Red Teaming ist die effektivste Methode, um die Cybersecurity eines Schweizer KMU unter realistischen Bedingungen zu testen. Für viele KMU-Geschäftsführer und IT-Verantwortliche klingt Red Teaming nach etwas für Grosskonzerne und Militär — teuer, komplex und für ein Unternehmen mit 50 Mitarbeitenden nicht relevant.
Das stimmt nicht mehr. Laut dem NCSC Halbjahresbericht 2024 wurden in der Schweiz über 63’000 Cyber-Vorfälle gemeldet. Der Schweizerische Versicherungsverband (SVV) beziffert die jährlichen Schäden durch Cyberangriffe auf die Schweizer Wirtschaft auf CHF 9.5 Milliarden. In einer Zeit, in der Künstliche Intelligenz Cyberangriffe automatisiert und Schweizer KMU überproportional häufig Ziel von Phishing und Ransomware werden, ist Red Teaming auch für KMU unverzichtbar geworden. Und dank spezialisierter Anbieter wie RedTeam Partners ist es jetzt auch bezahlbar.
«Die zunehmende Professionalisierung von Cyberangriffen erfordert einen Paradigmenwechsel: Weg von rein reaktiven Massnahmen, hin zu proaktivem Testen der eigenen Verteidigungsfähigkeit.» — Bundesamt für Cybersicherheit (BACS), Strategiebericht 2024
Nachfolgend: Red Teaming ohne IT-Jargon — für Entscheider, die verstehen wollen, worum es geht, was es kostet und ob es für ihr Unternehmen sinnvoll ist.
Was ist Red Teaming? Die einfache Definition
Red Teaming ist eine realistische, vollständige Angriffssimulation auf Ihr Unternehmen, die Technologie, Menschen und Prozesse gleichzeitig testet. Ein Team von spezialisierten Sicherheitsexperten — das «Red Team» — versucht, mit denselben Methoden wie echte Cyberkriminelle in Ihr Unternehmen einzudringen. Das Ziel: Herausfinden, ob Ihre Sicherheitsmassnahmen einem echten Angriff standhalten.
Im Gegensatz zu einem Penetrationstest, der einzelne technische Systeme auf Schwachstellen prüft, testet Red Teaming das Zusammenspiel von Technologie, Menschen und Prozessen. Das Red Team nutzt alle verfügbaren Methoden — Phishing-E-Mails, Telefonanrufe, technische Angriffe, teilweise sogar physische Zutrittsversuche — um ein vorab definiertes Ziel zu erreichen.
Das Ergebnis ist kein theoretischer Report, sondern ein praktischer Beweis: «So weit kommt ein Angreifer in Ihrem Unternehmen.» Und damit die konkrete Grundlage für gezielte Verbesserungen.
Woher kommt Red Teaming? Vom Militär in die Cybersecurity
Red Teaming hat seinen Ursprung im militärischen Bereich und wurde in den letzten zwei Jahrzehnten zum Goldstandard der Cybersecurity-Überprüfung. Der Begriff «Red Team» stammt aus dem militärischen Bereich. Bereits im Kalten Krieg setzten die US-Streitkräfte und die NATO «Red Teams» ein — Gruppen, die den Feind simulierten, um die eigenen Verteidigungsstrategien zu testen. Das «Red Team» übernahm die Rolle des Angreifers, während das «Blue Team» die eigene Verteidigung repräsentierte.
Die Farben erklärt
- Red Team (Angreifer): Simuliert den Feind. Versucht, mit allen erlaubten Mitteln das Ziel zu erreichen.
- Blue Team (Verteidiger): Die internen Sicherheitsteams. Versuchen, den Angriff zu erkennen und abzuwehren.
- White Team (Schiedsrichter): Überwacht den Test, stellt sicher, dass keine echten Schäden entstehen, und kennt den vollständigen Plan.
- Purple Team (Zusammenarbeit): Manchmal arbeiten Red und Blue Team nach dem Test zusammen, um gemeinsam die Verteidigung zu verbessern.
