Red Team
CANCOM Offense Center
Wie gut kennen Sie Ihre tatsächliche Angriffsfläche? Red Teaming zeigt, wo Ihre Organisation wirklich verwundbar ist – unter realistischen Bedingungen und ohne Vorwarnung. CANCOM simuliert gezielte, praxisnahe Angriffe auf Ihre IT-Infrastruktur, Prozesse und physische Sicherheit, um Risiken frühzeitig zu erkennen und Ihre Widerstandsfähigkeit nachhaltig zu stärken.
Unser modularer Ansatz geht dabei weit über klassische Penetrationstests hinaus: Von Social Engineering über Darknet-Analysen bis hin zu Cloud-, OT- und AI-Audits decken wir verborgene Schwachstellen auf und schaffen die Grundlage für eine zukunftssichere Cyberabwehr.
Red Teaming: Realistische Angriffssimulationen für maximale Cyber-Resilienz
Red Teaming stellt Ihre IT-Sicherheit gezielt auf den Prüfstand: Unsere Experten agieren wie reale Angreifer, um Schwachstellen in Ihrer Infrastruktur unter möglichst realistischen Bedingungen aufzudecken. Die gewonnenen Erkenntnisse fließen direkt in die Arbeit des Blue Teams (CANCOM Cyber Defense Center) ein und stärken so nachhaltig die Widerstandsfähigkeit Ihrer Organisation gegenüber echten Angriffen.
Red Teaming nutzt ein breites Spektrum an Techniken, um Schwachstellen in IT-Systemen, Geschäftsprozessen und der physischen Sicherheit aufzudecken. Im Gegensatz zu klassischen Penetrationstests simuliert das Red Team realistische, mehrstufige Angriffe – inklusive Social-Engineering-Methoden wie Spear Phishing, die gezielt menschliche Schwächen adressieren. Ziel ist es, die Erkennungs- und Widerstandsfähigkeit eines Unternehmens gegenüber komplexen Angriffsszenarien ganzheitlich zu testen.
Neben digitalen Angriffen überprüft das Red Team auch die physische Sicherheit, etwa durch Tests von Zutrittskontrollen oder simulierte Einbruchsversuche. So werden nicht nur technische, sondern auch strukturelle Schwachstellen sichtbar, die die Sicherheitslage langfristig beeinflussen. Die gewonnenen Erkenntnisse unterstützen sowohl das Blue Team in der Verteidigung als auch das Purple Team in der Weiterentwicklung der Sicherheitsstrategie.
Unsere Herangehensweise folgt einem modularen Ansatz, bei dem je nach gewähltem Modul spezifische Schwachstellen der IT-Infrastruktur identifiziert werden. Während klassische Penetrationstests vor allem automatisierte Tools einsetzen, kombiniert ein Red Teaming-Ansatz diese mit individuell abgestimmten Prüfmethoden. Unsere Experten analysieren die vorhandene Infrastruktur im Detail und wählen gezielt Methoden aus, die das tatsächliche Risiko realitätsnah abbilden.
Red Teaming ermöglicht es Unternehmen, ihre IT-Sicherheit unter realitätsnahen Bedingungen zu testen und gezielt zu stärken. Durch simulierte Cyberangriffe lassen sich Schwachstellen in Anwendungen, Systemen und Prozessen frühzeitig erkennen und effektiv schließen. Das Red Team nutzt dafür vielfältige Angriffstechniken – ein zentrales Element moderner Offensive-Security-Strategien.
Die enge Zusammenarbeit mit dem Blue Team schafft wertvolle Synergien: Erkenntnisse aus den Angriffssimulationen fließen direkt in die Verteidigung ein, wodurch eine kontinuierlich optimierte Sicherheitsarchitektur entsteht. So stärken Sie nachhaltig die Cyber-Resilienz Ihrer Organisation und entwickeln eine Sicherheitsstrategie, die auf reale Bedrohungen vorbereitet ist.
