In der IT-Sicherheit werden Red Team, Blue Team und Purple Team als drei unterschiedliche Rollen bzw. Disziplinen verwendet.
Sie haben unterschiedliche Aufgaben, aber ihr Ziel ist dasselbe:
-> Ein Unternehmen sicherer machen.
Red Team – Die Angreifer (Offensive Security)
Das Red Team spielt den Hacker. Sie greifen das Unternehmen kontrolliert, aber realistisch an, um Schwachstellen aufzudecken.
Ziel des Red Teams
- Sicherheitslücken finden
- Schwachstellen ausnutzen
- Angriffswege (Kill Chains) nachvollziehen
- Unbemerkt ins Netzwerk eindringen
- Sicherheitsmaßnahmen testen
- Reaktionsfähigkeit des Blue Teams prüfen
Was das Red Team konkret macht
- Penetration Testing
- Social Engineering (Phishing)
- Passwortangriffe
- Ausnutzen von Schwachstellen (Exploits)
- Lateral Movement im Netzwerk
- Privilege Escalation
- Reverse Engineering
- Cloud-Angriffe
- Web-, Server- und Infrastrukturangriffe
Das Red Team verhält sich wie echte Bedrohungsakteure, jedoch im Auftrag des Unternehmens.
Typische Tools (Beispiele)
- Kali Linux, Parrot OS
- Metasploit Framework
- BloodHound / SharpHound (AD-Angriffe)
- Cobalt Strike / Brute Ratel
- Mimikatz
- Burp Suite / OWASP ZAP
- Responder, Impacket
- Nmap
Das Red Team testet die Technik und die Menschen (z. B. durch Phishing).
Blue Team – Die Verteidiger (Defensive Security)
Das Blue Team schützt das Unternehmen. Sie erkennen Angriffe, reagieren darauf und härten Systeme.
Ziel des Blue Teams
- Angriffe erkennen
- Angriffe verhindern
- Angriffe stoppen
- Systeme härten
- Schwachstellen schließen
- Logs & Netzwerke überwachen
Was das Blue Team konkret macht
- Incident Response
- Security Monitoring
- Forensik
- SIEM-Analyse
- Threat Hunting
- Firewalls konfigurieren
- Patch-Management
- Log-Analyse
- Netzwerksegmentierung
- Backups prüfen
- Benutzerberechtigungen kontrollieren
Das Blue Team sorgt dafür, dass Angriffe entdeckt, untersucht und gestoppt werden.
Typische Tools (Beispiele)
- EDR / XDR (z. B. Defender ATP)
- SIEM (z. B. Splunk, Sentinel, QRadar)
- Firewall-Systeme
- IDS/IPS
- Sysmon
- Wireshark
- ELK Stack
Das Blue Team ist das „Sicherheits-Fundament“, ohne das ein Unternehmen schnell angreifbar wäre.
Purple Team – Die Zusammenarbeit (Offense + Defense)
Einfach erklärt:
Das Purple Team verbindet Red Team + Blue Team, damit beide voneinander lernen und effizienter werden.
Es ist also kein eigenes Team wie „rot“ oder „blau“, sondern eine Arbeitsweise, die beide Seiten zusammenbringt.
Ziel des Purple Teams
- Angriffe des Red Teams dokumentieren
- Defender (Blue Team) in Echtzeit einbinden
- Security Controls verbessern
- Detection & Response optimieren
- Prozesse testen und verbessern
- Wissen austauschen
Das Purple Team macht die Security ganzheitlich besser.
Was das Purple Team konkret macht
- Red-Team-Angriffe mit Blue Team besprechen
- Angriffsketten Schritt für Schritt nachstellen
- Prüfen, ob der Angriff erkannt wird
- Detection-Rules entwickeln
- MITRE ATT&CK Mapping
- Gap-Analysen der Verteidigungsmaßnahmen
- Verbesserungsvorschläge ableiten
Das Purple Team sorgt dafür, dass das Unternehmen aus jedem Angriff lernt.
Typische Tools (Beispiele)
- MITRE ATT&CK Navigator
- Atomic Red Team
- Caldera
- OpenCTI
- Detection Engineering Tools
Wie arbeiten die Teams zusammen?
– Red Team -> testet und findet Schwachstellen
– Blue Team -> verteidigt und reagiert
– Purple Team -> analysiert, verbindet und optimiert
Vergleichstabelle (sehr verständlich)
| Team | Rolle | Fokus | Ziel |
|---|---|---|---|
| Red Team | Angreifer | Offensive | Schwachstellen finden |
| Blue Team | Verteidiger | Defensive | Angriffe erkennen & stoppen |
| Purple Team | Vermittler | Offense + Defense | Zusammenarbeit & Verbesserung |
Wer eignet sich für welche Rolle?
Red Team
Für dich, wenn du magst:
- Hacking
- Schwachstellen finden
- Exploits
- Technik & Kreativität
Blue Team
Für dich, wenn du magst:
- Analyse
- Monitoring
- Forensik
- Stabilität & Sicherheit
Purple Team
Für dich, wenn du magst:
- Zusammenarbeit
- Angriffe nachstellen
- Detection verbessern
- strategische Arbeit
Einfache Zusammenfassung
- Red Team: greift an
- Blue Team: verteidigt
- Purple Team: sorgt dafür, dass beide besser werden