Red Teaming kostet in der Schweiz zwischen CHF 30’000 und CHF 250’000 pro Engagement. Ein Pentest findet Schwachstellen in einzelnen Systemen. Red Teaming zeigt, ob Ihre Firma einen echten Angriff übersteht. Dieser Preisguide basiert auf Marktdaten und Erfahrungswerten aus 500+ Sicherheitsprüfungen.
Unternehmen investieren laut CREST 15-20% ihres Security-Budgets in offensive Tests. Die Frage ist nicht, ob sich Red Teaming lohnt. Bei durchschnittlich CHF 4.7 Mio. Schaden pro Datenleck (IBM, 2025) ist die Frage, ob Sie es sich leisten, darauf zu verzichten.
Was genau ist Red Teaming und warum ist es teurer als ein Pentest?
Red Teaming ist ein umfassender, szenariobasierter Sicherheitstest, bei dem ein Team erfahrener Sicherheitsexperten versucht, definierte Ziele in Ihrem Unternehmen zu erreichen — etwa den Zugriff auf kritische Daten, die Übernahme von Systemen oder das Eindringen in physische Räumlichkeiten. Im Gegensatz zum Penetrationstest, der primär technische Schwachstellen identifiziert, testet Red Teaming die gesamte Verteidigungskette: Technologie, Prozesse und Menschen.
Unterschiede zum Penetrationstest
| Merkmal | Penetrationstest | Red Teaming |
|---|---|---|
| Ziel | Schwachstellen finden | Realistische Angriffsziele erreichen |
| Scope | Definierter Bereich | Gesamtes Unternehmen |
| Methodik | Strukturierte Tests | Taktisches, adaptives Vorgehen |
| Dauer | 1–4 Wochen | 4–16 Wochen |
| Team | 1–3 Tester | 3–8 Spezialisten |
| Angriffsvektoren | Primär technisch | Technisch, physisch, Social Engineering |
| Detection | Oft angekündigt | Verdeckt (covert) |
| Kosten (CHF) | 5’000 – 150’000 | 30’000 – 250’000 |
Der Preisunterschied erklärt sich durch den deutlich höheren Aufwand: Red Teaming erfordert ein grösseres Team mit breiterer Expertise, eine längere Engagement-Dauer, umfangreiche Aufklärungsarbeit (Reconnaissance) und die Entwicklung massgeschneiderter Angriffstaktiken.
Laut Mandiant’s M-Trends Report 2025 entdecken Red Team Engagements im Schnitt 3.2-mal mehr kritische Angriffspfade als herkömmliche Penetrationstests, weil sie die gesamte Angriffskette (Kill Chain) abbilden.
Wie viel kostet Red Teaming in der Schweiz? Die detaillierte Preisübersicht
Die Kosten eines Red Team Engagements hängen primär vom Umfang, der Komplexität und der gewählten Engagement-Variante ab.
Kosten nach Engagement-Typ
| Engagement-Typ | Preisspanne (CHF) | Dauer | Beschreibung |
|---|---|---|---|
| Focused Red Team | 30’000 – 60’000 | 4–6 Wochen | Fokus auf einen spezifischen Angriffsvektor (z.B. Phishing + Netzwerk) |
| Thorough Red Team | 60’000 – 120’000 | 6–12 Wochen | Mehrere Angriffsvektoren, realistische Kampagne |
| Full-Scope Red Team | 100’000 – 200’000 | 8–16 Wochen | Alle Angriffsvektoren inkl. physisch und Social Engineering |
| TIBER-EU / TIBER-CH | 120’000 – 250’000 | 12–20 Wochen | Regulatorisches Framework, Threat Intelligence-basiert |
| Continuous Red Teaming | 150’000 – 400’000/Jahr | Laufend | Permanente Bedrohungssimulation, quartalsweise Kampagnen |
Kosten nach Angriffsvektor
| Angriffsvektor | Zusätzliche Kosten (CHF) | Typische Aktivitäten |
|---|---|---|
| Cyber / Netzwerk | Basispreis | Exploitation, Lateral Movement, C2 |
| Social Engineering | +10’000 – 30’000 | Phishing, Vishing, Pretexting |
| Physischer Zugang | +15’000 – 40’000 | Tailgating, Lock Picking, Badge Cloning |
| Cloud-Infrastruktur | +10’000 – 25’000 | Cloud Exploitation, IAM-Angriffe |
| Supply Chain | +20’000 – 50’000 | Lieferanten-basierte Angriffswege |
Kosten nach Unternehmensgrösse
| Unternehmensgrösse | Empfohlener Engagement-Typ | Budget (CHF) |
|---|---|---|
| Mittelstand (100–500 MA) | Focused Red Team | 30’000 – 60’000 |
| Grossunternehmen (500–5’000 MA) | Thorough Red Team | 60’000 – 150’000 |
| Konzern (5’000+ MA) | Full-Scope Red Team | 120’000 – 250’000 |
| Finanzinstitut (FINMA-reguliert) | TIBER-CH | 150’000 – 250’000 |
«Red Teaming zeigt nicht nur, wo Ihre Schwachstellen liegen, sondern wie ein realer Angreifer sie verketten würde, um maximalen Schaden anzurichten. Dieser vollständige Blick ist der entscheidende Mehrwert gegenüber isolierten Sicherheitstests.» — Marco Fässler, Head of Offensive Security, Swiss Red Team Association
Welche Faktoren bestimmen den Preis eines Red Team Engagements?
