Cyberkriminalität ist ein lukratives Geschäftsmodell für organisiertes Verbrechen. Angriffe werden oft lange geplant, die Bedrohungslage ändert sich stetig. Als Unternehmen den Fokus auf reine Hacking-Abwehr zu legen, reicht nicht mehr aus. Welche Konzepte besser auf die Sicherheitsprüfung und Verteidigung einzahlen, erläutert dieser Beitrag.
Die Methoden der Cyberkriminellen werden immer komplexer und raffinierter. Arbeiten Sicherheitsteams schon beim Security Testing frühzeitig zusammen, erreichen sie schneller und effizienter mehr Sicherheit.
Es gibt zwei große Einfallstore, über die Cyberkriminelle in die IT-Infrastruktur eines Unternehmens eindringen: über technische Schwachstellen in der Software und über menschliche Schwachstellen bei unbedachtem oder falschem Verhalten. Dass die schiere Anzahl von Angriffen, aber auch ihre Schwere zunimmt, ist bekannt. Im April 2020 registrierte der Sicherheitstacho der Deutschen Telekom bis zu 46 Millionen Hacking-Angriffe an einem Tag, Tendenz steigend. Sogenannte Hacking-Dienste und Ransomware werden immer mächtiger und stehen schon „as a Service“ offen zur Verfügung. Die Strukturen der Cyber-Kriminalität befinden sich ebenfalls in einer ständigen Weiterentwicklung. Es zeichnet sich eine starke Arbeitsteilung ab, von der Suche der Angriffspunkte, über die Entwicklung von Angriffswerkzeugen hin zur Planung und Durchführung der Angriffe, wie eine Studie von E.R. Leukfeldt und T.J Holt zeigt.
Nicht nur die Struktur wird komplexer, auch die eingesetzten technischen Komponenten: Künstliche Intelligenz und Machine Learning unterstützen beim Erkennen von Mustern und Profilen, indem etwa intelligente Bots soziale Netze, Foren und Websites durchcrawlen. So können Angreifende beim sogenannten „Spear Phishing“ auf eine Zielperson individuell zugeschnittene Mails oder Nachrichten erstellen, über die dann sensible Daten aus dem Unternehmensnetzwerk geschleust werden können, ohne dabei verhaltensbasierte Überwachungsmechanismen auszulösen – die KI hat sie ja von der Zielperson gelernt. Die Methoden werden also immer komplexer und raffinierter und beziehen sowohl technische als auch menschliche Schwachstellen mit ein. Die Nutzung von Cloud, IoT und Mobile Computing haben die Angriffsfläche vergrößert, für Unternehmen kommt die immer größere Komplexität ihrer IT-Umgebung hinzu. Ein klassischer Perimeterschutz reicht für eine Verteidigung nicht mehr aus.
Red Team: Ethical Hacking aus Sicht des Angreifers
Traditionelle Penetrationstests oder Vulnerability Scans konzentrieren sich meist auf die technischen Aspekte der Verwundbarkeit und prüfen nur einzelne Bereiche der IT-Infrastruktur. Der beschriebenen Komplexität der IT-Umgebungen und Angriffsmethoden werden sie nicht mehr gerecht. Der menschliche Faktor bleibt hier unbeachtet. Beim ganzheitlicheren Red- und Blue-Team-Ansatz hingegen bedienen sich Security-Expert*innen Methoden aus der Militärstrategie: Das Red Team agiert aus der Sicht des Angreifenden. Es bekommt die Aufgabe, die Sicherheitsvorkehrungen zu überwinden und in ein bestimmtes System einzudringen, etwa um an eine bestimmte Information zu gelangen. Das Red Team muss dafür verschiedene Angriffsvektoren kreativ kombinieren – auch Social Engineering und Phishing. Dieser Ansatz bietet sich an, wenn das gesamte Sicherheitsniveau eines Unternehmens systemübergreifend geprüft werden soll und nicht nur einzelne Bausteine im System. Es entsteht eine umfassende Sicht auf mögliche Risiken und macht bereits erfolgte Angriffe leichter nachvollziehbar. Dieser Ansatz kann verdeutlichen, ob die getroffenen Sicherheitsvorkehrungen greifen und neue Schwachstellen identifizieren.
Blue-Team: Verteidigungsstrategien entwickeln
Bekommt das Red Team einen Gegenspieler, das sogenannte Blue Team, so ist dessen Aufgabe die Verteidigung. Es soll das Red Team aufspüren und daran hindern, den Angriff erfolgreich durchzuführen. Eine zunächst undankbare Aufgabe, die aber deutlich zeigt, wo es an Verteidigungsmaßnahmen fehlt, wo es schwierig ist, den Überblick über die Infrastruktur, vor allem im Hinblick auf Schatten-IT, Smartphones oder Homeoffice-IT, zu behalten. Es ist also nicht unbedingt Ziel, das Red Team abzuwehren, sondern vielmehr weitere Erkenntnisse über das Sicherheitsniveau und die Effektivität der Gegenmaßnahmen herauszufinden. Aus dem Angriffsmanöver und der damit erzeugten Krisensituation lassen sich aus den beiden Blickwinkeln von Red und Blue Team ganzheitliche Schlüsse ziehen.
