Red Teaming ist für Schweizer KMU kein Luxus mehr — es ist der einzige Test, der zeigt, ob Ihre Verteidigung einem echten Angriff standhält. Jahrelang stimmte das Klischee: Red Teaming war mit Kosten von CHF 40’000 bis 80’000 praktisch nur für Grosskonzerne erschwinglich. Kleinen und mittleren Unternehmen blieb der Zugang zur realistischsten Form der Sicherheitsüberprüfung verwehrt.

Das hat sich geändert. Und gleichzeitig hat sich die Bedrohungslage verändert — zum Nachteil aller, die kein Red Teaming machen.

Laut dem NCSC Halbjahresbericht 2024 wurden in der Schweiz über 63’000 Cyber-Vorfälle gemeldet. Laut einer gfs-Befragung im Auftrag von digitalswitzerland wurden 2024 rund 4 % aller Schweizer KMU Opfer eines schwerwiegenden Cyberangriffs. Der durchschnittliche Schaden pro Ransomware-Vorfall: CHF 84’000. Und laut dem Verizon Data Breach Investigations Report 2024 stiegen KI-gestützte Phishing-Angriffe um 60 % — präziser, personalisierter, kaum erkennbar.

«Die zunehmende Professionalisierung von Cyberangriffen erfordert einen Paradigmenwechsel: Weg von rein reaktiven Massnahmen, hin zu proaktivem Testen der eigenen Verteidigungsfähigkeit.» — Bundesamt für Cybersicherheit (BACS), Strategiebericht 2024

Dieser Leitfaden bricht mit fünf hartnäckigen Mythen über Red Teaming — und zeigt, warum es 2026 für jedes Schweizer KMU relevant und erschwinglich ist.

Mythos 1: «Red Teaming ist nur für Grosskonzerne.»

Das war einmal zutreffend. Bis vor wenigen Jahren war Red Teaming ein Service, der spezialisierte Teams über Wochen und Monate beschäftigte und entsprechend viel kostete. CHF 40’000 bis 80’000 für ein vollumfängliches Red Team Assessment — ein Budget, das KMU schlicht nicht hatten.

Die Realität 2026: Spezialisierte Anbieter wie RedTeam Partners haben das Red-Teaming-Modell für KMU neu gedacht. Focused Red Team Assessments — zugeschnitten auf die Angriffsoberfläche und die tatsächlichen Risiken eines KMU — sind für CHF 11’900 erhältlich. Das ist weniger als viele KMU für einen klassischen Penetrationstest ausgeben.

Die Bedrohungen, gegen die Red Teaming schützt, sind dieselben für KMU wie für Grosskonzerne. Ransomware-Gruppen unterscheiden nicht nach Unternehmensgrösse — sie unterscheiden nach Angriffbarkeit. Ein schlecht geschütztes KMU ist attraktiver als ein gut gesicherter Grosskonzern.

Mythos 2: «Wir sind zu klein, uns greift niemand an.»

Das ist der gefährlichste Mythos — und der am häufigsten wiederholte. Er basiert auf der intuitiven Überlegung: Warum sollte ein professioneller Cyberkrimineller sein Unternehmen ins Visier nehmen, wenn es so viele grössere, wertvollere Ziele gibt?

Die Realität: Das Ziel moderner Cyberkrimineller ist nicht Prestige, sondern Gewinn. Und Gewinn maximiert sich nicht durch den einen grossen, schwierigen Angriff auf einen Grosskonzern mit eigenem Security Operations Center. Gewinn maximiert sich durch viele einfachere Angriffe auf schlecht geschützte Unternehmen.

KMU haben:

  • Wertvolle Daten: Kundendaten, Bankverbindungen, Buchhaltungsinformationen, Produktionspläne, geistiges Eigentum
  • Weniger Schutz: Kein CISO, kein SOC, kleinere IT-Teams, weniger Budget für Sicherheit
  • Höhere Zahlungsbereitschaft: Ein KMU, dessen gesamtes Netzwerk verschlüsselt ist, zahlt eher Lösegeld als ein Grosskonzern mit detaillierten Backups und Incident-Response-Teams

Das NCSC bestätigt: Schweizer KMU werden überproportional häufig angegriffen. Sie sind nicht zu klein — sie sind das bevorzugte Ziel.