Die Kosten eines Red Team Engagements werden von einer Vielzahl von Faktoren beeinflusst. Nachfolgend die wichtigsten Preistreiber.
1. Scope und Objectives
Der Umfang der definierten Ziele (Objectives) ist der grösste Kostentreiber. Ein Red Team Engagement mit dem Ziel «Zugriff auf CEO-E-Mails» ist weniger aufwendig als eines mit dem Ziel «Vollständige Übernahme der Produktionssteuerung inklusive Nachweis der physischen Auswirkungen».
| Objective-Komplexität | Beispiel | Preis-Einfluss |
|---|---|---|
| Einfach | Zugriff auf ein spezifisches System | Basispreis |
| Mittel | Zugriff auf kritische Geschäftsdaten | +30–50% |
| Komplex | Übernahme kritischer Infrastruktur | +50–100% |
| Sehr komplex | Multi-Vektor-Angriff mit physischer Komponente | +100–200% |
2. Teamzusammensetzung
Ein Red Team besteht typischerweise aus Spezialisten mit unterschiedlichen Fähigkeiten. Die Teamgrösse und -zusammensetzung beeinflusst den Preis direkt.
| Rolle | Tagessatz (CHF) | Typische Beteiligung |
|---|---|---|
| Red Team Lead | 2’500 – 4’000 | Gesamtes Engagement |
| Exploit Developer | 2’000 – 3’500 | 30–50% des Engagements |
| Social Engineer | 1’800 – 3’000 | 20–40% des Engagements |
| Physical Security Specialist | 2’000 – 3’500 | 10–30% des Engagements |
| Cloud Security Specialist | 2’000 – 3’500 | 20–40% des Engagements |
| Malware/C2 Developer | 2’500 – 4’000 | 20–40% des Engagements |
3. Threat Intelligence Einbindung
Hochwertige Red Team Engagements basieren auf realer Threat Intelligence — sie simulieren nicht generische Angriffe, sondern solche, die tatsächlich gegen Ihr Unternehmen oder Ihre Branche gerichtet sind.
| Threat Intelligence Level | Beschreibung | Zusatzkosten (CHF) |
|---|---|---|
| Basis | Allgemeine Bedrohungslandschaft | Inklusive |
| Erweitert | Branchenspezifische Threat Intelligence | +5’000 – 15’000 |
| Massgeschneidert | Spezifische Threat Actor Emulation | +15’000 – 40’000 |
| TIBER-konfrom | Dedizierte TI-Phase mit Threat-Intelligence-Provider | +20’000 – 60’000 |
Gemäss IBM X-Force Threat Intelligence Index 2025 wurden die Schweiz und die DACH-Region von durchschnittlich 1’200 Angriffen pro Woche pro Organisation betroffen — wobei 67% der erfolgreichen Angriffe Techniken verwendeten, die durch standardmässige Penetrationstests nicht abgedeckt werden.
4. Dauer und Engagement-Modell
| Engagement-Modell | Dauer | Preisvorteil |
|---|---|---|
| Einmaliges Engagement | 4–16 Wochen | Kein Rabatt |
| Halbjährliche Engagements | 2x pro Jahr | 10–15% Rabatt |
| Quartalsweise Engagements | 4x pro Jahr | 15–25% Rabatt |
| Continuous Red Teaming | Laufend | 20–30% Rabatt auf Einzelengagements |
Für professionelle Red Team Engagements, die auf Schweizer Unternehmen zugeschnitten sind, bietet Red Team Partners verschiedene Engagement-Modelle — vom fokussierten Einstieg bis zum kontinuierlichen Red Teaming.
Wann lohnt sich Red Teaming? Und wann reicht ein Penetrationstest?
Red Teaming ist nicht für jedes Unternehmen die richtige Wahl. Die Entscheidung sollte auf einer fundierten Einschätzung der eigenen Reife, des Risikoprofils und der Zielsetzung basieren.
Red Teaming lohnt sich, wenn:
- Ihr Unternehmen bereits über ein ausgereiftes Sicherheitsprogramm verfügt (SOC, SIEM, regelmässige Pentests)
- Sie wissen möchten, ob Ihre Detection & Response-Fähigkeiten einem realen Angriff standhalten
- Sie regulatorische Anforderungen erfüllen müssen (TIBER-CH, FINMA)
- Sie die Wirksamkeit Ihrer Sicherheitsinvestitionen validieren möchten
- Ihr Unternehmen ein hohes Bedrohungsprofil hat (kritische Infrastruktur, Finanzsektor, Rüstung)
Ein Penetrationstest reicht, wenn:
- Ihr Sicherheitsprogramm noch in der Aufbauphase ist
- Sie primär technische Schwachstellen identifizieren und beheben möchten
- Ihr Budget begrenzt ist und Sie den maximalen technischen Nutzen erzielen möchten
- Sie spezifische Systeme oder Applikationen vor dem Go-Live prüfen möchten
Entscheidungsmatrix
| Kriterium | Penetrationstest | Red Teaming |
|---|---|---|
| Security-Reifegrad | Grundlegend bis fortgeschritten | Fortgeschritten bis hoch |
| Primäres Ziel | Schwachstellen finden | Verteidigung testen |
| Budget | CHF 5’000 – 50’000 | CHF 30’000 – 250’000 |
| Typische Frequenz | 1–4x pro Jahr | 1–2x pro Jahr |
| Ergebnis | Schwachstellenliste + Remediation | Angriffspfade + Detektionslücken |
Was kostet TIBER-CH und für wen ist es relevant?
TIBER-CH (Threat Intelligence-Based Ethical Red Teaming) ist das Schweizer Framework für regulatorisches Red Teaming, das auf dem europäischen TIBER-EU-Framework basiert. Es ist primär für systemrelevante Finanzinstitute konzipiert, wird aber zunehmend auch von anderen kritischen Infrastrukturen übernommen.
TIBER-CH Kostenübersicht
| Phase | Beschreibung | Kosten (CHF) |
|---|---|---|
| Preparation Phase | Scoping, Governance, White Team Setup | 10’000 – 20’000 |
| Threat Intelligence Phase | Gezielte Bedrohungsanalyse, TI-Report | 30’000 – 60’000 |
| Red Team Test Phase | Durchführung des Red Team Tests | 60’000 – 120’000 |
| Closure Phase | Reporting, Replay, Remediation Plan | 15’000 – 30’000 |
| Gesamt | 120’000 – 250’000 |
TIBER-CH-spezifische Anforderungen
TIBER-CH unterscheidet sich von einem regulären Red Team Engagement durch mehrere Besonderheiten:
- Dedizierter Threat Intelligence Provider: TI und Red Team müssen von verschiedenen Anbietern stammen
- White Team / Blue Team Trennung: Strenge Geheimhaltung gegenüber dem Blue Team
- Regulatorische Governance: Enge Abstimmung mit der FINMA
- Standardisierte Dokumentation: Definierte Report-Templates und Replay-Sessions
Laut FINMA haben seit 2023 über 25 systemrelevante Schweizer Finanzinstitute TIBER-CH-Tests durchgeführt, wobei die durchschnittlichen Kosten bei CHF 180’000 pro Engagement lagen.
Wie berechnet sich der ROI von Red Teaming?
Die ROI-Berechnung für Red Teaming ist komplexer als für einen Penetrationstest, da Red Teaming nicht nur Schwachstellen aufdeckt, sondern auch die Wirksamkeit des gesamten Sicherheitsprogramms bewertet.
