Red Team 101: Unterschied zwischen Pentest und echten adversarialen Operationen

Manche Kunden bestellen ein Red Team und erwarten einen Pentest-Bericht mit 47 CVEs und einem Nessus-Screenshot. Andere bestellen einen Pentest und erwarten, dass du den EDR umgehst, dich lateral durchs AD bewegst und die HR-Datenbank 30 Tage unentdeckt exfiltrierst. Beide liegen falsch, und unsere Branche tragt Mitschuld, weil sie die Begriffe so lange vermischt hat, bis sie zu Marketing wurden. Bevor du 80k pro Engagement abrechnest, musst du genau wissen, welche Leistung du verkaufst, denn der Unterschied verandert Vertrag, ROE, Team, Tooling und vor allem das Endergebnis.

Ein Pentest ist eine Abdeckungsubung: gegeben ein endlicher Scope (10 IPs, 3 Webapps, eine API), enumerierst du Schwachstellen, validierst Exploitation wo moglich und lieferst einen Bericht mit CVSS-Severities, Evidenzen und Remediation-Hinweisen. Erfolg misst sich in validen Findings pro Stunde, niedriger False-Positive-Rate und klarer Behebung. Es sieht aus wie die Arbeit in Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen und Pentest von REST und GraphQL APIs: Technische Checkliste fur legales Bug Bounty: methodisch, wiederholbar, gefuhrt durch Checklisten wie OWASP WSTG oder PTES. Du musst nicht unsichtbar sein; du musst grundlich sein. Eine SQLi wie in SQL Injection in der Praxis: Ausnutzen, Erkennen und Mitigieren im Kontrollierten Lab zahlt genauso viel wie ein Stored XSS, solange beide exploitet und dokumentiert sind.

Red Team operiert auf der entgegengesetzten Achse: Ziele, nicht Abdeckung. Der Kunde definiert ein Kronjuwel (Zugang zum Code-Signing-Vault, Exfiltration der M&A-Tabelle, Domain Admin im Finanz-AD) und du hast 4 bis 12 Wochen, dorthin zu gelangen, wahrend du einen konkreten Gegner emulierst, meist ein TTP-Set aus MITRE ATT&CK, gespeist durch Threat Intel. Surface-Scope ist breit (oft die gesamte Firma), aber Ziel-Scope ist eng. Du meldest keine 50 Schwachstellen; du meldest 3 End-to-End-Angriffspfade. Techniken aus Adversary Emulation mit Caldera und MITRE ATT&CK im Unternehmenslab, Lateral Movement im Lab: SMB, WMI und WinRM mit Detection-Fokus und Active Directory Pentest: Kerberoasting Schritt fuer Schritt im GOAD Lab kommen ins Spiel, und jede Aktion wird gegen Detektionsrisiko abgewogen.

Die ROE (Rules of Engagement) ist der Ort, an dem Projekte sterben. Im Pentest passt die ROE meist auf zwei Seiten: Testfenster, autorisierte IPs, Notfallkontakte, kein DoS. Im Red Team wird die ROE zum 15-seitigen Dokument mit: Liste der Trusted Agents (3 bis 5 Eingeweihte), Stand-down-Verfahren falls das Blue Team echte Incident Response startet, Phishing-Regeln (an wen, an wen nicht, wie mit geernteten Credentials umgehen) wie in Autorisiertes Red-Team-Phishing: Templates, GoPhish und Ethische Leitplanken, C2-Grenzen (keine Implants auf C-Level-Workstations ohne schriftliche Freigabe) und Klauseln zu personenbezogenen Daten. Ohne das wirst du zur nachsten Krebs-Schlagzeile aus den falschen Grunden.

Ethische Disziplin zahlt mehr als Technik, und das ist keine Konferenz-Floskel. Es bedeutet konkrete Dinge: du testest keinen AMSI-Bypass in Produktion ohne Laborwiederholungen wie in AMSI- und ETW-Bypass fuer Defensive Forschung: Was Blue Teams Wissen Sollten; du reaktivierst keine C2-Infrastruktur wie in C2-Infra mit Sliver im Isolierten Lab fur Defensive Forschung Aufbauen ohne Rotation; du nimmst keine Praktikanten als Initial-Access-Ziel via Initial Access Simuliert: Makros, LNK und ISO im Isolierten Windows-11-Lab um Metriken aufzublasen; du zerstorst geerntete Credentials am Ende des Engagements und dokumentierst die Zerstorung. Operationelle OPSEC, wie in OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell, schutzt dich und den Kunden, denn ein Leak deiner Artefakte wird zur echten Intrusion.

Teams unterscheiden sich ebenfalls. Pentest funktioniert mit 1-2 generalistischen Operatoren plus gelegentlich einem Spezialisten (mobile, AD, cloud). Red Team verlangt Rollen: ein C2-Operator, ein Initial-Access/Phishing-Lead, ein AD/Lateral-Experte, jemand fur kontinuierliches Reporting und idealerweise ein Threat-Intel-Lead, der das Profil des emulierten Gegners baut. Wenn du Red Team mit dem Pentest-Organigramm verkaufst, verkaufst du langsamen Pentest. Schlimmer: du rechnest Red Team ab und lieferst eine mittelmaige Simulation, die weder das SOC testet noch verwertbaren Purple-Team-Output produziert wie der Zyklus in Purple Team in der Praxis: Aufbau eines Red-Blue-Feedback-Zyklus.

Praktisches Takeaway: bevor du ein Engagement unterschreibst, stell dem Kunden drei Fragen. Erstens, was ist das Business-Ziel (Compliance, SOC-Validierung, Response-Ubung, Locher finden)? Zweitens, wie ist der Detection-Appetit (testen wir den Pfad oder das Team)? Drittens, wer sind die Trusted Agents und wer darf NICHT informiert werden? Zeigen die Antworten auf Compliance und Abdeckung, verkaufe Pentest und liefere exzellent. Zeigen sie auf Detection und Response gegen einen realistischen Gegner, verkaufe Red Team mit solider ROE. Beides unter denselben SOW zu mischen ist, als wurde man Chirurgie abrechnen und Massage liefern: jemand geht verletzt raus, meistens dein Ruf.