Der Schritt vom Pentester zum Red Teamer klingt nach einer logischen Weiterentwicklung. In der Praxis zeigt sich jedoch schnell, dass es kein gradueller Ausbau bestehender Fähigkeiten ist, sondern ein echter Perspektivwechsel. In diesem Artikel beschreiben wir, wie wir neue Mitarbeitende auf genau diesen Wechsel vorbereiten – und was dabei wirklich den Unterschied macht.
Der häufigste Irrtum
Mitarbeitende, die sich für das Red-Teaming-Thema interessieren, kommen häufig aus dem Infrastruktur- oder Active-Directory-Pentesting und gehen davon aus, dass der Schritt hinüber ins Red Teaming ein kleiner sein wird.
In der Praxis zeigt sich jedoch schnell: Red Teaming ist kein erweiterter Penetrationstest, sondern ein anderer Ansatz.
Während klassische Penetrationstests darauf abzielen, möglichst viele Schwachstellen in einem begrenzten Zeitfenster zu identifizieren, geht ein Red-Team-Assessment deutlich weiter. Es kombiniert technische Angriffe, physische Zutrittsversuche und Social Engineering, um die Wirksamkeit technischer, organisatorischer und menschlicher Abwehrmaßnahmen ganzheitlich zu überprüfen.
Im Fokus steht dabei nicht primär das schnelle Finden von Schwachstellen, sondern das möglichst realitätsnahe Emulieren eines Angreifers. Dazu gehört es auch, über längere Zeiträume unentdeckt zu bleiben, um tatsächliche Angriffsverläufe und Reaktionsfähigkeiten unter realen Bedingungen bewerten zu können.
Dieses Ziel erfordert ein anderes Mindset, angepasste Herangehensweisen und die Fähigkeit, das eigene Vorgehen kontinuierlich zu hinterfragen und weiterzuentwickeln.
Erfahrung im Infrastruktur-Penetrationstest ist aus unserer Sicht dabei aber eine sehr gute Basis.
Insbesondere sollten neue Red Teamer gängige Active-Directory-Angriffe sicher beherrschen, typische Fehlkonfigurationen erkennen und ein solides Verständnis für etablierte Tools und Techniken mitbringen. Ohne dieses Fundament wird Red-Teaming schnell zu blindem Tool-Einsatz.
Die entscheidenden Unterschiede: Mindset und OPSEC
Die größten Unterschiede liegt nicht primär in den verwendeten Tools, sondern im Mindset und Herangehensweise.
Ein Red Teamer muss kontinuierlich reflektieren, welche Spuren das eigene Handeln hinterlässt und wie ein Verteidiger darauf reagieren könnte. Jede Aktion sollte bewusst hinterfragt werden, insbesondere im Hinblick auf ihre Sichtbarkeit.
Operational Security (OPSEC) wird damit zu einem zentralen Element. Es geht nicht primär darum, ein Ziel möglichst schnell zu erreichen, sondern ein realistisches Angriffsszenario abzubilden. In der Praxis bedeutet das häufig, bewusst auf den vermeintlich einfacheren oder direkteren Weg zu verzichten und stattdessen einen Ansatz zu wählen, der besser zur angenommenen Angreiferperspektive passt.
Dieses Umdenken erfordert Zeit und entsteht nicht allein durch Theorie oder Zertifizierungen, sondern vor allem durch praktische Erfahrung.
Kontinuierliches Lernen als Grundvoraussetzung
Red Teaming ist ein Bereich mit kurzer Halbwertszeit. Erkennungsmechanismen entwickeln sich stetig weiter und Standard-Tools werden zunehmend zuverlässig erkannt.
Wer sich nicht kontinuierlich weiterbildet, wird zwangsläufig sichtbar.
Deshalb ist aus unserer Sicht die Lernbereitschaft einer der wichtigsten Faktoren. Eigenständiges Einarbeiten in neue Themen, das Verfolgen aktueller Entwicklungen und ein generelles Interesse an der Materie sind entscheidend.
Diese Eigenschaft ist im Red Teaming oft wichtiger als im klassischen Penetrationstest, da sich die Anforderungen deutlich schneller verändern und die Konsequenzen von Erkennung eine andere Tragweite haben. Während in klassischen Penetrationstest auch ältere Tools oder bekannte Techniken häufig weiterhin zuverlässig funktionieren und eine Erkennung für das Ergebnis meist weniger kritisch ist, kann im Red Teaming eine Entdeckung das gesamte Szenario beeinflussen oder vorzeitig beenden.
Sinnvolle Zertifizierungen und Trainings
Zertifizierungen können beim Einstieg helfen, sollten aber nicht als Selbstzweck verstanden werden.
Als besonders praxisnah haben sich die Trainings von ZeroPoint Security erwiesen. Insbesondere der CRTO (Certified Red Team Operator) und CRTL (Certified Red Team Lead) vermitteln ein gutes Grundverständnis für Red-Team-Operationen, Operational Security und strukturierte Vorgehensweisen.
Sie eignen sich daher gut, um ein erstes Gefühl für die Denkweise im Red-Teaming zu entwickeln.
Ergänzend können weitere Trainings sinnvoll sein (beispielweise „wie baue ich eine sichere Red Team Infrastruktur auf“, „wie entwickle ich eigene Malware“ oder Weiterbildungen im Bereich Social Engineering oder physische Pentests), wobei der Fokus weniger auf der Menge an Zertifikaten liegen sollte, sondern auf deren inhaltlichem Mehrwert und darauf abgestimmt sein sollte, welche Skills im Team noch fehlen.
Programmierkenntnisse als Multiplikator
Ein oft unterschätzter Aspekt im Red Teaming ist die Fähigkeit, Code zu verstehen und anzupassen.
Kenntnisse in Programmiersprachen wie C sind besonders hilfreich, um bestehende Tools zu modifizieren und deren Erkennung zu erschweren. Viele Sicherheitslösungen arbeiten unter anderem mit statischen Signaturen, die sich durch kleinere Anpassungen im Code umgehen lassen.
Wer in der Lage ist, Werkzeuge selbst anzupassen oder neue Artefakte zu entwickeln, erweitert seine Möglichkeiten erheblich und reduziert die Abhängigkeit von bekannten Tools.
Dies ist häufig ein entscheidender Unterschied zwischen reinem Tool-Einsatz und einem tieferen technischen Verständnis.
Lernen durch Fehler: Der Moment, der alles verändert
Ein Aspekt, der in der Ausbildung von Red Teamern oft unterschätzt wird, ist der Umgang mit Fehlern.
Früher oder später wird es passieren, dass eine Aktion unmittelbar zur Erkennung führt. Dieser Moment ist unangenehm, aber gleichzeitig äußerst lehrreich.
Er zwingt dazu, das eigene Vorgehen kritisch zu hinterfragen und verändert nachhaltig die eigene Perspektive auf Angriffe und deren mögliche Erkennungsmechanismen.
Statt nur zu überlegen, ob eine Technik funktioniert, rücken andere Fragen in den Vordergrund: Warum wird dieser Befehl ausgeführt? Woran könnte ein Verteidiger diese Aktivität erkennen? Welche Telemetrie entsteht dabei? Wie hoch ist das Risiko und ist es vertretbar?
Genau diese Überlegungen sind zentral für das Red-Teaming. Fehler sind dabei kein Rückschritt, sondern ein notwendiger Teil des Lernprozesses.
Aus unserer Erfahrung sind es häufig genau diese Situationen, in denen sich das notwendige Mindset nachhaltig entwickelt.
Fazit
Der Weg vom Penetrationstest zum Red Teaming ist kein reiner Ausbau bestehender Fähigkeiten, sondern erfordert ein Umdenken.
Eine solide technische Grundlage, insbesondere im Bereich Active Directory, bleibt essenziell. Gleichzeitig gewinnen Themen wie Operational Security, kontinuierliches Lernen und technisches Tiefenverständnis deutlich an Bedeutung.
Zertifizierungen können dabei unterstützen, ersetzen jedoch nicht die praktische Erfahrung und die Bereitschaft, sich stetig weiterzuentwickeln.
Entscheidend ist letztlich die Fähigkeit, das eigene Handeln kritisch zu reflektieren und sich kontinuierlich an veränderte Rahmenbedingungen anzupassen.