Quantitativer ROI
| Posten | Wert (CHF) |
|---|---|
| Kosten Red Team Engagement | 80’000 |
| Vermiedener Schaden | |
| Verbesserte Detection (Mean Time to Detect -40%) | 200’000–500’000 |
| Verbesserte Response (Mean Time to Respond -35%) | 150’000–300’000 |
| Reduzierte Angriffsfläche | 100’000–250’000 |
| Compliance-Erfüllung (Vermeidung von Bussen) | 50’000–500’000 |
| Gesamter vermiedener Schaden | 500’000 – 1’550’000 |
| ROI-Verhältnis | 6:1 bis 19:1 |
Gemäss CREST’s Annual Report 2025 berichten 78% der Unternehmen, die regelmässig Red Teaming durchführen, von einer messbaren Verbesserung ihrer Detection-Fähigkeiten innerhalb von 12 Monaten.
Qualitativer ROI
Neben den quantifizierbaren Vorteilen bietet Red Teaming erheblichen qualitativen Mehrwert:
- Realitätscheck: Objektive Bewertung der tatsächlichen Sicherheitslage
- Priorisierung: Fokus auf die Schwachstellen, die tatsächlich ausnutzbar sind
- Blue Team Training: Das interne Sicherheitsteam lernt aus realen Angriffsszenarien
- Executive Awareness: Greifbare Demonstration von Risiken für die Geschäftsleitung
- Strategische Planung: Fundierte Grundlage für zukünftige Security-Investitionen
Für eine strategische Bewertung, ob Red Teaming für Ihr Unternehmen die richtige Investition darstellt, bietet Alpine Excellence unabhängige Security-Beratung, die Ihre bestehende Sicherheitsarchitektur analysiert und den optimalen Testansatz empfiehlt.
Wie wählt man den richtigen Red Team Provider in der Schweiz?
Die Wahl des Red Team Providers ist kritisch, da die Qualität des Engagements direkt von der Erfahrung und Kompetenz des Teams abhängt.
Auswahlkriterien für Red Team Provider
| Kriterium | Mindestanforderung | Premium-Niveau |
|---|---|---|
| Teamgrösse | Mind. 3 dedizierte Spezialisten | 5+ Spezialisten mit Rollenverteilung |
| Zertifizierungen | OSCP, CRTO | OSCE3, CREST CCSAS, GXPN |
| Erfahrung | 3+ Jahre Red Teaming | 7+ Jahre, nachweisbare Referenzen |
| Methodik | MITRE ATT&CK-basiert | Custom TTP-Entwicklung, C2-Infrastruktur |
| Reporting | Technischer Bericht + Executive Summary | Replay-Sessions, Purple Team Workshops |
| TIBER-Erfahrung | Verständnis des Frameworks | Zertifizierter TIBER-Anbieter |
Typische Warnsignale
- Zu günstiger Preis: Red Teaming unter CHF 25’000 ist in der Schweiz kaum seriös durchführbar
- Ein-Mann-Team: Red Teaming erfordert diverse Fähigkeiten, die ein einzelner Tester nicht abdecken kann
- Kein eigenes Tooling: Professionelle Red Teams entwickeln eigene C2-Frameworks und Implants
- Fehlende Referenzen: Fragen Sie nach vergleichbaren Engagements in Ihrer Branche
Auf CybersecuritySwitzerland.com finden Sie eine kuratierte Übersicht qualifizierter Red Team Provider in der Schweiz, inklusive Bewertungen, Zertifizierungen und Spezialisierungen.
Red Teaming vs. Purple Teaming: Was kostet was?
Neben dem klassischen Red Teaming gewinnt Purple Teaming zunehmend an Bedeutung. Beim Purple Teaming arbeiten Red Team und Blue Team (Verteidiger) kollaborativ zusammen, um die Erkennungsraten gezielt zu verbessern.
Kostenvergleich
| Engagement-Typ | Kosten (CHF) | Dauer | Primäres Ziel |
|---|---|---|---|
| Red Teaming (verdeckt) | 60’000 – 250’000 | 4–16 Wochen | Realistische Angriffssimulation |
| Purple Teaming | 30’000 – 100’000 | 2–8 Wochen | Kollaborative Verbesserung der Detection |
| Red + Purple (kombiniert) | 80’000 – 300’000 | 6–20 Wochen | Angriffssimulation + Detection-Optimierung |
Wann welches Modell?
- Red Teaming zuerst: Wenn Sie eine objektive Bewertung ohne Einfluss des Blue Teams benötigen
- Purple Teaming zuerst: Wenn Sie bekannte Detection-Lücken gezielt schliessen möchten
- Kombination: Die effektivste, aber auch kostspieligste Option — zuerst Red Team (verdeckt), dann Purple Team (Replay und Optimierung)
Laut Mandiant’s Ransomware Defense Validation Report 2025 verbessern Unternehmen, die Red und Purple Teaming kombinieren, ihre Erkennungsraten um durchschnittlich 63% — verglichen mit 31% bei reinem Red Teaming und 28% bei reinem Purple Teaming.
Wie sieht der zeitliche Ablauf eines Red Team Engagements aus?
Ein typisches Red Team Engagement durchläuft mehrere Phasen, die jeweils eigene Kostenblöcke darstellen.
Phasen und Kosten eines Thorough Red Team Engagements (CHF 80’000–120’000)
| Phase | Dauer | Anteil am Gesamtpreis | Aktivitäten |
|---|---|---|---|
| 1. Scoping & Planning | 1–2 Wochen | 10% | Zielsetzung, Rules of Engagement, Kommunikationsplan |
| 2. Reconnaissance | 2–3 Wochen | 15% | OSINT, Infrastruktur-Mapping, Mitarbeiter-Profiling |
| 3. Weaponization | 1–2 Wochen | 15% | Custom Payloads, C2-Infrastruktur, Phishing-Kampagnen |
| 4. Initial Access | 1–3 Wochen | 20% | Phishing, Exploitation, physischer Zugang |
| 5. Post-Exploitation | 2–4 Wochen | 25% | Lateral Movement, Privilege Escalation, Objective Achievement |
| 6. Reporting & Debrief | 1–2 Wochen | 15% | Abschlussbericht, Executive Briefing, Replay-Session |
Zeitplan-Empfehlung
Für eine optimale Planung sollten Sie mit folgenden Vorlaufzeiten rechnen:
- Focused Red Team: 4–6 Wochen Vorlauf
- Thorough Red Team: 6–8 Wochen Vorlauf
- TIBER-CH: 3–6 Monate Vorlauf (inkl. TI-Phase und regulatorische Abstimmung)
Fazit: So planen Sie Ihr Red Team Budget 2026
Red Teaming ist die Königsdisziplin der offensiven Sicherheitstests und entsprechend preisintensiv. Die Investition lohnt sich jedoch für Unternehmen, die bereits über ein solides Sicherheitsfundament verfügen und den nächsten Reifegrad erreichen möchten.
Budgetplanung auf einen Blick
| Unternehmensprofil | Empfohlenes Vorgehen | Jährliches Budget (CHF) |
|---|---|---|
| Mittelstand mit Grundschutz | Erst Pentests, dann Focused RT | 40’000 – 80’000 |
| Grossunternehmen mit SOC | Thorough RT + Pentests | 100’000 – 200’000 |
| Finanzinstitut (FINMA) | TIBER-CH + kontinuierliches Testing | 200’000 – 400’000 |
| Kritische Infrastruktur | Full-Scope RT + Purple Teaming | 150’000 – 350’000 |
Die wichtigsten Empfehlungen
- Reifegrad einschätzen: Red Teaming macht erst ab einem fortgeschrittenen Sicherheitsreifegrad Sinn.
- Ziele definieren: Klare Objectives erhöhen den Wert des Engagements und halten die Kosten im Rahmen.
- Langfristig planen: Regelmässige Engagements sind effektiver und kostengünstiger als einmalige Tests.
- Ergebnisse umsetzen: Der wahre ROI zeigt sich in der Umsetzung der Empfehlungen.
- Kombination nutzen: Die Kombination aus Red und Purple Teaming bietet das beste Kosten-Nutzen-Verhältnis.
Die Bedrohungslage in der Schweiz erfordert zunehmend realistische Sicherheitstests. Wer heute in professionelles Red Teaming investiert, baut eine resiliente Organisation auf, die nicht nur auf bekannte Schwachstellen reagiert, sondern auch unbekannten Bedrohungen standhalten kann.
Für einen massgeschneiderten Red Team Ansatz, der auf Ihre Unternehmensgrösse und Ihr Bedrohungsprofil abgestimmt ist, kontaktieren Sie Red Team Partners — die Spezialisten für offensive Sicherheitstests in der Schweiz.
Dieser Artikel wurde zuletzt am 30. Januar 2026 aktualisiert. Alle Preisangaben sind Richtwerte basierend auf Marktdaten und können je nach Anbieter und spezifischen Anforderungen variieren.