Zum Inhalt springen

Nächste Bootcamp-Ausgabe
4. Mai 2026

Defensive Security

Red Team / Blue Team

Sicherheitstestmethodik, bei der Red Teams offensive Angriffe simulieren, während Blue Teams verteidigen und reagieren, wobei beide Teams zusammenarbeiten, um die Sicherheitslage der Organisation zu verbessern.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Warum es wichtig ist

Das Red-Team/Blue-Team-Modell bietet den realistischsten Test der Sicherheitsfähigkeiten einer Organisation. Durch die Simulation echter Angriffe gegen echte Verteidigungen entdecken Organisationen Lücken, die keine andere Testmethode aufdeckt.

Die Terminologie stammt aus militärischen Übungen, bei denen gegnerische Kräfte (Rot) gegen verbündete Kräfte (Blau) antreten. In der Cybersicherheit greifen Red Teams an, während Blue Teams verteidigen – beide mit dem Ziel, die Gesamtsicherheit zu verbessern.

Dieser Ansatz testet nicht nur technische Kontrollen, sondern auch Erkennungsfähigkeiten, Reaktionsprozesse und organisatorische Kommunikation unter Druck. Er offenbart, ob ein Unternehmen einen entschlossenen Angreifer aufhalten könnte – nicht nur, ob einzelne Sicherheitstools funktionieren.

Red Team

Rolle und Ziele

Red Teams simulieren gegnerisches Verhalten, um Sicherheit zu testen:

red-team-ziele.txt
Text

Red-Team-Ziele:

Primär:
- Definierte Ziele erreichen (Datenexfiltration, Domain-Admin usw.)
- Realistische Angriffe simulieren
- Sicherheitslücken aufdecken

Sekundär:
- Blue-Team-Fähigkeiten testen
- Incident-Response-Prozesse validieren
- Erkennungslücken identifizieren
- Risikobasierte Empfehlungen liefern

Typische Aktivitäten

Aufklärung

  • OSINT über Mitarbeiter und Infrastruktur
  • Externe Angriffsfläche kartieren
  • Credential-Suche in Breach-Datenbanken

Erstzugriff

Operationen nach Erstzugriff

  • Persistenz etablieren
  • Privilegien eskalieren
  • Lateral bewegen
  • Ziele erreichen

Werkzeuge und Techniken

red-team-tools.txt
Text

Gängige Red-Team-Werkzeuge:

Command & Control:
- Cobalt Strike
- Sliver
- Mythic
- Brute Ratel

Phishing:
- GoPhish
- Evilginx2
- Modlishka

Post-Exploitation:
- Mimikatz
- BloodHound
- Rubeus
- PowerShell Empire

Blue Team

Rolle und Ziele

Blue Teams verteidigen Organisationen und reagieren auf Bedrohungen:

blue-team-ziele.txt
Text

Blue-Team-Ziele:

Prävention:
- Sicherheitskontrollen implementieren
- Schwachstellen beheben
- Sicherheitsrichtlinien durchsetzen

Erkennung:
- Bedrohungen überwachen und identifizieren
- Alerts untersuchen
- Bedrohungen jagen

Reaktion:
- Vorfälle eindämmen
- Bedrohungen beseitigen
- Systeme wiederherstellen
- Lessons Learned erfassen

Kernfunktionen

Security Operations

  • SIEM-Überwachung
  • Alert-Triage
  • Threat Hunting
  • Continuous Monitoring

Incident Response

  • Erkennung und Analyse
  • Eindämmung und Beseitigung
  • Wiederherstellung
  • Post-Incident-Aktivitäten

Sicherheitstechnik

  • Erkennungsregeln entwickeln
  • Sicherheitstools optimieren
  • Infrastruktur absichern

Werkzeuge und Technologien

  • SIEM: Splunk, Microsoft Sentinel, Elastic
  • EDR: CrowdStrike, Microsoft Defender, SentinelOne
  • SOAR: Automatisierung und Orchestrierung
  • Threat Intelligence: MISP, ThreatConnect

Purple Team

Konzept

Purple Teams kombinieren Red- und Blue-Team-Aktivitäten für kollaboratives Sicherheitstesten:

purple-team-ansatz.txt
Text

Purple-Team-Ansatz:

1. Red Team führt Technik aus
 - Spezifische ATT&CK-Technik
 - Kontrollierte Umgebung

2. Blue Team beobachtet
 - Erkennung überprüfen
 - Alerts analysieren

3. Gemeinsame Analyse
 - Was wurde erkannt?
 - Was wurde übersehen?
 - Warum wurde es übersehen?

4. Verbesserung
 - Erkennungsregeln anpassen
 - Neue Detektionen entwickeln
 - Prozesse verbessern

5. Wiederholung
 - Verbesserung validieren
 - Nächste Technik

Vorteile

  • Schnellere Verbesserung durch direkte Zusammenarbeit
  • Unmittelbares Feedback zu Erkennungsfähigkeiten
  • Wissenstransfer zwischen Teams
  • MITRE ATT&CK-basierte Abdeckungsverbesserung

Red-Team-Übungen planen

Scoping

exercise-scoping.txt
Text

Red-Team-Engagement planen:

Ziele definieren:
- Was soll getestet werden?
- Spezifische Szenarien (APT, Insider usw.)
- Geschäftskritische Assets

Regeln des Engagements:
- Erlaubte Techniken
- Ausschlüsse (DoS, destruktiv)
- Zeitrahmen
- Eskalationsprozeduren

Blue-Team-Awareness:
- Weiß Blue Team Bescheid?
- Teilweise informiert (bekannter Zeitrahmen)
- Vollständig verdeckt

Erfolgskriterien:
- Wie wird Erfolg gemessen?
- Ziele für Red Team
- Metriken für Blue Team

Durchführung

  • Klare Kommunikationskanäle etablieren
  • Eskalationskontakte definieren
  • Alle Aktivitäten dokumentieren
  • Regelmäßige Check-ins

Berichterstattung

  • Angriffspfade detailliert dokumentieren
  • Erkennungs- und Reaktionsbewertung
  • Priorisierte Empfehlungen
  • Executive Summary

Karrierewege

Red/Blue Team Rollen (US-Markt)

RoleEntry LevelMid LevelSenior
SOC Analyst (Blue)55 $75 $100 $
Penetration Tester80 $110 $145 $
Red Team Operator95 $130 $175 $
Threat Hunter (Blue)90 $120 $155 $

Source: CyberSeek

Red-Team-Karrierepfad

  1. Penetration Tester
  2. Senior Penetration Tester
  3. Red Team Operator
  4. Red Team Lead

Blue-Team-Karrierepfad

  1. SOC Analyst
  2. Senior Analyst / Threat Hunter
  3. Detection Engineer / IR Specialist
  4. SOC Manager / Security Architect
Im Bootcamp

Wie wir Red Team / Blue Team unterrichten

In unserem Cybersecurity-Bootcamp lernen Sie nicht nur Red Team / Blue Team in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 8: Erweiterte Sicherheitsoperationen

Verwandte Themen, die Sie beherrschen werden:Incident ResponseDFIRThreat HuntingVolatility
Sehen Sie, wie wir das unterrichten

360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote