Warum diese Verwirrung besteht
Diese drei Begriffe werden in Marketingmaterialien, Verkaufsgesprächen und sogar in manchen Verträgen synonym verwendet. Das verursacht echte Probleme. Eine Organisation, die ein Red-Team-Engagement benötigt, aber eine Schwachstellenanalyse kauft, wird enttäuscht sein. Ein Unternehmen, das für ein Red Team bezahlt, obwohl ein Penetrationstest ausgereicht hätte, verschwendet Geld. Und eine Firma, die Schwachstellenscans durchführt und glaubt, damit „getestet" worden zu sein, arbeitet mit einem falschen Sicherheitsgefühl.
Lassen Sie uns jeden Begriff präzise definieren, sie direkt vergleichen und Ihnen helfen zu entscheiden, was Ihre Organisation wirklich braucht.
Schwachstellenanalyse: Das Fundament
Was es ist
Eine Schwachstellenanalyse ist ein systematischer, weitgehend automatisierter Prozess zur Identifizierung bekannter Schwachstellen in Ihren Systemen, Netzwerken und Anwendungen. Das wichtigste Werkzeug ist ein Schwachstellenscanner (Nessus, Qualys, OpenVAS oder ähnliche), der Ihre Umgebung gegen eine Datenbank bekannter Schwachstellen (CVEs) und Konfigurationsschwächen prüft.
Was es liefert
- Eine umfassende Liste bekannter Schwachstellen in Ihrer Umgebung
- Schweregradbewertungen (typischerweise CVSS-Scores) für jeden Fund
- Empfehlungen zur Behebung (in der Regel generisch, vom Scanner erzeugt)
- Breite Abdeckung: jeder Host und jeder Dienst wird überprüft
Was es nicht tut
- Versucht nicht, Schwachstellen auszunutzen (kein Proof of Concept)
- Verknüpft keine Schwachstellen, um echte Angriffspfade aufzuzeigen
- Testet keine Geschäftslogik, menschliche Faktoren oder physische Sicherheit
- Bewertet nicht die tatsächlichen geschäftlichen Auswirkungen einer Schwachstelle
- Hohe Rate an falsch positiven Ergebnissen, die manuelle Überprüfung erfordern
Wann es einzusetzen ist
Schwachstellenanalysen sollten kontinuierlich oder zumindest monatlich durchgeführt werden. Sie sind die grundlegende Hygienekontrolle Ihrer Umgebung, vergleichbar mit einer regelmäßigen Gesundheitsuntersuchung. Jede Organisation sollte dies tun, unabhängig von ihrer Größe.
Typische Kosten
2.000 bis 5.000 EUR pro Scan für eine externe Bewertung, je nach Umfang. Viele Organisationen nutzen Tools wie OpenVAS (kostenlos) oder Nessus (ca. 3.000 EUR/Jahr für eine professionelle Lizenz) für interne Einsätze.
Penetrationstest: Die Tiefenanalyse
Was es ist
Ein Penetrationstest ist eine zeitlich begrenzte, zielorientierte Übung, bei der erfahrene menschliche Tester versuchen, Schwachstellen in Ihrer Umgebung auszunutzen. Anders als bei einer Schwachstellenanalyse geht der Tester über die bloße Identifizierung hinaus und demonstriert aktiv die Ausnutzung, indem er mehrere Schwachstellen miteinander verknüpft, um definierte Ziele zu erreichen — etwa den Zugriff auf sensible Daten, die Kompromittierung von Administrationskonten oder das Erreichen kritischer interner Systeme.
Was es liefert
- Nachweis, dass bestimmte Schwachstellen in Ihrer spezifischen Umgebung ausnutzbar sind
- Demonstration von Angriffsketten: wie mehrere Probleme mit niedrigem Schweregrad zu einem kritischen Risiko werden
- Risikobewertung im geschäftlichen Kontext: nicht nur „das ist verwundbar", sondern „das könnte ein Angreifer damit erreichen"
- Manuelle Tests, die Logikfehler, Konfigurationsfehler und Schwachstellen aufdecken, die Scanner übersehen
- Priorisierte, umsetzbare Empfehlungen zur Behebung, zugeschnitten auf Ihre Umgebung
Was es nicht tut
- Testet Ihre Erkennungs- und Reaktionsfähigkeiten nicht vollständig (Tester versuchen in der Regel nicht, unentdeckt zu bleiben)
- Simuliert keinen persistenten, gut ausgestatteten Angreifer über einen längeren Zeitraum
- Umfang ist definiert und begrenzt; echte Angreifer haben keine Umfangsgrenzen
- Schließt in der Regel keine Social Engineering- oder physischen Eindringversuche ein (sofern nicht ausdrücklich im Umfang enthalten)
Wann es einzusetzen ist
Mindestens jährlich. Häufiger für risikoreiche Umgebungen, nach größeren Infrastrukturänderungen, vor bedeutenden Produkteinführungen und wenn es durch Vorschriften gefordert wird (CSSF, PCI DSS, NIS2).
Typische Kosten
8.000 bis 25.000 EUR für einen fokussierten Einsatz (einzelne Anwendung oder Netzwerksegment). 20.000 bis 50.000 EUR für eine umfassende Bewertung, die externe, interne und Anwendungsebenen abdeckt.
Red-Team-Engagement: Die Angreifersimulation
Was es ist
Ein Red-Team-Engagement ist eine zielorientierte Angreifersimulation, die die gesamte Sicherheitslage einer Organisation testet — einschließlich ihrer Menschen, Prozesse und Technologien. Red-Team-Mitglieder operieren verdeckt und nutzen dieselben Taktiken, Techniken und Verfahren (TTPs) wie real existierende Bedrohungsakteure, die für das Ziel relevant sind. Das Ziel ist nicht, möglichst viele Schwachstellen zu finden, sondern spezifische Ziele zu erreichen — wie den Zugriff auf die wertvollsten Informationen —, während gleichzeitig die Fähigkeit der Organisation getestet wird, Angriffe zu erkennen und darauf zu reagieren.
Was es liefert
- Eine realistische Einschätzung, wie Ihre Organisation einem entschlossenen, fähigen Angreifer standhalten würde
- Test des gesamten Sicherheitsökosystems: technische Kontrollen, Überwachung (SOC/SIEM), Incident Response, physische Sicherheit und menschliches Bewusstsein
- Identifizierung von Lücken in Erkennungs- und Reaktionsfähigkeiten, nicht nur in der Prävention
- Eine Angriffserzählung, die beschreibt, wie ein Angreifer Ihre Organisation von Anfang bis Ende kompromittieren könnte
- Strategische Empfehlungen zur Verbesserung der allgemeinen Sicherheitsresilienz
Was es nicht tut
- Bietet keine umfassende Schwachstellenabdeckung (das Red Team folgt dem Weg des geringsten Widerstands, nicht jedem möglichen Pfad)
- Findet möglicherweise nicht alle Schwachstellen in Ihrer Umgebung (das ist nicht das Ziel)
- Nicht geeignet für Organisationen, die grundlegende Sicherheitshygiene noch nicht umgesetzt haben
Wann es einzusetzen ist
Wenn Ihre Organisation über ein reifes Sicherheitsprogramm mit etablierter Überwachung, Incident-Response-Verfahren und einer soliden Kontrollbasis verfügt. Wenn Sie noch dabei sind, kritische Schwachstellen aus Ihrem letzten Penetrationstest zu beheben, sind Sie noch nicht bereit für ein Red Team. Red Teaming sollte ein Sicherheitsprogramm testen, das glaubt, gut zu funktionieren.
Typische Kosten
30.000 bis 100.000+ EUR je nach Umfang, Dauer (typischerweise 4 bis 8 Wochen) und Zielsetzung. Dies ist deutlich teurer, da es erfahrenere Tester, längere Einsatzdauer, maßgeschneiderte Tools erfordert und häufig physische und Social-Engineering-Komponenten umfasst.
Direkter Vergleich
| Merkmal |
Schwachstellenanalyse |
Penetrationstest |
Red Team |
| Hauptziel |
Bekannte Schwachstellen finden |
Ausnutzbarkeit nachweisen |
Gesamte Sicherheitsresilienz testen |
| Vorgehensweise |
Automatisiert + manuelle Überprüfung |
Manuell + automatisierte Unterstützung |
Manuell, Angreifersimulation |
| Tarnung |
Keine (laute Scans) |
Gering (Tester der IT bekannt) |
Hoch (verdeckte Operation) |
| Umfang |
Breit (gesamte Umgebung) |
Definiert (spezifische Ziele) |
Zielorientiert (jeder Weg zum Ziel) |
| Dauer |
1–5 Tage |
1–4 Wochen |
4–8 Wochen |
| Testet Erkennung? |
Nein |
Teilweise |
Ja (primärer Zweck) |
| Social Engineering? |
Nein |
Nur wenn im Umfang enthalten |
In der Regel enthalten |
| Physischer Test? |
Nein |
Nein |
Häufig enthalten |
| Kostenrahmen |
2.000 – 5.000 EUR |
8.000 – 50.000 EUR |
30.000 – 100.000+ EUR |
| Erforderliche Organisationsreife |
Beliebig |
Grundlegende Kontrollen vorhanden |
Reifes Sicherheitsprogramm |
| Häufigkeit |
Monatlich / kontinuierlich |
Jährlich / nach Änderungen |
Jährlich oder alle zwei Jahre |
Was brauchen Sie?
Die Antwort hängt von Ihrer Sicherheitsreife, den regulatorischen Anforderungen und den Fragen ab, die Sie beantwortet haben möchten.
Sie brauchen eine Schwachstellenanalyse, wenn:
- Sie noch nie Sicherheitstests durchgeführt haben
- Sie ein grundlegendes Verständnis Ihrer Schwachstellenlandschaft aufbauen möchten
- Sie eine grundlegende Compliance-Anforderung erfüllen müssen
- Sie eine kontinuierliche Sichtbarkeit neuer Schwachstellen wünschen
Sie brauchen einen Penetrationstest, wenn:
- Sie regelmäßige Schwachstellenscans durchführen und Funde beheben, aber verstehen möchten, was ein Angreifer tatsächlich erreichen könnte
- Sie validieren müssen, dass kritische Kontrollen wirksam sind (nicht nur vorhanden)
- Vorschriften es verlangen (CSSF, PCI DSS, NIS2)
- Sie eine neue Anwendung oder eine größere Infrastrukturänderung einführen
- Sie umsetzbare, priorisierte Funde für Ihre spezifische Umgebung wünschen
Sie brauchen ein Red-Team-Engagement, wenn:
- Sie ein Security Operations Centre (SOC) betreiben und dessen Erkennungsfähigkeiten testen möchten
- Sie erheblich in Sicherheitskontrollen investiert haben und das gesamte Programm validieren möchten
- Ihr Vorstand oder Ihre Geschäftsführung eine realistische Einschätzung des organisationalen Risikos benötigt
- Sie Incident-Response-Verfahren unter realistischen Bedingungen testen möchten
- Sie in einem hochgefährdeten Umfeld tätig sind (kritische Infrastruktur, Finanzdienstleistungen, Verteidigung)
Wie sie zusammenwirken
Diese Dienste stehen nicht in Konkurrenz zueinander. Sie sind komplementäre Schichten eines reifen Sicherheitstestprogramms:
- Schwachstellenanalysen bieten kontinuierliche, breite Abdeckung. Sie erkennen bekannte Schwachstellen und Konfigurationsprobleme schnell und effizient.
- Penetrationstests bieten Tiefe. Sie validieren, dass kritische Schwachstellen real sind, zeigen geschäftliche Auswirkungen auf und finden Probleme, die Scanner übersehen.
- Red-Team-Engagements bieten Realismus. Sie testen das gesamte Sicherheitsökosystem — einschließlich Menschen und Prozesse — gegen einen simulierten Angreifer.
Ein gut strukturiertes jährliches Sicherheitstestprogramm für eine mittelgroße luxemburgische Organisation könnte kontinuierliches Schwachstellenscanning, einen jährlichen Penetrationstest (mit jährlich wechselndem Fokus zwischen extern, intern und Anwendungsebene) und ein Red-Team-Engagement alle zwei bis drei Jahre umfassen.
