Als Verantwortlicher für die IT-Umgebung in Ihrem Unternehmen kennen Sie das ständige Rattern des schlechten Gewissens. Alle Systeme laufen weitgehend auf aktuellem Stand, die neuesten Supporttickets der Kollegen sind abgearbeitet, die Backups der letzten Tage verliefen erfolgreich. Dennoch nagt im Hinterkopf eine Frage: Ist das Unternehmen wirklich vorbereitet auf einen gezielten Angriff? Einen Angriff, der nicht nur mit Standard-Schadsoftware operiert, sondern mit manuellem Aufwand präzise auf das Unternehmen ausgerichtet ist?

IT-Sicherheit bildet keinen statischen Zustand, den Sie einmal erreichen und mit einer Checkbox als erledigt markieren können. IT-Sicherheit entwickelt sich als kontinuierlicher Prozess, der permanente Aufmerksamkeit erfordert und den Sie immer wieder überprüfen, hinterfragen und anpassen müssen. Nur so bleiben Sie auf der Höhe und gegen Angriffe gewappnet.

Genau hier setzen Red-Teaming, Blue-Teaming und Purple-Teaming an. Dabei handelt es sich nicht um theoretische Modelle, die nur in großen Unternehmen oder Konzernen umsetzbar sind, sondern um praktische Konzepte, die auch mit begrenzten Ressourcen in kleinen und mittelständischen Unternehmen funktionieren und für die IT-Abteilung einen echten Mehrwert liefern.

Stellen wir uns IT-Sicherheit als Betrieb einer technischen Anlage vor, etwa im produzierenden Gewerbe. Beim Aufbau installieren Sie Schutzmechanismen, definieren Prozesse und verlassen sich darauf, dass alles funktioniert. Wenn alles läuft, prüfen Sie den Betrieb noch einmal auf Herz und Nieren. Dieser Test zeigt dann, ob alle vorher getroffenen Annahmen auch in der Realität zutreffen. Red- und Blue-Teaming vollziehen genau das – sie simulieren Angriffe und Verteidigung, aufgeteilt auf zwei Teams, bewusst und strukturiert durchgeführt.

Das Red-Team übernimmt die Perspektive des Angreifers und versucht, in vorhandene Systeme einzudringen, Schwachstellen auszunutzen und zu kombinieren, um Schutzmechanismen gezielt zu umgehen. Das Blue-Team setzt dem Gegenmaßnahmen entgegen. Dessen Ziel: Angreiferaktivitäten erkennen, richtig einordnen und die Infrastruktur entsprechend absichern. Die neuere und zugegebenermaßen etwas konstruierte Idee eines Purple-Teams soll beide Perspektiven miteinander verbinden. Es soll vor allem dafür sorgen, dass die Erkenntnisse des einen Teams nicht einfach in den regelmäßigen Reports verschwinden, sondern als konkrete Verbesserungen in die Absicherung der IT einfließen.

Als Mitglied des Red-Teams betrachten Sie die IT-Infrastruktur Ihres Unternehmens so, wie ein Angreifer sie von außen wahrnehmen würde. Hier können Sie also ohne vorherige Recherche im eigenen Netz einfach ohne Vorwissen starten. Ihr Ziel bildet nicht zwingend das Finden neuer Sicherheitslücken in der eingesetzten Software, sondern eher das Verständnis darüber, wie weit ein Angreifer kommen würde, wenn er es wirklich ernst meint.

Gerade in KMUs erkennen Sie als Teil des Red-Teams oft, dass technische Schwachstellen keineswegs der wichtigste Angriffspunkt sind. Viel eher lassen sich organisatorische Schwächen gezielt ausnutzen. Gewisse Annahmen, die sich über Jahre etabliert haben und niemand mehr hinterfragt, großzügige Berechtigungen einzelner Mitarbeiteraccounts und Ausnahmen bei der Netzwerksegmentierung für langjährige Mitarbeiter, die aus unterschiedlichen Gründen immer wieder auf Systeme ihrer früheren Abteilungen zugreifen müssen – etwa um im Fall der Fälle schnell auszuhelfen. Mit Ihrem Red-Team machen Sie solche Unsicherheiten sichtbar. Dabei sollten Sie sich vom eigenen Anspruch freimachen, perfekt oder vollständig zu sein.

Die Arbeit in einem Red-Team erfordert keine Vollzeitbeschäftigung. Vor allem in kleineren Unternehmen funktioniert es sehr gut, wenn erfahrene Administratoren oder IT-Sicherheitsverantwortliche in regelmäßigen Abständen diese Rolle für eine gewisse Zeit einnehmen. Mit dem vorhandenen Domänenwissen und einem gedanklichen Schritt aus dem etablierten Regelsatz heraus erkennen Sie oft schnell, welche Annahmen nicht mehr zur Realität passen. Dabei benötigen Sie keine exotischen Werkzeuge, sondern vielmehr ein strukturiertes Vorgehen und eine saubere Dokumentation Ihrer Erkenntnisse.

Die im Rahmen des Blue-Teamings durchgeführten Arbeiten stellen im Einzelnen nichts Neues für Ihre IT-Abteilung dar. Blue-Teaming ermöglicht aber eine bewusste Bündelung dieser bestehenden Aufgaben und die Zuteilung an entsprechende Kollegen. Wer trägt die Verantwortung für die Firewall und wer für das Monitoring der Logfiles, wer bewertet Alarme aus dem SIEM und wer reagiert und koordiniert bei Sicherheitsvorfällen? Auch wenn das meiste davon bereits lose existiert – durch die umfassende und dokumentierte Systematik entsteht fast beiläufig ein Blue-Team.