Die Übertragung auf die Cybersecurity war naheliegend: Statt feindliche Armeen zu simulieren, simulieren Red Teams Cyberkriminelle — mit denselben Werkzeugen und Taktiken, aber ohne die kriminelle Absicht.
Die Einbrecher-Analogie: Red Teaming verständlich erklärt
Stellen Sie sich vor, Sie haben Ihr Haus gesichert: neue Schlösser an allen Türen, Fenster mit Sicherheitsglas, eine Alarmanlage, Bewegungsmelder im Garten. Sie fühlen sich sicher.
Aber sind Sie wirklich sicher?
Was ein Penetrationstest tut (Schlüsseldienst-Analogie)
Sie beauftragen einen Schlüsseldienst, Ihre Schlösser zu prüfen. Er untersucht jedes Schloss, testet, ob es sich aufbohren oder knacken lässt, und gibt Ihnen einen Bericht: «Schloss an der Hintertür ist schwach, empfehlen Austausch. Alle anderen Schlösser in Ordnung.» Sie tauschen das Schloss aus. Gut so.
Aber: Der Schlüsseldienst hat nur die Schlösser geprüft. Nicht, ob das Fenster im zweiten Stock gekippt ist. Nicht, ob die Alarmanlage tatsächlich die Polizei ruft. Nicht, ob Ihr Nachbar reagiert, wenn er nachts jemanden auf Ihrer Leiter sieht. Nicht, ob der Ersatzschlüssel unter der Fussmatte liegt. Nicht, ob sich jemand als Handwerker ausgeben und hereingelassen werden kann.
Was Red Teaming tut (professioneller Einbrecher)
Sie beauftragen einen professionellen (legalen) Einbrecher, tatsächlich zu versuchen, in Ihr Haus einzudringen — mit allen Mitteln. Er plant den Einbruch sorgfältig:
- Aufklärung: Er beobachtet Ihr Haus tagelang. Wann gehen Sie zur Arbeit? Wann kommt die Reinigungskraft? Hat der Nachbar einen Hund?
- Sozialer Angriff: Er klingelt bei Ihnen und gibt sich als Handwerker aus: «Die Hausverwaltung hat mich geschickt, wegen eines Wasserschadens im Keller.» Lassen Sie ihn rein?
- Physischer Zugang: Er findet das gekippte Fenster im zweiten Stock und klettert hinein.
- Im Haus: Er bewegt sich durch das Haus, prüft, ob die Alarmanlage Alarm schlägt, findet den Safe im Büro und testet, ob der Code «1234» ist.
- Ergebnis: Er dokumentiert alles und zeigt Ihnen: «So bin ich reingekommen, das habe ich gefunden, das wurde nicht bemerkt.»
Das Ergebnis ist ein vollständiges Bild Ihrer Sicherheit — nicht nur der Schlösser, sondern des gesamten Sicherheitskonzepts.
Übertragung auf Ihr Unternehmen
| Haus | Unternehmen |
|---|---|
| Schlösser | Firewall, Passwörter |
| Fenster | VPN, Cloud-Zugänge |
| Alarmanlage | Security-Monitoring, EDR |
| Handwerker-Trick | Phishing, Social Engineering |
| Ersatzschlüssel unter der Matte | Passwort auf Post-it, geteilte Zugangsdaten |
| Nachbar, der nichts bemerkt | Mitarbeitende, die den Angriff nicht erkennen |
Was passiert bei einem Red Team Assessment? Der Ablauf Schritt für Schritt
Ein Red Team Assessment für ein Schweizer KMU folgt einem strukturierten, sechsphasigen Ablauf — von der Planung bis zum Debriefing:
Phase 1: Scoping und Planung (1-3 Tage)
Vor dem eigentlichen Test wird gemeinsam mit der Geschäftsleitung festgelegt:
- Ziel: Was soll das Red Team erreichen? Beispiele: «Zugriff auf das ERP-System», «Zugriff auf die Kundendatenbank», «Zugriff auf das E-Banking».
- Regeln: Was ist erlaubt, was nicht? (z. B. kein Zerstören von Daten, kein Testen ausserhalb der Geschäftszeiten, kein physischer Zutritt — je nach Vereinbarung).
- Eingeweihte: Nur die Geschäftsleitung und allenfalls der CISO wissen vom Test. Die IT-Abteilung und Mitarbeitende werden bewusst nicht informiert — genau wie bei einem echten Angriff.
- Notfall-Kontakt: Ein direkter Kommunikationskanal zwischen Red Team und Geschäftsleitung für den Fall, dass der Test abgebrochen werden muss.
Phase 2: Reconnaissance (3-5 Tage)
Das Red Team sammelt öffentlich verfügbare Informationen über Ihr Unternehmen — genau wie es ein echter Angreifer tun würde:
- Öffentliche Informationen: Website, Social-Media-Profile, Handelsregister, LinkedIn-Profile der Mitarbeitenden.
- Technische Aufklärung: Welche Domains, IP-Adressen und Dienste sind öffentlich erreichbar? Welche Technologien werden eingesetzt?
- Menschliche Ziele: Wer sind die Schlüsselpersonen? Wer hat Zugang zu den kritischen Systemen?
Sie wären überrascht, wie viel ein Angreifer allein aus öffentlichen Quellen über Ihr Unternehmen erfahren kann.
Phase 3: Initiale Kompromittierung (3-7 Tage)
Das Red Team versucht, einen ersten Zugang zu Ihrem Unternehmen zu erlangen:
- Phishing-Kampagne: Massgeschneiderte Phishing-E-Mails an ausgewählte Mitarbeitende — realistisch, auf Ihr Unternehmen zugeschnitten, mit plausiblen Szenarien.
- Technische Angriffe: Ausnutzung von Schwachstellen in öffentlich erreichbaren Systemen.
- Social Engineering: Telefonanrufe, bei denen sich das Red Team als IT-Support, Lieferant oder Behördenvertreter ausgibt.
Phase 4: Laterale Bewegung und Eskalation (3-10 Tage)
Sobald das Red Team einen initialen Zugang hat, versucht es, sich im Netzwerk auszubreiten — genau wie es ein Ransomware-Angreifer tun würde:
- Privilege Escalation: Von einem normalen Benutzerkonto zu Administratorrechten.
- Lateral Movement: Von einem System zum nächsten, bis das Ziel erreicht ist.
- Erkennung umgehen: Das Red Team versucht, die Sicherheitssysteme (Firewall, EDR, SIEM) zu umgehen, ohne entdeckt zu werden.
Phase 5: Zielerreichung und Dokumentation (1-3 Tage)
Das Red Team dokumentiert, ob und wie es das definierte Ziel erreicht hat. Wichtig: Es werden keine Daten tatsächlich gestohlen oder Systeme beschädigt. Es wird dokumentiert, dass der Zugriff möglich war und welche Daten betroffen gewesen wären.
Phase 6: Reporting und Debriefing (3-5 Tage)
Sie erhalten zwei Berichte:
- Technischer Bericht: Detaillierte Dokumentation der gesamten Angriffskette, der genutzten Schwachstellen und der empfohlenen Gegenmassnahmen — für Ihr IT-Team.
- Management-Summary: Verständliche Zusammenfassung für die Geschäftsleitung — ohne IT-Jargon, mit klaren Handlungsempfehlungen und einer Risikobewertung.
Im anschliessenden Debriefing-Workshop bespricht das Red Team die Ergebnisse persönlich mit Ihrem Team und beantwortet Fragen.
Welche Stufen von Red Teaming gibt es und was kosten sie?
Drei Stufen von Red Teaming decken unterschiedliche Anforderungen ab — vom fokussierten Assessment für kleinere KMU bis zum vollumfänglichen Test für regulierte Branchen. Die Kosten variieren je nach Umfang und Tiefe:
Focused Red Teaming (ab CHF 11’900)
- Für wen: KMU mit 10-100 Mitarbeitenden, die einen ersten realistischen Sicherheitstest durchführen möchten.
