In der heutigen digitalen Welt sind Unternehmen ständig Cyberbedrohungen ausgesetzt. Cyberkriminelle nutzen raffinierte Methoden, um Schwachstellen auszunutzen, Daten zu stehlen oder Geschäftsprozesse zu stören. Die wachsende Vernetzung – von Cloud-Diensten über Mobile Apps bis IoT-Geräten – vergrössert die Angriffsfläche, während regulatorische Anforderungen steigen. Ein klares Verständnis der eigenen Sicherheitslage ist deshalb entscheidend: Welche Schwachstellen existieren, wie gut funktionieren Abwehrmechanismen, und halten interne Prozesse realen Bedrohungen stand? Hier helfen verschiedene Sicherheitsprüfungen, die unterschiedliche Aspekte der IT-Sicherheit adressieren. Begriffe wie Penetrationstest, Schwachstellenscan, Red Teaming und Purple Teaming werden dabei oft verwendet – jedoch nicht immer richtig unterschieden, was zu falschen Erwartungen führen kann. Doch was genau verbirgt sich hinter diesen Begriffen, und worin liegen die wesentlichen Unterschiede?

Hinter jedem dieser Begriffe stehen spezifische Methoden mit unterschiedlichen Zielsetzungen, Vorgehensweisen und Ergebnissen. Ein grundlegendes Verständnis dieser Unterschiede ist essenziell, um die richtige Sicherheitsmassnahme für die individuellen Bedürfnisse eines Unternehmens zu wählen, denn nicht jede Methode ist für jedes Unternehmen oder jeden Anwendungsfall geeignet – und nicht selten führt eine falsche Wahl dazu, dass kritische Sicherheitslücken übersehen oder die Erwartungen an eine Massnahme nicht erfüllt werden.

Die verschiedenen Ansätze im Überblick

Ein Schwachstellenscan ist eine automatisierte Überprüfung Ihrer IT-Systeme auf bekannte Sicherheitslücken. Dabei werden Ihre Systeme automatisiert mit einer Datenbank bekannter Schwachstellen abgeglichen. Diese Methode ist effizient und kostengünstig, liefert jedoch nur eine oberflächliche Analyse und berücksichtigt keine individuellen Konfigurationen oder komplexen Angriffsszenarien.

Im Gegensatz zum Schwachstellenscan simulieren unsere Sicherheitsexperten bei einem Penetrationstest gezielte Angriffe auf Ihre Systeme. Dabei werden sowohl automatisierte Tools als auch manuelle Techniken eingesetzt, um Schwachstellen aufzudecken und deren Ausnutzbarkeit zu prüfen. Ein Penetrationstest ist umfassender und individueller als ein Schwachstellenscan und kann auch unbekannte und komplexe Schwachstellen identifizieren, die ein automatisierter Scan nicht erkennt, wie beispielsweise Autorisierungsfehler oder logische Schwachstellen. Er ermöglicht ausserdem eine realistische Einschätzung des tatsächlichen Risikos unter Berücksichtigung von Businessaspekten.

Red Teaming geht über die technische Überprüfung hinaus und simuliert reale Angriffe auf Ihre gesamte Organisation. Dabei geht es nicht primär darum, Schwachstellen aufzudecken, sondern das Vorgehen von Angreifenden nachzubilden. Ein Team von erfahrenen Sicherheitsexperten versucht, mittels verschiedener Techniken – darunter Social Engineering, Phishing und Malware – in Ihr Unternehmen einzudringen und definierte Ziele zu erreichen. Dies dient dazu, die Widerstandsfähigkeit Ihrer Organisation gegenüber komplexen Cyberangriffen zu testen und insbesondere die Detektions- und Reaktionsfähigkeiten Ihres Sicherheitsteams zu überprüfen.

Beim Purple Teaming arbeiten Angreifende (Red Team) und Verteidigende (Blue Team) eng zusammen. Während des Tests tauschen beide Teams kontinuierlich Informationen und Erkenntnisse aus. Dieser Ansatz ermöglicht es, “Blind Spots” in der Detektion aufzudecken und die Sicherheitslage Ihres Unternehmens nachhaltig zu verbessern, indem die Verteidigungsstrategien in Echtzeit optimiert wird.

Besonders sichtbar werden die Unterschiede, wenn man die einzelnen Ansätze auf eine entsprechende Methodik wie den Penetration Testing Execution Standard (PTES) anwendet und in die relevanten Einzelschritte runterbricht:

Hier wird sichtbar, dass einzelne Teilschritte von PTES in gewissen Prüfansatzen wie beispielsweise einem Schwachstellenscan gar nie durchlaufen werden. Andere Schritte sind, je nach Prüfansatz, Teil der Vorbereitung und werden somit gemeinsam erarbeitet, während andere wiederum Teil der Durchführung sind und somit vom Dienstleister alleine erarbeitet werden.

Worin liegen die Unterschiede?