Was Red Teaming offenbart: Viele KMU-Geschäftsführer sind schockiert, wie weit ein Red Team in ihrem Unternehmen kommt — oft ohne ausgeklügelte technische Angriffe, allein durch gezieltes Phishing und die Ausnutzung von Standardkonfigurationen. Das ist genau das, was echte Angreifer tun.

Mythos 3: «Wir haben doch schon einen Penetrationstest gemacht.»

Ein Penetrationstest ist wertvoll — aber er ist nicht dasselbe wie Red Teaming. Den Unterschied zu kennen ist entscheidend für informierte Investitionsentscheidungen.

Was ein Penetrationstest leistet:

  • Systematische technische Überprüfung definierter Systeme auf bekannte Schwachstellen
  • Prüfung der Firewall, des VPN, der Web-Applikation, des internen Netzwerks
  • Detaillierter technischer Bericht mit CVE-Nummern und Patch-Empfehlungen

Was ein Penetrationstest nicht leistet:

  • Er prüft nicht, ob Ihre Mitarbeitenden Phishing erkennen
  • Er testet nicht, ob Social Engineering (Telefonanrufe, gefälschte Identitäten) funktioniert
  • Er beurteilt nicht, ob Ihre Incident-Response-Prozesse funktionieren
  • Er zeigt nicht die vollständige Angriffskette von der Erstinfizierung bis zum Datenzugriff
  • Er misst nicht, ob Ihre Systeme den Angriff erkennen (Detection Capability)

Was Red Teaming zusätzlich leistet:

  • Realistische Simulation eines echten Angreifers mit vollständiger Angriffskette
  • Kombination technischer Angriffe mit Phishing und Social Engineering
  • Test der menschlichen Komponente: Erkennen Mitarbeitende den Angriff?
  • Test der Prozesse: Reagiert das Team korrekt auf einen Vorfall?
  • Messung der Detection Capability: Schlägt das EDR Alarm? Wird das SIEM-Alert bearbeitet?
  • Nachweis der tatsächlichen Angreifbarkeit — nicht nur theoretischer Schwachstellen

Der vollständige Vergleich: Red Teaming vs. Penetrationstest.

Kurz gesagt: Ein Penetrationstest zeigt, ob die Schlösser an Ihren Türen funktionieren. Red Teaming zeigt, ob ein Einbrecher trotzdem reinkommt — durch das gekippte Fenster, den freundlichen Mitarbeitenden, der die Tür aufhält, oder den Ersatzschlüssel unter der Fussmatte.

Mythos 4: «Unsere IT macht das schon.»

Interne IT-Teams sind unverzichtbar — aber sie sind strukturell nicht in der Lage, die eigene Organisation mit den Augen eines Angreifers zu sehen. Das ist kein Vorwurf, sondern eine inhärente Schwäche jeder internen Perspektive.

Ihr internes IT-Team oder Ihr IT-Dienstleister kennt:

  • Die Netzwerkarchitektur — und alle legitimen Wege hindurch
  • Die Konfiguration — und «warum das so eingestellt ist»
  • Die Workarounds — und hält sie für selbstverständlich
  • Die Mitarbeitenden — und schätzt ihr Verhalten falsch ein («Die würden nie auf sowas reinfallen»)

Ein externes Red Team bringt die Perspektive des Angreifers:

  • Unvoreingenommen, ohne Vorkenntnisse über das Netzwerk
  • Mit den tatsächlichen Methoden, die Cyberkriminelle verwenden
  • Ohne emotionale Bindung an bestehende Architekturen und Entscheidungen
  • Mit dem einzigen Ziel: das definierte Angriffsziel zu erreichen

Selbst die besten internen IT-Teams können sich nicht selbst objektiv testen. Das gilt auch für externe IT-Dienstleister — sie kennen das Unternehmen, haben die Systeme konfiguriert und sind betriebsblind für dieselben blinden Flecken wie ein internes Team.

Mythos 5: «Wir haben keine sensiblen Daten.»

Jedes Unternehmen hat Daten, die wertvoll sind — für Kriminelle, für Konkurrenten oder für den laufenden Betrieb.

Was KMU-Daten wertvoll macht:

  • Kundendaten: Namen, Adressen, Zahlungsinformationen — gold wert für Identitätsdiebstahl und weiterführende Betrugsmaschen
  • Bankverbindungen: Eigene Konten und die der Kunden und Lieferanten — direkt monetarisierbar
  • Buchhaltungsdaten: Zahlungsströme, Kreditinformationen, Steuerunterlagen
  • E-Mails: Enthüllen Geschäftsgeheimnisse, Verhandlungspositionen, Beziehungen — und ermöglichen Business Email Compromise
  • Betriebsdaten selbst: Nicht die Daten sind wertvoll, sondern der laufende Betrieb — Ransomware erpresst Unternehmen damit, dass sie nicht mehr arbeiten können

Das nDSG macht deutlich: Selbst «einfache» Personendaten wie Kundenadressen müssen geschützt werden. Eine Datenpanne kann Bussen bis CHF 250’000 auslösen — ganz unabhängig davon, ob Sie die Daten für «sensibel» halten.

Was ein KMU-Red-Team-Assessment konkret umfasst

Ein fokussiertes Red Team Assessment für ein Schweizer KMU mit CHF 11’900 sieht nicht aus wie ein Assessment für einen Finanzkonzern — es ist auf die tatsächliche Bedrohungslage und die Angriffsoberfläche eines KMU zugeschnitten.

Phase 1: Scoping (1-2 Tage)

Gemeinsam mit der Geschäftsleitung wird das Angriffsziel definiert. Typische Ziele für KMU:

  • «Zugriff auf das ERP-System und die Kundendatenbank»
  • «Zugriff auf das E-Banking und die Finanzsysteme»
  • «Zugriff auf die Produktionspläne und geistiges Eigentum»

Regeln werden festgelegt: Was ist erlaubt? Nur die Geschäftsleitung wird eingeweiht — genau wie bei einem echten Angriff.

Phase 2: Reconnaissance und OSINT (3-5 Tage)

Das Red Team sammelt öffentlich verfügbare Informationen über Ihr Unternehmen: Website, LinkedIn-Profile, Handelsregister, öffentliche IP-Adressen, eingesetzte Technologien. Sie wären überrascht, wie viel ein Angreifer allein aus öffentlichen Quellen erfährt — Mitarbeiternamen, Organisationsstruktur, IT-Dienstleister, verwendete Software.

Phase 3: Initiale Kompromittierung (3-7 Tage)

Das Red Team versucht, einen ersten Zugang zu erlangen — typischerweise durch:

  • Massgeschneiderte Phishing-E-Mails an ausgewählte Mitarbeitende
  • Technische Angriffe auf öffentlich erreichbare Systeme
  • Social Engineering (Telefonanrufe, fingierte Szenarien)

Phase 4: Laterale Bewegung (3-7 Tage)

Sobald ein initialer Zugang besteht, versucht das Red Team, sich im Netzwerk auszubreiten — von einem normalen Benutzerkonto zu Administratorrechten, von einem System zum nächsten, bis das definierte Ziel erreicht ist.

Phase 5: Reporting und Debriefing (3-5 Tage)

Sie erhalten einen Management-Report (ohne IT-Jargon, für die Geschäftsleitung) und einen technischen Report (detaillierte Angriffskette, Schwachstellen, Empfehlungen). Im persönlichen Debriefing besprechen Red Team und Ihr Team die Ergebnisse — und die priorisierten nächsten Schritte.

Gesamtdauer: 2-3 Wochen ab Scoping bis Debriefing.

Die ROI-Rechnung: CHF 11’900 vs. CHF 84’000

Die Investitionsrechnung für Red Teaming ist einfach:

Kosten des Red Team Assessments: CHF 11’900

Durchschnittliche Kosten eines erfolgreichen Ransomware-Angriffs auf ein Schweizer KMU: CHF 84’000 (direkter Schaden) — plus Betriebsausfall (durchschnittlich 21 Tage), Reputationsschaden, mögliche nDSG-Bussen bis CHF 250’000 und erhöhte Cyberversicherungsprämien.

Das Red Team Assessment kostet 14 % des durchschnittlichen Schadens. Wenn es einen einzigen schwerwiegenden Angriff verhindert oder erheblich eindämmt, hat es sich mehrfach amortisiert.

