Vulnerability Scanning: automatisiert, CHF 200 bis 2’000 pro Monat, findet bekannte Schwachstellen. Red Teaming: manuell, ab CHF 11’900, beweist ob ein Angreifer Ihr Unternehmen kompromittieren kann. Zwei fundamental verschiedene Werkzeuge.

Vulnerability Scanning ist Pflicht als Basismassnahme. Red Teaming testet, ob Ihre Abwehr einem echten Angriff standhält. Die Entscheidung hängt vom Reifegrad ab: Wer noch nie gescannt hat, braucht kein Red Team. Wer regelmässig scannt und patcht, braucht den nächsten Schritt.

Was ist Vulnerability Scanning?

Vulnerability Scanning ist ein automatisierter Prozess, bei dem Software-Tools (wie Nessus, Qualys oder OpenVAS) Systeme, Netzwerke und Anwendungen nach bekannten Schwachstellen durchsuchen. Diese Tools vergleichen die gefundenen Konfigurationen und Softwareversionen mit Datenbanken bekannter Sicherheitslücken (CVE-Datenbanken).

Was ein Vulnerability Scan leistet:

  • Automatische Erkennung von veralteter Software und fehlenden Patches
  • Identifikation von Fehlkonfigurationen in Netzwerkgeräten und Servern
  • Priorisierung von Schwachstellen nach Schweregrad (CVSS-Score)
  • Regelmässige, wiederholbare Überprüfungen — täglich, wöchentlich oder monatlich
  • Compliance-Nachweise für ISO 27001, PCI DSS und andere Standards

Was ein Vulnerability Scan nicht leistet:

  • Testen, ob Schwachstellen tatsächlich ausnutzbar sind
  • Simulation echter Angreiferstrategien und -taktiken
  • Erkennung von Geschäftslogikfehlern in Applikationen
  • Bewertung der menschlichen Sicherheitskultur (Social Engineering)
  • Kombination mehrerer kleiner Schwachstellen zu einem kritischen Angriffsweg

Laut dem Bundesamt für Cybersicherheit (BACS) wurden 2024 über 43% der erfolgreichen Angriffe auf Schweizer KMU durch Schwachstellen ermöglicht, die in Vulnerability Scans sichtbar gewesen wären — aber nie behoben wurden. Scanning ohne konsequentes Patch-Management ist wertlos.

Was ist Red Teaming?

Red Teaming ist die realistische Simulation eines gezielten Cyberangriffs durch erfahrene Sicherheitsexperten. Ein Red Team denkt und handelt wie echte Angreifer: Es kombiniert technische Exploits mit Social Engineering, physischen Angriffen und der Ausnutzung von Prozesslücken — ohne vorher bekannte Ziele oder Systeme einzuschränken.

Was Red Teaming leistet:

  • Realistische Simulation von Advanced Persistent Threats (APT)
  • Kombination von technischen, sozialen und physischen Angriffsvektoren
  • Testen der tatsächlichen Erkennungs- und Reaktionsfähigkeit Ihres Teams
  • Aufdeckung von Schwachstellen, die kein automatisches Tool findet
  • Nachweis des tatsächlichen Geschäftsrisikos mit konkreten Angriffsszenarien
  • Validierung von Sicherheitsinvestitionen (SIEM, EDR, Firewalls)

“Vulnerability Scanning sagt Ihnen, welche Türen offen sein könnten. Red Teaming zeigt Ihnen, ob ein Einbrecher tatsächlich durch Ihr Gebäude spazieren kann — und wie weit er kommt, ohne bemerkt zu werden.” — Senior Red Team Consultant, Schweizer Sicherheitsdienstleister

Eine Studie von IBM Security zeigt: Unternehmen, die regelmässige Red Team-Übungen durchführen, reduzieren die durchschnittliche Erkennungszeit eines Angriffs (Mean Time to Detect) um bis zu 60% im Vergleich zu Unternehmen, die sich ausschliesslich auf automatisierte Tools verlassen.

Detaillierter Vergleich: Red Teaming vs. Vulnerability Scanning

DimensionVulnerability ScanningRed Teaming
ScopeDefinierte Systeme, IP-Bereiche, ApplikationenGesamtes Unternehmen: Technik, Mensch, Prozesse, physisch
MethodeAutomatisiert, regelbasiert, CVE-DatenbankenManuell, kreativ, TTP-basiert (MITRE ATT&CK)
TiefeBreite Abdeckung, oberflächlichEng fokussiert, sehr tief
DauerStunden bis wenige Tage4–12 Wochen
Kosten (CHF)CHF 500–5’000 pro Scan / CHF 1’000–15’000/JahrAb CHF 11’900, typisch CHF 25’000–80’000
Angreifer-SimulationKeineVollständig: APT, Insider, Nation-State
False PositivesHoch (20–40% der Findings)Sehr gering (alle Findings manuell validiert)
ErgebnisListe von Schwachstellen mit CVSS-ScoreAngriffsbericht mit Business Impact und Angriffsketten
FrequenzKontinuierlich / wöchentlichEinmal jährlich oder bei grossen Änderungen
Compliance-NachweisISO 27001, PCI DSS, DORATIBER-EU, CBEST, interne Sicherheitsvalidierung
Empfohlen fürAlle KMU als Basis-HygieneKMU mit kritischen Daten, regulierte Branchen, reife Sicherheitsorganisationen
Team-AnforderungIT-Administrator kann Ergebnisse verwaltenErfordert Sicherheitsverantwortlichen / CISO