Obwohl alle genannten Ansätze die Verbesserung der Cybersecurity zum Ziel haben, unterscheiden sie sich in Methodik, Umfang und Zielsetzung. Ein Schwachstellenscan liefert eine schnelle und breite Übersicht über bereits bekannte Sicherheitslücken. Durch die ausschliesslich automatisierte Durchführung lässt er sich sehr effizient und sehr breit ausführen, da er durch ausschliesslich automatisierte Elemente ideal skaliert. Durch die sehr breite und effiziente Abdeckung ist die sogenannte “False Positiv” Rate jedoch höher als bei anderen Dienstleistungen, da die identifizierten Schwachstellen nur teilweise und oberflächlich verifiziert werden. Auch gibt es gewisse Gruppen an Schwachstellen, welche mit automatisierten Ansätzen schlicht nicht identifiziert werden können, da dafür ein umfassenderes Verständnis der Prüfziele notwendig ist, als dies ein Stück Software zumindest aktuell noch erfassen kann.

Ein Penetration Test setzt genau dort an und ergänzt automatisierte Tests mit manuellen Prüfungen, um ein umfassendes Bild zu erlangen. Zusätzlich werden identifizierte Schwachstellen aktiv ausgenutzt und in einen für das Prüfziel relevanten Kontext gesetzt. Durch die Integration von manuellen Elementen geht eine solche Prüfung sehr viel tiefer, reduziert die “False Positive” Rate und liefert ein umfassenderes und detailierteres Gesamtbild - fordert jedoch gleichzeitig mehr Aufwand und skaliert durch die manuellen Elemente schlechter.

Red Teaming geht nochmals einen Schritt weiter und simuliert reale, für ein bestimmtes Ziel zugeschnittene und optimierte Angriffe auf die gesamte Organisation, um die Abwehrmechanismen und Reaktionen gesamtheitlich auf die Probe zu stellen. Um dabei dem Ziel, möglichst lange unentdeckt zu bleiben, gerecht zu werden, werden automatisierte Prüfungen und Angriffe nur äusserst selektiv und ausgewählt eingesetzt, was den Anteil an manueller Arbeit und dadurch auch den Gesamtaufwand merklich erhöht. Dadurch kann jedoch nochmals eine realistischere und umfassendere Beurteilung der gesamten Unternehmung erreicht werden, was eine ideale Basis für eine umfassende Risikobetrachtung, Priorisierung von zusätzlichen Massnahmen, Ausbau von Detektions- und Reaktionsfähigkeiten und mehr bietet.

Im Purple Teaming schlussendlich werden im Red Teaming getrennt agierenden Angreifende (Red Team) und Verteidigende (Blue Team) kombinitiert und gezielte Angriffe in einem kollaborativen Ansatz und im stetigen Austausch durchgeführt. Dies führt dazu, dass selbst kleinste sogenannte “Blind Spots” in den Detektionsfähigkeiten direkt und umfassend erkannt und nachgebessert werden können. Durch den kollaborativen Ansatz entsteht auch der Vorteil, dass nicht nur Lösungsvarianten direkt besprochen und ausprobiert werden, sondern auch Regressions- und sonstige weiterführende Tests direkt ausgeführt werden können.

Was bedeutet das für Sie?

Leider nutzt eine kleine Anzahl an Anbietern diese Unschärfe in der Abgrenzung, dem fehlenden, einheitlichen Verständnis und der teilweise auch fehlenden Erfahrung von Kunden zum eigenen Vorteil aus. Sie verkaufen beispielsweise einen Schwachstellenscan auch mal als Penetration Test oder einen Penetration Test als Red Teaming. Die Leistung erscheint attraktiv, verspricht aber weit mehr als sie halten kann. Das Dillemma dabei: Der Kunde merkt meist erst nach Abschluss des Projektes, anhand des Schlussberichtes und der identifizierten Risiken, dass irgendetwas einfach nicht so ganz zusammenpasst. Das Projekt ist zu diesem Zeitpunkt aber bereits abgeschlossen, der Testzeitraum ist ausgelaufen und die Applikation muss live gehen oder das Audit für die Rezertifizierung steht bereits im Haus. Den Kunden bleibt nichts anderes übrig, als sich mit dem Ergebnis abfinden, obwohl möglicherweise davon ausgegangen wird, dass sehr wahrscheinlich noch unbekannte Schwachstellen in dem Prüfscope existieren, der an sich vollständig hätte getestet werden sollen.

Aus diesem Grund fragen wir bei Redguard bei unseren Kunden, auch bei Anfragen nach spezifischen Dienstleistungen, nach den Absichten und Zielen, die mit einem Vorhaben erreicht werden sollen, sodass wir dies gegen unser Verständnis der einzelnen Dienstleistungen prüfen können und so eine für den Kunden passende Dienstleistung anbieten können.

Möchten auch Sie die Sicherheit in Ihrer Unternehmung mit simulierten Angriffen verbessern, sind sich aber unsicher, welche Dienstleistung ihre Ziele am Besten unterstüzt? Dann melden Sie sich bei uns und lassen Sie sich von unseren Experten beraten!