Security Audit Module
Unsere Security Audit Module orientieren sich an der Unified Kill Chain-Struktur „In – Through – Out“. Sie bildet realistische Angriffsschritte ab – vom initialen Zugang über die laterale Bewegung bis hin zur möglichen Datenabflusssituation.
Supply Chain Security Monitoring
Das Darknet wird kontinuierlich nach sensiblen Unternehmensdaten und Informationen von Zulieferern durchsucht.
- Durchgehendes Monitoring auf neue Erwähnungen im Darknet
- Suche im Darknet nach firmenspezifischen Daten
- Möglichkeit, schnell auf potenzielle Angriffe zu reagieren und diese abzuwehren
OSINT – Darknet Snapshot
Open Source Intelligence (OSINT) umfasst die einmalige Erfassung, Untersuchung und Analyse frei verfügbarer Unternehmensinformationen sowie deren Bewertung im Hinblick auf mögliche Angriffsszenarien.
- Identifikation kritischer, öffentlich zugänglicher Informationen
- Recherche im Darknet nach unternehmensbezogenen Daten
- Suche nach firmeninternen Dokumenten
Externes Audit
Das externe Audit simuliert einen Angreifer aus dem Internet.
- Überprüfung der öffentlich erreichbaren IT-Infrastruktur (z.B. Mail-, FTP- und VPN-Server, Webapplikationen)
- Durchführung ohne Social Engineering
Applikation Audit
Das Applikationsaudit bewertet die Sicherheit Ihrer Cloud-, Web-, Mobile- und Client-Anwendungen.
- Untersuchung der Anwendungslogik und falls erforderlich der zugrundeliegenden Server-/OS-Infrastruktur
- Prüfung gemäß einschlägiger Standards und Normen (z.B. OWASP API Security Top 10, OWASP Top 10, OWASP Mobile Security)
- Inklusive Source-Code-Analyse nach Bedarf
Social Engineering
Überprüfung der Security Awareness Ihrer Mitarbeiter
Vor Ort:
- Physisches Eindringen (Überwindung des Perimeters)
- Durchsuchung interner Bereiche nach sensiblen Informationen
- Aktive Einflussnahme auf Mitarbeiter
- USB-Dropping
Remote:
- Durchführung breit angelegter und gezielter Phishing-Kampagnen
- Simulation von Vishing-/Smishing-Angriffen
Awareness Schulung
Schulung zur Identifikation und korrekten Handhabung realistischer Angriffsmethoden
- Konkrete Bedrohungen praxisnah erklärt
- Praktische Vorgehensweisen
Internes Audit
Ein internes Audit simuliert einen Angreifer, der bereits Zugang zum internen Netzwerk erlangt hat.
- Überprüfung des internen Netzwerks, einschließlich Active Directory, Dateifreigaben und Anwendungen
OT Audit
Unternehmensweite Überprüfung der Netzwerkabschottung mit Fokus auf Zugriffe in die Produktionsumgebung
- Bewertung der Sicherheit der Produktionsumgebung anhand relevanter Standards und Normen
- Prüfung von SCADA- und Leittechnik-Netzen (OT)
- Überprüfung der Zugriffskontrolle/Fernwartung
AI and LLM Audit
Überprüfung von AI-Systemen sowie deren Integration in die IT-Struktur
- Bewertung gemäß OWASP Top 10 for Machine Learning
- Data Leakage
- Prompt-Injection- und Jailbreak-Szenarien
- Supply Chain Vulnerabilities/Sensitive Data Disclosure
- Data Poisoning/Overreliance
- Model Theft
Audit vs. Red Teaming
Audit:
- Systematische Identifikation und Priorisierung technischer Schwachstellen
- Fokus auf klar abgegrenzte Systeme, Dienste und Konfigurationen
- Ergebnis: Strukturierter Bericht mit Findings, Risikobewertung und Handlungsempfehlungen
Red Teaming:
- Fokus auf definierte Angriffsziele (z. B. Mailzugang, ERP, Domain-Admin)
- Test der gesamten Angriffskette: Erkennung, Reaktion und interne Prozesse
- Ergebnis: Detaillierte Angriffstimeline inkl. Replay-Workshop; Prozess- und Ablaufoptimierung steht im Vordergrund (identifizierte Schwachstellen sind sekundär)
Ansätze und Methoden im Überblick
Unser Vorgehen orientiert sich am TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming). Dabei werden ausschließlich die zu erreichenden Ziele definiert – Zeitpunkt, Methode und Angriffsweg bestimmt der simulierte Angreifer selbst. Die folgenden Red Team-Module zeigen, welche Ansätze wir dafür einsetzen.
