Red Team vs. Blue Team vs. Purple Team

In der IT-Sicherheit werden Red Team, Blue Team und Purple Team als drei unterschiedliche Rollen bzw. Disziplinen verwendet.
Sie haben unterschiedliche Aufgaben, aber ihr Ziel ist dasselbe:
-> Ein Unternehmen sicherer machen.

Red Team – Die Angreifer (Offensive Security)

Das Red Team spielt den Hacker. Sie greifen das Unternehmen kontrolliert, aber realistisch an, um Schwachstellen aufzudecken.

Ziel des Red Teams

Sicherheitslücken finden
Schwachstellen ausnutzen
Angriffswege (Kill Chains) nachvollziehen
Unbemerkt ins Netzwerk eindringen
Sicherheitsmaßnahmen testen
Reaktionsfähigkeit des Blue Teams prüfen

Was das Red Team konkret macht

Penetration Testing
Social Engineering (Phishing)
Passwortangriffe
Ausnutzen von Schwachstellen (Exploits)
Lateral Movement im Netzwerk
Privilege Escalation
Reverse Engineering
Cloud-Angriffe
Web-, Server- und Infrastrukturangriffe

Das Red Team verhält sich wie echte Bedrohungsakteure, jedoch im Auftrag des Unternehmens.

Typische Tools (Beispiele)

Kali Linux, Parrot OS
Metasploit Framework
BloodHound / SharpHound (AD-Angriffe)
Cobalt Strike / Brute Ratel
Mimikatz
Burp Suite / OWASP ZAP
Responder, Impacket
Nmap

Das Red Team testet die Technik und die Menschen (z. B. durch Phishing).

Blue Team – Die Verteidiger (Defensive Security)

Das Blue Team schützt das Unternehmen. Sie erkennen Angriffe, reagieren darauf und härten Systeme.

Ziel des Blue Teams

Angriffe erkennen
Angriffe verhindern
Angriffe stoppen
Systeme härten
Schwachstellen schließen
Logs & Netzwerke überwachen

Was das Blue Team konkret macht

Incident Response
Security Monitoring
Forensik
SIEM-Analyse
Threat Hunting
Firewalls konfigurieren
Patch-Management
Log-Analyse
Netzwerksegmentierung
Backups prüfen
Benutzerberechtigungen kontrollieren

Das Blue Team sorgt dafür, dass Angriffe entdeckt, untersucht und gestoppt werden.

Typische Tools (Beispiele)

EDR / XDR (z. B. Defender ATP)
SIEM (z. B. Splunk, Sentinel, QRadar)
Firewall-Systeme
IDS/IPS
Sysmon
Wireshark
ELK Stack

Das Blue Team ist das „Sicherheits-Fundament“, ohne das ein Unternehmen schnell angreifbar wäre.

Purple Team – Die Zusammenarbeit (Offense + Defense)

Einfach erklärt:

Das Purple Team verbindet Red Team + Blue Team, damit beide voneinander lernen und effizienter werden.
Es ist also kein eigenes Team wie „rot“ oder „blau“, sondern eine Arbeitsweise, die beide Seiten zusammenbringt.

Ziel des Purple Teams

Angriffe des Red Teams dokumentieren
Defender (Blue Team) in Echtzeit einbinden
Security Controls verbessern
Detection & Response optimieren
Prozesse testen und verbessern
Wissen austauschen

Das Purple Team macht die Security ganzheitlich besser.

Was das Purple Team konkret macht

Red-Team-Angriffe mit Blue Team besprechen
Angriffsketten Schritt für Schritt nachstellen
Prüfen, ob der Angriff erkannt wird
Detection-Rules entwickeln
MITRE ATT&CK Mapping
Gap-Analysen der Verteidigungsmaßnahmen
Verbesserungsvorschläge ableiten

Das Purple Team sorgt dafür, dass das Unternehmen aus jedem Angriff lernt.

Typische Tools (Beispiele)

MITRE ATT&CK Navigator
Atomic Red Team
Caldera
OpenCTI
Detection Engineering Tools

Wie arbeiten die Teams zusammen?

– Red Team -> testet und findet Schwachstellen

– Blue Team -> verteidigt und reagiert

– Purple Team -> analysiert, verbindet und optimiert

Vergleichstabelle (sehr verständlich)

Team	Rolle	Fokus	Ziel
Red Team	Angreifer	Offensive	Schwachstellen finden
Blue Team	Verteidiger	Defensive	Angriffe erkennen & stoppen
Purple Team	Vermittler	Offense + Defense	Zusammenarbeit & Verbesserung

Wer eignet sich für welche Rolle?

Red Team

Für dich, wenn du magst:

Hacking
Schwachstellen finden
Exploits
Technik & Kreativität

Blue Team

Für dich, wenn du magst:

Analyse
Monitoring
Forensik
Stabilität & Sicherheit

Purple Team

Für dich, wenn du magst:

Zusammenarbeit
Angriffe nachstellen
Detection verbessern
strategische Arbeit

Einfache Zusammenfassung

Red Team: greift an
Blue Team: verteidigt
Purple Team: sorgt dafür, dass beide besser werden