Die Reifeprogression: Beginnen Sie mit Schwachstellenanalysen. Sobald Sie Funde konsequent beheben und grundlegende Sicherheitskontrollen eingeführt haben, fügen Sie Penetrationstests hinzu. Sobald Ihr Sicherheitsprogramm etabliert ist und Sie über Erkennungs- und Reaktionsfähigkeiten verfügen, führen Sie Red Teaming ein. Das Überspringen von Schritten verschwendet Geld und liefert Erkenntnisse, auf die Sie noch nicht vorbereitet sind zu reagieren.
Häufige Missverständnisse
Einige hartnäckige Mythen trüben die Entscheidungsfindung rund um Sicherheitstests. Wir möchten die schädlichsten davon ansprechen:
„Wir haben einen Pentest gemacht, also wissen wir, dass wir sicher sind." Ein Penetrationstest ist eine Momentaufnahme. Er sagt Ihnen, was ein Tester in einem bestimmten Zeitfenster mit bestimmten Umfangsbeschränkungen gefunden hat. Das bedeutet nicht, dass es keine weiteren Schwachstellen gibt. Täglich werden neue Schwachstellen bekannt, Konfigurationen ändern sich, und Angreifer haben unbegrenzt Zeit. Ein Pentest ist ein Gesundheitscheck, kein Gesundheitszeugnis.
„Automatisiertes Scannen ist genauso gut wie ein Penetrationstest." Automatisierte Scanner sind ausgezeichnet darin, bekannte Schwachstellen in gängiger Software zu finden. Sie sind schlecht darin, Geschäftslogikfehler zu erkennen, Probleme mit geringem Schweregrad zu kritischen Angriffspfaden zu verknüpfen, benutzerdefinierte Anwendungen zu testen und die reale Ausnutzbarkeit eines Funds in Ihrer spezifischen Umgebung zu bewerten. Der menschliche Tester bringt kontextuelles Urteilsvermögen, das kein Scanner replizieren kann.
„Wir sind zu klein für ein Red Team." Größe ist nicht der entscheidende Faktor. Reife ist es. Ein 50-Personen-Unternehmen mit einem reifen Sicherheitsprogramm, einem SOC und etablierten Incident-Response-Verfahren kann enorm von einem Red-Team-Engagement profitieren. Ein 5.000-Personen-Unternehmen, das noch nicht die kritischen Funde seines letzten Schwachstellenscans behoben hat, sollte kein Geld für Red Teaming ausgeben.
„Die günstigste Option reicht aus." Bei Sicherheitstests bekommt man, wofür man bezahlt. Ein kostengünstiger „Penetrationstest", der in Wirklichkeit ein automatisierter Scan mit einem Berichtswrapper ist, erzeugt ein falsches Sicherheitsgefühl, das schlimmer ist als gar kein Test. Er schafft Selbstzufriedenheit, ohne echten Mehrwert zu liefern. Investieren Sie angemessen oder verschieben Sie den Test, bis Sie es können.
Fragen an Ihren Anbieter
Unabhängig davon, welchen Dienst Sie wählen, stellen Sie diese Fragen, bevor Sie einen Vertrag unterzeichnen:
- Welche Methodik verwenden Sie? (Erwarten Sie Verweise auf PTES, OWASP, TIBER-EU für Red Teaming)
- Welche Zertifizierungen haben Ihre Tester? (OSCP, GPEN, CREST für Pentester; zusätzliche für Red Team)
- Können Sie einen Beispielbericht bereitstellen? (Die Qualität variiert enorm)
- Wie gehen Sie mit kritischen Funden um, die während der Tests entdeckt werden? (Sofortige Benachrichtigung ist die richtige Antwort)
- Ist ein Nachtest enthalten? (Er sollte es sein, zumindest für kritische Funde)
- Wie ist das Verhältnis zwischen automatisierten und manuellen Tests? (Für Pentests ist überwiegend manuelle Arbeit zu erwarten)
- Verfügen Sie über eine Berufshaftpflichtversicherung?
Der richtige Testansatz, sorgfältig geplant und gut ausgeführt, ist eine der wertvollsten Investitionen, die Sie in Ihr Sicherheitsprogramm tätigen können. Der falsche ist ein teurer Weg, einen Bericht zu erstellen, den niemand liest.