Bringen Sie als koordinierendes Mitglied des Blue-Teams Routine in den Einsatz und die Zusammenarbeit. Definieren Sie Abläufe und Zuständigkeiten, dokumentieren Sie Playbooks und üben Sie regelmäßig die festgelegten Szenarien. Je besser Sie als Team auf den Ernstfall vorbereitet sind, umso schneller identifizieren und isolieren Sie etwa kompromittierte Systeme, sichern kritische Daten, verschieben laufende Dienste in Sandboxes und stellen bestenfalls zeitnah eine sichere alternative Infrastruktur für die Kollegen bereit. Regelmäßige Übung entscheidet am Ende darüber, ob ein Vorfall kontrollierbar bleibt oder unkontrolliert eskaliert.

Im Gegensatz zu Red- und Blue-Teaming existiert für das Purple-Teaming kein dediziertes Team. Es bildet vielmehr ein Arbeitsmodell, in dem Mitglieder aus Red- und Blue-Team gezielt zusammenarbeiten, um unmittelbar aus den Erkenntnissen beider Teams zu lernen und zeitnah Verbesserungen umzusetzen. Purple-Teaming erweist sich gerade für kleinere Teams oft deutlich praktischer als das Erstellen umfangreicher Reports, die auf der anderen Seite auch jemand lesen und verstehen muss.

Auch hier hilft eine strukturierte Vorgehensweise bei der Kommunikation zwischen den Teams: welche Szenarien spielen eine Rolle, warum wurde ein Angriff erkannt oder nicht erkannt und welche technischen oder organisatorischen Anpassungen sind nötig. Vermeiden Sie auf jeden Fall Schuldzuweisungen in Richtung des Blue-Teams, egal wie banal ein Erfolg des Red-Teams am Ende erscheinen mag. Stellen Sie nur die Verbesserung der IT-Sicherheit in den Vordergrund. Jeder Fund repräsentiert am Ende ein gemeinsames Ergebnis der Arbeit beider Teams.

Wenn sich das Purple-Teaming für Sie im Alltag anfühlt wie eine strukturierte Nachbesprechung eines Security-Vorfalls, dann lassen Sie sich dadurch nicht irritieren. Es gibt tatsächlich viele Gemeinsamkeiten. Der Unterschied besteht aber am Ende darin, dass das Szenario kontrolliert verläuft und sich der Lerneffekt gezielt nutzen lässt.

Eine häufige Frage vor der Umsetzung lautet: Wer soll das alles leisten? In vielen Unternehmen arbeiten die Mitarbeiter der IT-Abteilung bereits an der Grenze der Auslastung. Das sollte aber nicht der Grund sein, auf den Teaming-Ansatz zu verzichten oder die Notwendigkeit auf die Einstellung zusätzlicher Mitarbeiter zu reduzieren. Versuchen Sie vielmehr, die Tätigkeiten der Mitarbeiter gezielt zu priorisieren und die Rollen innerhalb der Teams im Alltag zu verankern. Wie bereits erwähnt, bilden vor allem die Aufgaben des Blue-Teams längst Bestandteil des Tagesgeschäfts.

Die Aktivitäten des Red-Teams können Sie auf ausgewählte Mitarbeiter aufteilen und als zeitlich begrenzte Aufgaben in den Alltag integrieren, etwa in Form fest geplanter Szenarien mehrmals im Jahr. Dabei dürfen Mitarbeiter ruhig durch die Teams rotieren. Wichtig ist nicht die personelle Trennung, sondern eine Rollentrennung, und diese beschreiben Sie in den festgelegten Szenarien. Natürlich sollte etwa der für die Datenbanken verantwortliche Kollege nicht gerade seine eigenen Systeme angreifen.

Nicht jedes Unternehmen kann alle Teaming-Aspekte vollständig intern durchführen. Externe Dienstleister können an vielen Stellen sinnvoll unterstützen, wenn ihre Rolle und das Szenario klar definiert sind. Besonders Red-Teaming-Aktivitäten lassen sich gut extern einkaufen. Ein externer Blick bringt neue Perspektiven und erweitert die methodische Erfahrung. Externe Red-Teams sollten dabei interne Übungen gezielt ergänzen, aber nicht vollständig ersetzen. Eigene Expertise beim Red-Teaming hilft, die Ergebnisse des Dienstleisters zu prüfen und die Dokumentation aufzuarbeiten. Geschieht das nicht, verpufft der Effekt leider viel zu häufig. Greifen Sie dabei ruhig auf mehrere Dienstleister zurück, um den Gewöhnungseffekt auf beiden Seiten zu vermeiden.

Auch Teile des Blue-Teams lassen sich einkaufen. Externes Monitoring, Log-Analyse und 24/7-IT-Bereitschaft können sehr kleinen IT-Abteilungen helfen, Reaktionszeiten zu verbessern, ohne eigenes Personal dauerhaft zu binden. Achten Sie dabei auf die Integration in die vorhandenen Prozesse. Fehlt diese oder bleibt sie unvollständig, bringen die externen Dienstleister Sie nicht weiter.

Teaming-Ansätze zur Verbesserung der IT-Sicherheit dienen nicht dem Selbstzweck, sondern sie reduzieren vielmehr gezielt Risiken, verbessern die Reaktionsfähigkeit und schaffen Transparenz im Unternehmen. Diese Konzepte funktionieren dabei nicht nur in großen Organisationen, sondern vor allem dort, wo Teams bereits eng zusammenarbeiten und die Sicherheitskultur über die Technik hinausgeht.