Und selbst wenn kein Angriff verhindert wird: Sie erhalten eine priorisierte Roadmap, wo Ihre Sicherheitsinvestitionen den grössten Effekt haben — und sparen damit unnötige Ausgaben für Massnahmen, die Ihre tatsächlichen Schwachstellen nicht adressieren.

Detaillierte Kostenübersicht: Red Team Kosten in der Schweiz

Red Teaming und das nDSG: Compliance als Nebeneffekt

Das neue Datenschutzgesetz (nDSG) verlangt von Schweizer Unternehmen «angemessene technische und organisatorische Massnahmen» zum Schutz von Personendaten. Ein Red Team Assessment liefert gleich mehrere Compliance-Vorteile:

Nachweis der Sorgfaltspflicht: Der Red-Team-Report dokumentiert, dass Sie aktiv prüfen und verbessern. Er ist ein starkes Argument gegenüber dem EDÖB im Falle einer Datenpanne.

Identifikation von Compliance-Lücken: Das Red Team entdeckt Konfigurationsfehler und Zugriffsberechtigungen, die gegen das nDSG verstossen — bevor ein Angreifer oder eine Behörde sie findet.

Versicherungsnachweis: Viele Cyber-Versicherungen akzeptieren Red-Team-Assessments als Nachweis für das Sicherheitsniveau — und honorieren dies mit besseren Konditionen.

Die vollständige nDSG-Checkliste für KMU gibt Ihnen den Überblick über alle Compliance-Anforderungen.

Wann ist der richtige Zeitpunkt für ein Red Team Assessment?

Es gibt keinen falschen Zeitpunkt — aber einige Situationen, in denen Red Teaming besonders dringend ist:

Sie haben noch nie einen realistischen Sicherheitstest durchgeführt. Dann ist ein Focused Red Team Assessment der erste Schritt zur Erkenntnis, wie es wirklich um Ihre Sicherheit steht.

Sie haben grundlegende Massnahmen umgesetzt und wollen wissen, ob sie funktionieren. MFA, EDR, Netzwerksegmentierung, Security-Awareness-Training — Red Teaming zeigt, ob diese Massnahmen zusammen einen echten Angriff stoppen.

Sie haben einen Penetrationstest, aber keine vollständige Sicherheitsüberprüfung. Der IT-Sicherheits-Leitfaden für KMU erklärt, warum beides nötig ist.

Ihr Unternehmen hat sich verändert. Neue IT-Systeme, Fusionen, neue Mitarbeitende, Remote-Work-Einführung — jede signifikante Veränderung erweitert die Angriffsoberfläche.

Sie stehen vor Compliance-Anforderungen. nDSG-Compliance, Kundenanforderungen, Versicherungsvoraussetzungen — ein Red-Team-Report ist ein starker Nachweis.

Fazit: Red Teaming ist der Realitätscheck für Ihr KMU

Die Frage ist nicht, ob Ihr Unternehmen angegriffen wird. Die Frage ist, ob Sie es rechtzeitig merken und wie weit der Angreifer kommt.

Checklisten, Penetrationstests, Security-Awareness-Schulungen und Phishing-Schutzmassnahmen sind wichtige Bausteine. Doch keiner dieser Bausteine beantwortet die entscheidende Frage: Hält Ihre Verteidigung einem echten, vollständigen Angriff stand?

Red Teaming liefert diese Antwort. Nicht theoretisch, nicht auf Basis von Schwachstellenlisten — sondern praktisch, auf der Grundlage eines realistisch simulierten Angriffs auf Ihr Unternehmen.

Und dank RedTeam Partners ist dieser Realitätscheck für Schweizer KMU zugänglich: ab CHF 11’900 für ein fokussiertes Red Team Assessment — CREST-zertifiziert, zugeschnitten auf KMU, durchgeführt von erfahrenen Schweizer Sicherheitsexperten.

Die Faustregel: CHF 11’900 für den Test. Oder CHF 84’000 für den durchschnittlichen Schaden, wenn der Angreifer unkontrolliert vorgeht.

Jetzt Red Teaming anfragen — ab CHF 11’900 für Schweizer KMU

Weiterführende Ressourcen