Simulation eines Angreifers ohne Einschränkungen, der versucht, Zugriff auf das interne Netzwerk zu erhalten.
- Abdeckung verschiedener realitätsnaher Angriffsszenarien
- Überprüfung des gesamten externen Perimeters (Systeme, Personal etc.)
Simulation eines Angreifers ohne Einschränkungen, der bereits einen initialen Zugang erhalten hat und sich im internen Netzwerk ungehindert ausbreiten kann, um definierte Ziele zu erreichen.
- Überprüfung des internen Angriffsvektors inklusive Abwehrmechanismen und IT-Security-Prozesse
- Abdeckung verschiedener realistischer Angriffsszenarien
Überprüfung, wie weit ein Angreifer im Unternehmen vordringen kann, ohne vom Security Operations Center (SOC) entdeckt zu werden.
- Durchführung mehrstufiger Tests zur Bewertung von Detektions- und Reaktionszeiten des SOC
In Zusammenarbeit mit dem SOC-Team werden definierte Ziele verfolgt, um verschiedene Angriffe zu simulieren.
- Generierung von Indicators of Compromise (IoCs) für das SOC-Team über Replay-Workshops
- Ableitung neuer Regeln und Maßnahmen, damit Angriffe künftig schneller erkannt werden
Red, Blue & Purple: Realistische Angriffe, echte Abwehr
Damit Red-Teaming-Ergebnisse effektiv in Ihre Sicherheitsstrategie einfließen, arbeiten Red Team und Blue Team eng zusammen:
Das Red Team übernimmt die Perspektive realer Angreifer, identifiziert Schwachstellen und testet Angriffspfade.
Das Blue Team überwacht die Systeme, erkennt Angriffe und verbessert kontinuierlich die Verteidigungsmechanismen.
Das Purple Team fungiert als Bindeglied: Es koordiniert Erkenntnisse beider Seiten und übersetzt sie in konkrete Maßnahmen – für eine ganzheitliche, belastbare Sicherheitsstrategie.
Durch dieses Zusammenspiel werden Sicherheitsmaßnahmen praxisnah getestet, optimiert und an reale Bedrohungen angepasst. So entsteht eine kontinuierlich stärkere Verteidigungsfähigkeit Ihrer Organisation.
Red Team Security Reports
Alle Erkenntnisse aus dem Zusammenspiel von Red, Blue und Purple Team fließen anschließend in klare und verständliche Security Reports ein. Daher gliedern wir unsere Ergebnisse in zwei klar definierte Bereiche:
- Executive Summary für das Management
- Detaillierte Befunde für das technische Team.
Wir liefern nicht nur die identifizierten Schwachstellen, sondern bewerten diese hinsichtlich ihres Risikos und geben klare Empfehlungen zur effektiven Behebung.
Unsere Red Team-Assessments erfüllen die Anforderungen des IT-Sicherheitsgesetzes (IT-SiG 2.0), der NIS2-Richtlinie sowie relevanter BSI-Standards. Wir arbeiten nach international anerkannten Frameworks wie TIBER-EU, PTES und NIST und setzen auf erfahrene, zertifizierte Auditoren (u. a. OSCP, ISO 27001). Für Banken und Versicherungen bieten wir darüber hinaus TIBER-DE-konforme Tests an.
Lassen Sie uns gemeinsam herausfinden, wie wir Ihre IT-Sicherheit stärken können – wir freuen uns auf Ihre Anfrage.
