierten Angreifer standhalten können.
Was Red Teaming einschliesst
- Reconnaissance: Umfangreiche Aufklärung über das Zielunternehmen (OSINT, Social Media, technische Aufklärung)
- Initial Access: Eindringen in die Organisation durch Phishing, Vishing, physischen Zugang oder technische Exploits
- Lateral Movement: Ausbreitung im Netzwerk, Privilege Escalation, Zugriff auf sensible Systeme
- Objective Completion: Erreichen des vereinbarten Ziels (z.B. Zugriff auf Finanzdaten, Domain Admin, Exfiltration)
- Evasion: Umgehung von Sicherheitsmassnahmen wie EDR, SIEM, SOC-Monitoring
Was Red Teaming typischerweise aufdeckt
Praxisbeispiele aus unseren Engagements
- Phishing bis Domain Admin in 4 Stunden: Bei einem Schweizer Industrieunternehmen gelang es uns, über eine gezielte Spear-Phishing-Kampagne einen Mitarbeitenden zu kompromittieren und innerhalb von 4 Stunden Domain-Admin-Rechte zu erlangen – ohne dass das SOC den Vorfall bemerkte. Dies deckte kritische Lücken im E-Mail-Filtering, Endpoint Detection und SOC-Monitoring auf.
- Physischer Zugang zum Rechenzentrum: Durch Social Engineering und Tailgating gelangten wir in das Rechenzentrum eines Finanzdienstleisters. Von dort aus konnten wir direkt auf das Core-Banking-System zugreifen. Die Zugangskontrollen waren technisch vorhanden, aber die Mitarbeitenden waren nicht für Tailgating-Angriffe sensibilisiert.
- Supply-Chain-Kompromittierung: Über einen kompromittierten IT-Dienstleister mit VPN-Zugang konnten wir die gesamte Active-Directory-Infrastruktur eines Versicherungsunternehmens übernehmen. Die Drittpartei-Zugänge waren weder segmentiert noch ausreichend überwacht.
Wann sollten Sie welchen Ansatz wählen?
Wählen Sie einen Penetrationstest, wenn...
- Sie ein neues System, eine neue Anwendung oder eine neue Infrastruktur vor dem Go-Live prüfen möchten
- Sie die Anforderungen des nDSG oder anderer Datenschutzvorschriften erfüllen müssen
- Sie spezifische technische Schwachstellen in einem definierten Bereich identifizieren möchten
- Ihr Budget begrenzt ist und Sie den grössten Sicherheitsgewinn pro investiertem Franken erzielen möchten
- Sie noch keine regelmässigen Sicherheitstests durchführen und eine Basislinie schaffen möchten
- Ein Compliance-Auditor oder Kunde einen Pentest-Bericht verlangt
Wählen Sie Red Teaming, wenn...
- Sie bereits regelmässige Penetrationstests durchführen und Ihre Sicherheitsreife weiter testen möchten
- Sie wissen möchten, ob Ihre SOC-Prozesse und Incident-Response-Fähigkeiten funktionieren
- Die FINMA oder andere Regulatoren eine Red-Teaming-Übung erwarten (z.B. TIBER-CH)
- Sie die Widerstandsfähigkeit Ihrer Organisation gegen gezielte Angriffe testen möchten
- Sie die Effektivität Ihrer Sicherheitsinvestitionen ganzheitlich validieren möchten
- Ihre Organisation ein hohes Bedrohungsprofil hat (Finanzsektor, kritische Infrastruktur, Pharma)
Empfehlung für die meisten Unternehmen
Starten Sie mit jährlichen Penetrationstests, um eine solide Sicherheitsbasislinie zu schaffen. Sobald die identifizierten Schwachstellen konsequent behoben werden und grundlegende Sicherheitsprozesse etabliert sind, ergänzen Sie Red Teaming, um Ihre Gesamtverteidigung zu testen. Die Kombination beider Ansätze bietet den umfassendsten Schutz.
Kosten in der Schweiz: Realistische Budgets
Die Kosten für Sicherheitstests in der Schweiz variieren je nach Anbieter, Scope und Komplexität. Hier eine realistische Orientierung basierend auf dem aktuellen Schweizer Markt:
Kostenvergleich
| Testtyp | Kostenrahmen (CHF) | Typische Dauer |
|---|---|---|
| Web Application Pentest | 8'000 – 15'000 | 1-2 Wochen |
| Externer Infrastruktur-Pentest | 10'000 – 18'000 | 1-2 Wochen |
| Interner Netzwerk-Pentest | 12'000 – 22'000 | 1-2 Wochen |
| Umfassender Pentest (extern + intern + Web) | 18'000 – 35'000 | 2-4 Wochen |
| Red Teaming (Standard) | 30'000 – 55'000 | 4-8 Wochen |
| Red Teaming (TIBER-konform) | 55'000 – 80'000 | 8-12 Wochen |
Bei der Bewertung der Kosten sollten Sie den Return on Investment berücksichtigen: Laut dem IBM Cost of a Data Breach Report 2024 belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung in der Schweiz auf CHF 4,7 Millionen. Ein präventiver Sicherheitstest, der eine solche Verletzung verhindert, amortisiert sich um ein Vielfaches.