Das Sicherheitsreifegrad-Modell für Schweizer KMU

Die wichtigste Erkenntnis: Vulnerability Scanning und Red Teaming ersetzen sich nicht — sie bauen aufeinander auf. Verwenden Sie dieses Reifegrad-Modell, um den richtigen nächsten Schritt für Ihr KMU zu bestimmen.

Stufe 1: Grundschutz (Scan)

Geeignet für: KMU mit weniger als 20 Mitarbeitenden, keine kritische Infrastruktur, begrenzte IT-Ressourcen.

Massnahmen:

  • Monatlicher Vulnerability Scan aller exponierten Systeme
  • Automatisiertes Patch-Management
  • Grundlegende Firewall und Endpunktschutz
  • Cybersecurity-Checkliste für KMU als Orientierung

Budget: CHF 1’500–8’000 pro Jahr

Auf dieser Stufe ist ein Red Team-Einsatz noch nicht sinnvoll — die Grundhygiene muss erst sichergestellt sein. Ein Red Team würde triviale Schwachstellen finden, die ein Scan bereits identifizieren würde.

Stufe 2: Erweiterter Schutz (Penetrationstest)

Geeignet für: KMU mit 20–100 Mitarbeitenden, sensible Kundendaten, regulierte Branchen.

Massnahmen:

  • Vierteljährliche Vulnerability Scans
  • Jährlicher Penetrationstest für kritische Systeme
  • Security Awareness Training für Mitarbeitende
  • Grundlegende SIEM-Lösung oder Managed Detection & Response

Budget: CHF 15’000–40’000 pro Jahr

Hier beginnt die manuelle Sicherheitsprüfung: Ein Penetrationstest testet gezielt definierte Systeme auf ausnutzbare Schwachstellen. Der Unterschied zum Red Teaming: Der Scope ist klar definiert, das Ziel ist das System, nicht das Unternehmen.

Stufe 3: Fortgeschrittener Schutz (Red Teaming)

Geeignet für: KMU mit 50+ Mitarbeitenden, kritische Infrastruktur, Finanz- und Gesundheitsbranche, Unternehmen mit hohem Angriffspotenzial.

Massnahmen:

  • Kontinuierliches Vulnerability Management (automatisiert)
  • Jährliche Penetrationstests für neue Systeme
  • Red Team-Übung alle 1–2 Jahre
  • Aufgebaute oder bezogene SOC-Kapazitäten

Budget: CHF 50’000–120’000+ pro Jahr (inkl. Red Team)

Auf dieser Stufe ist Red Teaming der entscheidende Qualitätssprung: Es testet nicht mehr einzelne Systeme, sondern die Gesamtverteidigung Ihres Unternehmens unter realen Angriffsbedingungen.

“Viele KMU fragen uns: Brauchen wir wirklich Red Teaming? Meine Gegenfrage lautet immer: Haben Sie je getestet, ob Ihre Sicherheitsinvestitionen im Ernstfall funktionieren? Ein Scan sagt Ihnen nicht, ob Ihr SIEM einen Angriff wirklich erkennt.” — CISO Advisory Partner, führendes Schweizer Beratungshaus

Wann welcher Ansatz richtig ist

Vulnerability Scanning ist die richtige Wahl, wenn:

  • Sie noch keine etablierte Schwachstellenverwaltung haben
  • Ihr Budget unter CHF 10’000 pro Jahr für Sicherheitsprüfungen liegt
  • Sie primär Compliance-Anforderungen (ISO 27001 Annex A.12.6) erfüllen müssen
  • Ihre IT-Infrastruktur klein und überschaubar ist
  • Sie als Vorstufe zu umfassenderen Tests dienen möchten

Red Teaming ist die richtige Wahl, wenn:

  • Sie wissen möchten, ob ein echter Angreifer Ihr Unternehmen kompromittieren kann
  • Sie Sicherheitsinvestitionen (SIEM, EDR, Firewall) validieren möchten
  • Ihr Unternehmen reguliert ist (Fintech, Medtech, kritische Infrastruktur)
  • Sie eine reife Sicherheitsorganisation haben und den nächsten Reifegrad erreichen wollen
  • Sie sich auf Cyber-Versicherungen oder TIBER-EU-Anforderungen vorbereiten
  • Sie Lieferanten oder Partner mit hohen Sicherheitsanforderungen beliefern

Kosten im Vergleich: Was kostet was in der Schweiz?