- Was wird getestet: Die wichtigsten Angriffsvektoren — Phishing, externe Angriffsoberfläche, erste Schritte der lateralen Bewegung.
- Dauer: 2-3 Wochen.
- Ergebnis: Detaillierter Bericht mit Angriffskette und priorisierten Empfehlungen.
- Kosten: Ab CHF 11’900 (RedTeam Partners, Zürich).
- Besonders geeignet, wenn: Sie noch nie ein Red Team Assessment hatten und wissen möchten, wie es um Ihre tatsächliche Sicherheit steht.
Standard Red Teaming (CHF 20’000-40’000)
- Für wen: Mittelständische Unternehmen mit 100-250 Mitarbeitenden oder Unternehmen mit erhöhten Sicherheitsanforderungen.
- Was wird getestet: Gründliche Angriffssimulation mit mehreren Angriffsvektoren — Phishing, Social Engineering (inkl. Telefon), technische Angriffe, ggf. physischer Zugang.
- Dauer: 3-5 Wochen.
- Ergebnis: Umfassender Bericht, Bewertung der Detection-Fähigkeiten, Debriefing-Workshop.
- Besonders geeignet, wenn: Sie bereits grundlegende Sicherheitsmassnahmen implementiert haben und diese unter realistischen Bedingungen testen möchten.
Full Red Teaming (CHF 40’000-80’000)
- Für wen: Grössere Unternehmen oder regulierte Branchen (Finanzsektor, Gesundheitswesen) mit hohen Sicherheitsanforderungen.
- Was wird getestet: Vollumfängliche Angriffssimulation über mehrere Wochen, inklusive physischer Zugangstests, fortgeschrittener Social-Engineering-Szenarien und ausgedehnter lateraler Bewegung.
- Dauer: 4-8 Wochen.
- Ergebnis: Umfassender Bericht, Purple-Teaming-Workshops, langfristige Verbesserungsstrategie.
- Besonders geeignet, wenn: Sie ein ausgereiftes Sicherheitsprogramm haben und es auf Herz und Nieren prüfen möchten, oder wenn regulatorische Anforderungen (z. B. FINMA) dies verlangen.
Kostenvergleich auf einen Blick
| Dienstleistung | Typische Kosten Schweiz |
|---|---|
| Penetrationstest | CHF 10’000-25’000 |
| Focused Red Teaming (RedTeam Partners) | Ab CHF 11’900 |
| Standard Red Teaming | CHF 20’000-40’000 |
| Full Red Teaming | CHF 40’000-80’000 |
Detaillierter Kostenvergleich: Red Team Kosten in der Schweiz
Warum macht KI Red Teaming 2026 unverzichtbar?
KI hat die Bedrohungslandschaft 2025/2026 fundamental verändert und macht Red Teaming für jedes Schweizer KMU zur Notwendigkeit. Laut dem Verizon DBIR 2024 stieg die Zahl KI-gestützter Phishing-Angriffe um 60 % gegenüber dem Vorjahr. KI senkt die Eintrittsbarriere für Cyberangriffe dramatisch:
KI-generiertes Phishing
Cyberkriminelle nutzen Large Language Models, um Phishing-E-Mails zu erstellen, die sprachlich perfekt sind — auch auf Deutsch und in Schweizer Schreibweise. Diese E-Mails sind nicht mehr durch Rechtschreibfehler oder merkwürdige Formulierungen erkennbar. KI-generiertes Phishing ist personalisiert, kontextbezogen und für Menschen kaum vom Original zu unterscheiden.
Deepfake-Angriffe
KI-generierte Stimmen und Videos ermöglichen eine neue Dimension von Social Engineering. Ein Angreifer kann die Stimme Ihres Geschäftsführers nachahmen und Ihren CFO anrufen: «Bitte überweisen Sie sofort CHF 95’000 an diesen Lieferanten.» Deepfake-Technologie wird zunehmend zugänglich und schwerer zu erkennen.