Welche regulierten Branchen brauchen was?
| Branche / Regulierung | Penetrationstest | Red Teaming |
|---|---|---|
| Alle Unternehmen (nDSG) | Dringend empfohlen | Optional |
| Banken Kategorie 4-5 (FINMA) | Pflicht (jährlich) | Empfohlen |
| Banken Kategorie 3 (FINMA) | Pflicht (jährlich) | Dringend empfohlen |
| Systemrelevante Banken (FINMA) | Pflicht (jährlich) | Erwartet (TIBER-CH) |
| Versicherungen (FINMA) | Pflicht (jährlich) | Empfohlen |
| Gesundheitswesen | Dringend empfohlen | Empfohlen für Spitäler |
| Kritische Infrastruktur (ISG) | Pflicht | Dringend empfohlen |
| Pharma / Life Sciences | Dringend empfohlen | Empfohlen bei hohem IP-Wert |
Der ideale Sicherheitstest-Zyklus
Für Unternehmen, die eine umfassende Sicherheitsstrategie aufbauen möchten, empfehlen wir folgenden Zyklus:
- Jahr 1: Umfassender Penetrationstest als Basislinie. Schwachstellen beheben. Awareness Training starten.
- Jahr 1 (Halbjahr): Re-Test der behobenen Schwachstellen. Cloud Security Assessment, falls relevant.
- Jahr 2: Erneuter Penetrationstest plus erstes Red-Teaming-Engagement. Purple-Teaming-Workshop zur Verbesserung der Detection.
- Jahr 3+: Jährlicher Pentest-Zyklus. Red Teaming alle 2-3 Jahre. Kontinuierliches Awareness Training. Regelmässige Cloud Security Reviews.
Sie sind unsicher, welcher Ansatz für Ihr Unternehmen der richtige ist? Buchen Sie eine kostenlose Bedrohungsanalyse – unsere Experten empfehlen Ihnen den optimalen Testansatz basierend auf Ihrem Risikoprofil, Ihrer Branche und Ihrem Budget.
🏔️ Weiterführende Ressourcen
RedTeam Partners ist stolzer Träger des Alpine-Excellence-Siegels für herausragende Schweizer Cybersicherheit.
Häufig gestellte Fragen (FAQ)
Kann ein Penetrationstest Red Teaming ersetzen?
Nein, die beiden Ansätze ergänzen sich, ersetzen sich aber nicht gegenseitig. Ein Penetrationstest fokussiert sich auf technische Schwachstellen in einem definierten Scope und identifiziert möglichst viele Lücken. Red Teaming testet die Gesamtverteidigung inklusive Menschen und Prozesse unter realistischen Bedingungen. Ein Pentest findet die Schwachstellen – Red Teaming zeigt, ob ein Angreifer sie in einer Angriffskette nutzen kann, um tatsächlichen Schaden zu verursachen, und ob Ihre Verteidiger den Angriff bemerken würden.
Wie lange dauert ein Red-Teaming-Engagement im Vergleich zu einem Pentest?
Ein typischer Penetrationstest dauert 1-3 Wochen. Ein Red-Teaming-Engagement dauert in der Regel 4-12 Wochen, wobei die aktive Angriffsphase meist 4-8 Wochen umfasst. Hinzu kommt eine Vorbereitungsphase für Reconnaissance und Threat Intelligence sowie eine Nachbereitungsphase mit Purple Teaming und Berichterstattung. Ein TIBER-konformes Red Teaming kann insgesamt bis zu 6 Monate dauern.
Brauchen wir ein SOC, bevor wir Red Teaming durchführen?
Ein SOC oder zumindest grundlegende Detection-Fähigkeiten sind empfehlenswert, aber nicht zwingend notwendig. Tatsächlich kann ein Red-Teaming-Engagement gerade dann besonders wertvoll sein, wenn es aufzeigt, dass der Organisation Detection-Fähigkeiten fehlen. Allerdings ergibt Red Teaming den grössten Mehrwert, wenn grundlegende Sicherheitsmassnahmen bereits implementiert sind und getestet werden sollen. Ohne diese Grundlage empfehlen wir, zuerst mit einem Penetrationstest zu starten.
Was ist Purple Teaming und wie passt es ins Bild?
Purple Teaming ist die Zusammenarbeit zwischen dem Red Team (Angreifer) und dem Blue Team (Verteidiger) in einem strukturierten Workshop-Format. Dabei werden die Angriffstechniken des Red Teams Schritt für Schritt mit dem Blue Team durchgegangen, um die Detection und Response gezielt zu verbessern. Purple Teaming ist oft der wertvollste Teil eines Red-Teaming-Engagements und wird von uns als Standard in jedes Red-Teaming-Projekt integriert.
Welche Zertifizierungen sollte der Anbieter haben?
Achten Sie auf anerkannte Zertifizierungen sowohl auf Unternehmens- als auch auf Personenebene. Auf Unternehmensebene ist CREST (Council of Registered Ethical Security Testers) der internationale Goldstandard. Auf Personenebene sind OSCP (Offensive Security Certified Professional), OSCE, CRTO und CREST CRT/CCT anerkannte Qualifikationen. Für TIBER-konforme Red-Teaming-Engagements ist eine CREST-Zertifizierung typischerweise Voraussetzung. RedTeam Partners ist CREST-akkreditiert und unser Team verfügt über OSCP- und weitere anerkannte Zertifizierungen.