Laut einer Auswertung von Schweizer Sicherheitsdienstleistern investieren KMU mit 50–200 Mitarbeitenden typischerweise:

  • Vulnerability Scanning (automatisiert): CHF 2’000–8’000 pro Jahr inkl. Tool-Lizenz und Reporting
  • Manueller Vulnerability Assessment: CHF 3’000–10’000 pro Projekt (halbjährlich empfohlen)
  • Penetrationstest (Web-Applikation): CHF 8’000–25’000 je nach Komplexität — mehr dazu in unserem Penetrationstest-Kostenvergleich
  • Red Team-Übung: Ab CHF 11’900 für Basis-Szenarien, CHF 25’000–80’000 für gründliche Engagements — Details im Red Team Kostenüberblick

Der ROI-Unterschied ist erheblich: Ein Vulnerability Scan kostet CHF 2’000 und findet 47 Schwachstellen. Ein Red Team-Einsatz kostet CHF 30’000 und zeigt Ihnen die eine Angriffskette, die zur vollständigen Kompromittierung führt — zusammen mit dem Nachweis, dass Ihre Abwehr versagt hätte.

Was Schweizer Anbieter leisten

Ob Sie einen Vulnerability Scan oder ein Red Team benötigen — die Qualität des Anbieters ist entscheidend. In der Schweiz gibt es zertifizierte Anbieter für beide Bereiche. Unsere Übersicht der Red Team Anbieter Schweiz hilft bei der Auswahl.

Achten Sie auf folgende Qualitätsmerkmale:

Bei Vulnerability Scanning:

  • Verwendung anerkannter Tools (Nessus, Qualys, Rapid7)
  • Manuelle Verifikation der kritischen Findings
  • Klares Reporting mit Priorisierung und Massnahmenempfehlungen
  • Nachverfolgung von Massnahmen in Follow-up-Scans

Bei Red Teaming:

  • OSCP, CRTO oder vergleichbare Zertifizierungen der Tester
  • Erfahrung mit MITRE ATT&CK Framework
  • Referenzen aus Ihrer Branche
  • Klarer Rechtlicher Rahmen (Rules of Engagement, schriftliche Genehmigung)
  • Detaillierter Abschlussbericht mit Executive Summary und technischer Dokumentation

Die häufigsten Missverständnisse

“Wir scannen regelmässig — wir sind sicher.” Falsch. 68% der Unternehmen, die regelmässige Scans durchführen, haben laut einer SANS-Studie dennoch kritische Schwachstellen, die durch manuelle Tests gefunden werden. Scanning ohne Remediation und ohne manuelle Tiefenprüfung gibt nur ein falsches Sicherheitsgefühl.

“Red Teaming ist nur für grosse Unternehmen.” Falsch. Gerade KMU mit wertvollen Daten — Patientendaten, Finanzdaten, geistiges Eigentum — sind bevorzugte Ziele, weil ihre Verteidigung typischerweise schwächer ist. Ein gezieltes Red Team-Engagement für CHF 11’900 kann zeigen, ob Ihr KMU für einen realen Angriff ausreichend vorbereitet ist.

“Ein Penetrationstest ist dasselbe wie Red Teaming.” Nicht ganz. Der Unterschied ist fundamental — unser Vergleich Red Teaming vs. Penetrationstest erklärt die Unterschiede im Detail.

Entscheidungshilfe: Vulnerability Scan oder Red Team?

Beantworten Sie diese fünf Fragen:

  1. Haben wir ein aktuelles Inventar aller exponierten Systeme? → Nein: Beginnen Sie mit Scanning.
  2. Führen wir bereits regelmässige Scans durch und beheben Findings zeitnah? → Nein: Scannen und Patch-Management priorisieren.
  3. Haben wir kritische Kundendaten oder regulatorische Anforderungen? → Ja: Penetrationstest planen.
  4. Haben wir in SIEM, EDR oder ein SOC investiert und wollen wissen, ob es funktioniert? → Ja: Red Teaming.
  5. Wollen wir beweisen können, dass unser Unternehmen einem gezielten Angriff standhält? → Ja: Red Teaming.

Mehr zum Einstieg in Red Teaming erklärt unser Leitfaden Was ist Red Teaming?.

Fazit

Vulnerability Scanning und Red Teaming sind keine Alternativen — sie sind Stufen einer Sicherheitsreise. Scanning ist die Basis, die jedes KMU implementieren sollte. Red Teaming ist der nächste, entscheidende Schritt für Unternehmen, die wirklich wissen wollen, ob ihre Abwehr einem echten Angriff standhält.

Ein automatisierter Scan zeigt Ihnen die offenen Türen. Nur ein Red Team zeigt Ihnen, ob ein Angreifer durch Ihr gesamtes Unternehmen spazieren kann — und was er dabei mitnehmen würde.

Bereit für den realen Test? Unsere zertifizierten Red Teams simulieren echte Angriffe auf Ihr Schweizer KMU und liefern actionable Ergebnisse — klar, priorisiert und auf Ihr Geschäftsrisiko ausgerichtet.

Jetzt Red Team-Einsatz anfragen — ab CHF 11’900