Automatisierte Schwachstellensuche
KI beschleunigt die Suche nach Schwachstellen in IT-Systemen. Was ein menschlicher Hacker in Wochen analysiert, schafft ein KI-Tool in Stunden. Das bedeutet: Die Zeit zwischen der Veröffentlichung einer Schwachstelle und dem ersten Angriff wird immer kürzer.
Was das für Ihr KMU bedeutet
Ihre bestehenden Schutzmassnahmen — E-Mail-Filter, Firewall, Antivirensoftware — wurden für eine Bedrohungslandschaft vor der KI-Revolution entwickelt. Sie sind notwendig, aber nicht mehr ausreichend. Red Teaming testet, ob Ihre Verteidigung auch gegen KI-gestützte Angriffe bestehen kann.
Ist Red Teaming nicht nur für Grosskonzerne?
Nein — Red Teaming ist 2026 für jedes Schweizer KMU relevant und erschwinglich. Laut einer gfs-Befragung im Auftrag von digitalswitzerland wurden 2024 rund 4 % aller Schweizer KMU Opfer eines schwerwiegenden Cyberangriffs. Hier sind die häufigsten Einwände und die Realität:
«Wir sind zu klein, uns greift niemand an.»
Realität: Gerade KMU sind bevorzugte Ziele. Sie haben wertvolle Daten (Kundendaten, Bankverbindungen, Geschäftsgeheimnisse), aber weniger Schutz als Grosskonzerne. Für einen Angreifer ist ein schlecht geschütztes KMU ein leichteres Ziel als ein Grosskonzern mit einer eigenen Sicherheitsabteilung. Das NCSC bestätigt: KMU werden überproportional häufig angegriffen.
«Wir haben doch schon einen Penetrationstest gemacht.»
Realität: Ein Penetrationstest prüft Ihre technische Sicherheit. Er prüft nicht, ob Ihre Mitarbeitenden Phishing erkennen, ob Ihre Prozesse einen laufenden Angriff stoppen oder ob Ihr Incident-Response-Plan funktioniert. Detaillierter Vergleich: Red Teaming vs. Penetrationstest.
«Red Teaming ist zu teuer für uns.»
Realität: Das war lange so. Traditionelles Red Teaming kostete CHF 40’000-80’000 — für viele KMU nicht tragbar. Doch RedTeam Partners hat das Modell für KMU neu gedacht und bietet professionelles Red Teaming ab CHF 11’900 an — zum Preis eines herkömmlichen Penetrationstests. Gleichzeitig: Die durchschnittlichen Kosten eines erfolgreichen Ransomware-Angriffs auf ein Schweizer KMU betragen CHF 84’000. Red Teaming ist keine Ausgabe — es ist eine Versicherungsinvestition.
«Unsere IT macht das schon.»
Realität: Ihre IT-Abteilung (oder Ihr IT-Dienstleister) kennt Ihre Systeme — und genau das ist das Problem. Sie kennen die Architektur, die Konfiguration, die Workarounds. Ein externes Red Team sieht Ihr Unternehmen mit den Augen eines Angreifers — unvoreingenommen und mit der Methodik professioneller Cyberkrimineller.
RedTeam Partners: Red Teaming ab CHF 11’900 für Schweizer KMU
RedTeam Partners ist ein CREST-zertifizierter Cybersecurity-Anbieter mit Sitz in Zürich, spezialisiert auf Red Teaming für den Schweizer KMU-Markt.
Was bedeutet CREST-Zertifizierung?
CREST (Council of Registered Ethical Security Testers) ist der international anerkannte Standard für ethische Sicherheitsprüfungen. Eine CREST-Zertifizierung garantiert:
- Nachgewiesene technische Kompetenz der Tester
- Einhaltung strenger ethischer und rechtlicher Richtlinien
- Regelmässige Rezertifizierung und Qualitätskontrolle
- Anerkennung durch Regulierungsbehörden und Versicherer
Das Focused Red Team Assessment für KMU
Für CHF 11’900 erhalten Sie:
- Reconnaissance und OSINT-Analyse — Was findet ein Angreifer über Ihr Unternehmen?