Purple Team: Dank schnellem Informationsaustausch gemeinsam zum Ziel
Wenn nicht erst am Ende eines solchen Testmanövers die Erkenntnisse aus beiden Seiten gezogen werden, sondern beide Teams kooperieren, spricht man vom Purple Team. Hier teilen sich beide Seiten schon während des Manövers die Ergebnisse. So kann etwa das Red Team nach einer ersten Schwachstellenanalyse bereits die gefundene Sicherheitslücke mitteilen und spart so dem Blue Team Zeit und Energie, das sonst alle potenziellen Lücken durchtesten müsste und möglicherweise an falschen Stellen Sicherheitsmechanismen unnötig erhöht. Schneller Informationsaustausch kann so vor Fehlinvestitionen schützen und effizienter zu einem geeigneten Maßnahmenplan führen. Der gemeinschaftliche Ansatz fördert zudem eine offene Fehlerkultur, da sich die Teams nicht „bis zum bitteren Ende“ gegeneinander ausspielen, sondern gemeinsam an einer Lösung arbeiten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Hacking und Faktor Mensch: Mitarbeitende sensibilisieren und schulen
Social Engineering, wie Phishing, nutzt Stresssituationen von Mitarbeitenden aus, in denen sie vornehmlich unüberlegt handeln und etwa eine KI-individualisierte Nachricht nicht als Angriff identifizieren. Keine noch so gute Sicherheitsmaßnahme kommt gegen so einen Angriff an. Es hilft hier am besten, die Aufmerksamkeit der Mitarbeitenden zu schulen und immer hoch zu halten. Das gilt nicht nur vor einem Angriff, sondern auch, wenn Auffälligkeiten im Arbeitsbetrieb auftauchen. Im Schnitt dauert es laut dem „Cost of a Data Breach Report 2019“ von IBM 206 Tage, um einen Datendiebstahl zu erkennen und 73 weitere, um diesen einzudämmen. Hier können regelmäßige Testversände von Phishing Mails vor allem in Unternehmen mit sensiblen Gesundheits- oder Forschungsdaten Schwachstellen aufdecken und so die Wachsamkeit erhöhen. So konnte die Dresdner Apogepha Arzneimittel GmbH mit einem solchen Testversand eine Grundlage für passgenaue Schulungsmaßnahmen der Mitarbeitenden aufbauen.
Das Identifizieren der Schwachstellen und geeigneter Gegenmaßnahmen sollte aber bestenfalls nur ein Teil einer gesamten Cyber Resilience-Strategie sein, die weitergehend Recovery- und Business Continuity-Methoden miteinschließt. Diese wiederum sollte als ständiger Kreislauf und nie als abgeschlossenes Projekt verstanden werden. Je ganzheitlicher und umfassender alle Prozesse aufeinander abgestimmt sind, umso besser sind Unternehmen vor Angriffen geschützt.
Über den Autor: Thomas Haase ist Leiter des Bereiches Certified Security bei T-Systems MMS und mit diesem Teil der Einheit für Penetrationstests von Telekom Security. Er sensibilisiert mittels Live-Hacking für potenzielle Sicherheitslücken und führt vor, welche aktuellen Angriffstechniken und Vorgehensweisen sich Hacker zu Nutze machen, um in die technischen Systeme von Unternehmen vorzudringen. Seine Schwerpunkte sind Infrastructure and Application Security, Penetration Tests und Source Code Analysen. Er ist zertifiziert als ISO27001 Lead Auditor, Certified Ethical Hacker und TeleTrusT Information Security Professional (TISP).
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/images.vogel.de/vogelonline/bdb/1757100/1757163/original.jpg "Die Red Teams decken Lücken mit Charme, gefälschten Keycards und technischer Expertise auf. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8d/38/8d3812a1cf1ad4a41c2ef5bd234ceeac/96667569.jpeg "Damit Unternehmen die IT- und physische Security gewährleisten können, sollten regelmäßig Security Testings durchgeführt werden. (©Елена Мирзоева - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/7b/d77bfeb894f49e5a797f61c7b244b869/0126382893v4.jpeg "White-Hat-Hacker prüfen Systeme gezielt auf Schwachstellen und werden so zu strategischen Partnern einer wirksamen Cybersicherheitsstrategie. (Bild: © MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/0d/8d0da497c32bc516eb32b5774767c1d3/0125829188v2.jpeg "Die MCTTP 2025 bringt Fachleute aus Technik und Recht zusammen, um aktuelle Herausforderungen und praktische Ansätze in der IT-Sicherheit aus unterschiedlichen Perspektiven zu beleuchten. (Bild: Vogel IT-Akademie )")