- Gezielte Phishing-Kampagne — Realistische, auf Ihr Unternehmen zugeschnittene Angriffs-E-Mails
- Technische Angriffssimulation — Ausnutzung technischer Schwachstellen und gewonnener Zugänge
- Laterale Bewegung — Wie weit kommt der Angreifer im Netzwerk?
- Detection Assessment — Erkennen Ihre Systeme den Angriff?
- Detaillierter Abschlussbericht — Vollständige Angriffskette mit priorisierten Massnahmen
- Management-Summary — Verständlich für die Geschäftsleitung, ohne IT-Jargon
- Persönliches Debriefing — Workshop mit Ihrem Team zur Besprechung der Ergebnisse
Weitere Anbieter im Vergleich: Red Team Anbieter in der Schweiz
Jetzt handeln: Red Teaming ab CHF 11’900
Die Bedrohungslage für Schweizer KMU war noch nie so ernst. KI-gestützte Angriffe werden raffinierter, Ransomware-Gruppen zielen gezielt auf den Mittelstand, und das nDSG macht Geschäftsführer persönlich haftbar für unzureichende Schutzmassnahmen.
Red Teaming gibt Ihnen die Antwort auf die entscheidende Frage: Kann ein Angreifer in mein Unternehmen eindringen — und wie weit kommt er?
RedTeam Partners (CREST-zertifiziert, Zürich): Red Teaming ab CHF 11’900 — zum Preis eines Penetrationstests, nur für Schweizer KMU.
- Enterprise-grade Red Teaming, angepasst an die Bedürfnisse und Budgets von KMU
- CREST-zertifizierte Experten mit nachgewiesener Erfahrung in der Schweizer Unternehmenslandschaft
- Detaillierter Bericht mit Management-Summary und priorisierten Handlungsempfehlungen
- Persönliches Debriefing mit Ihrem Team
Jetzt Red Teaming anfragen — ab CHF 11’900 für Schweizer KMU
Fazit: Red Teaming ist der Realitätscheck für Ihre Cybersecurity
Red Teaming ist der einzige Sicherheitstest, der die tatsächliche Verteidigungsfähigkeit eines Unternehmens unter realistischen Bedingungen misst. Checklisten, Penetrationstests und Schulungen sind wichtige Bausteine. Doch keiner dieser Bausteine beantwortet die entscheidende Frage: Hält Ihre Verteidigung einem echten Angriff stand?
Red Teaming liefert diese Antwort — nicht theoretisch, sondern praktisch. Es zeigt nicht nur, wo Schwachstellen liegen, sondern wie ein Angreifer sie zusammen ausnutzt, um sein Ziel zu erreichen.
Für Schweizer KMU war Red Teaming lange unerschwinglich. Das hat sich geändert. Mit RedTeam Partners erhalten Sie professionelles Red Teaming ab CHF 11’900 — und damit die Gewissheit, wie es um Ihre tatsächliche Sicherheit steht. Gleichzeitig erfüllen Sie damit die Anforderungen des nDSG an den Nachweis angemessener Schutzmassnahmen.
Denn die Frage ist nicht, ob Ihr Unternehmen angegriffen wird. Die Frage ist, ob Sie es rechtzeitig merken und richtig reagieren.
Weiterführende Ressourcen
- Red Teaming vs. Penetrationstest — der vollständige Vergleich
- Phishing-Schutz für Unternehmen — die grösste Bedrohung verstehen
- Ransomware-Schutz für KMU — Prävention bis Wiederherstellung
- Cybersecurity-Checkliste für KMU — 25 Massnahmen
- nDSG-Checkliste für KMU — Datenschutz-Compliance prüfen
- Red Team Kosten in der Schweiz — alle Preisstufen
- Red Teaming für Schweizer KMU — ab CHF 11’900