Vadim Pastuh - stock.adobe.com

Tipp

Red Team, Blue Team, Purple Team: Wer kümmert sich um was?

Rote Teams greifen an, blaue Teams verteidigen und violette Teams fördern die Zusammenarbeit. Gemeinsam stärken sie die Sicherheit durch simulierte Übungen und Wissensaustausch.

Sharon Shea
von
Zuletzt aktualisiert: 26 Jan. 2026

Bei Security-Teamübungen arbeiten Red, Blue und Purple Teams zusammen, um Cyberabwehrmaßnahmen zu testen, Schwachstellen und Schwächen zu identifizieren und die Sicherheitslage einer Organisation zu verbessern.

Jedes Team spielt bei diesen Übungen eine wichtige Rolle. Kurz gesagt: Das rote Team ist die Offensive, das blaue Team ist die Defensive und das violette Team ist eine Kombination aus dem roten und dem blauen Team.

Erfahren Sie in diesem Beitrag, welche Aufgaben jedes Team erfüllen sollte, und wie Sie damit die Leistung Ihres Security Operations Centers (SOC) verbessern.

Die Aufgaben des Red Team

In der Offensive greift das rote Team an und versucht, die Verteidigung des blauen Teams zu durchbrechen. Es simuliert Angriffe, um Verteidigungsmechanismen zu umgehen, in Netzwerke einzudringen, auf Daten zuzugreifen und diese zu exfiltrieren – und das alles, ohne vom blauen Team entdeckt zu werden.

Red Teams bestehen in der Regel aus ethischen Hackern, Penetrationstestern und anderen Sicherheitsexperten. Um effektiv zu sein, sollten die Mitglieder des Red Teams keine Kenntnisse über die Abwehrmechanismen eines Unternehmens haben. Daher lagern Unternehmen die Dienste des Red Teams häufig an Dritte aus.

Bei Sicherheitsübungen nutzen Red Teams reale Cyberangriffstechniken, um als Angreifer aufzutreten, die Schwachstellen bei den Mitarbeitern, Prozessen und Technologien eines Unternehmens ausnutzen. Zu den gängigen Techniken gehören:

Teammitglieder verwenden Open-Source-, kommerzielle und maßgeschneiderte Tools, um in Systeme vorzudringen und dann ihre Berechtigungen zu erweitern, um erfolgreich in das Netzwerk einzudringen.

Die Berichterstattung nach einem Angriff ist eine weitere Aufgabe des Red Teams. Die Mitglieder halten Details zu den Angriffen fest, darunter die verwendeten Techniken, die angegriffenen Vektoren sowie erfolgreiche und erfolglose Versuche. Die Berichte sollten auch Empfehlungen zur Stärkung der defensiven Sicherheitsmaßnahmen enthalten. Diese Berichte helfen den Blue Teams zu verstehen, wo Sicherheitslücken bestehen, wie die Abwehrmaßnahmen versagt haben und wo die Sicherheit verbessert werden muss.

Die Aufgaben des Blue Team

In der Defensive ist das blaue Team dafür verantwortlich, Unternehmenssysteme regelmäßig zu analysieren, um sie angemessen zu schützen, Schwachstellen zu identifizieren und zu beheben sowie die Wirksamkeit von Security-Tools und -Prozessen zu bewerten.

Blaue Teams bestehen in der Regel aus SOC-Analysten, Incident Respondern, Threat Hunters und Digitalforensik-Analysten.

Während einer Sicherheitsübung versuchen die blauen Teams, die Angriffe der roten Teams zu erkennen, abzuschwächen, einzudämmen, zu unterbinden und die Folgen zu beheben. Zu den gängigen Taktiken gehören:

Die Mitglieder des blauen Teams verwenden während der Übungen vorhandene Werkzeuge und Prozesse.

Zu den gängigen Aufgaben des Blue Teams gehören:

  • Erstellen, Konfigurieren und Durchsetzen von Firewall-Regeln.
  • Festlegen und Implementieren von Geräte- und Benutzerkontrollen.
  • Implementieren des Prinzips der geringsten Privilegien (POLP).
  • Patching und Aktualisieren von Unternehmenssoftware.
  • Bereitstellen zusätzlicher Sicherheitstools und -kontrollen.
  • Segmentieren von Netzwerken.
  • Durchführen von Reverse Engineering bei Cyberangriffen.
  • Durchführen von DDoS-Tests.
  • Entwickeln oder Aktualisieren von Richtlinien für die Reaktion auf Vorfälle und deren Behebung.

Das blaue Team ist außerdem dafür verantwortlich, menschliche Schwachstellen zu erkennen und sich um sie zu kümmern. Sich über die aktuellen Tricks bei Betrugsversuchen via Phishing oder Social Engineering zu informieren, gehört damit ebenfalls zu seinen Aufgaben. Zusätzlich führen die Experten Security Awareness Trainings durch und sorgen dafür, dass Richtlinien für Endanwender im Unternehmen erstellt und durchgesetzt werden. Ein Beispiel dafür sind Vorgaben für Passwörter.

Wenn blaue Teams Risiken feststellen, sollten sie die Geschäftsleitung benachrichtigen, die wiederum beurteilen kann, ob die Risiken akzeptiert oder neue Richtlinien oder Kontrollen zu ihrer Minderung eingeführt werden sollen.

Wie die roten Teams sammeln auch die blauen Teams nach Abschluss einer Übung Beweise, Protokolle und Daten, um Berichte über ihre Erfahrungen und Erkenntnisse zu verfassen und eine Liste mit zu ergreifenden Maßnahmen zu erstellen. Sie analysieren, welche Abwehrmaßnahmen funktionieren und was verbessert werden muss, um einen besseren Schutz vor potenziellen Cyberangriffen zu gewährleisten.

Die Aufgaben und das Zusammenspiel von Blue, Purple und Red Team im Überblick.
Abbildung 1: Die Aufgaben und das Zusammenspiel von Blue, Purple und Red Team im Überblick.

Die Aufgaben des Purple Team

Das Purple Team als Team zu bezeichnen, ist etwas irreführend. Das Purple Team ist nämlich kein eigenständiges Team, sondern eine Kombination aus Mitgliedern, Rollen und Verantwortlichkeiten des Blue Teams und des Red Teams.

Obwohl rote und blaue Teams das gleiche Ziel verfolgen, nämlich die Sicherheit einer Organisation zu verbessern, sind beide oft nicht bereit, ihre Geheimnisse preiszugeben. So geben rote Teams beispielsweise möglicherweise nicht bekannt, mit welchen Methoden sie in Systeme eindringen, während blaue Teams möglicherweise nicht verraten, wie sie die Angriffe der roten Teams entdeckt und abgewehrt haben.

Die Weitergabe dieser Geheimnisse ist jedoch entscheidend für die Stärkung der Sicherheitslage eines Unternehmens. Die Bedeutung von Red und Blue Teams wird geschmälert, wenn sie ihre Forschungsergebnisse und Berichte nicht weitergeben.

Hier kommt das Purple Team ins Spiel. Die Mitglieder des Purple Teams spielen eine wichtige Rolle dabei, ihre Teamkollegen aus dem Red und Blue Team zur Kommunikation, Zusammenarbeit und zum Austausch zu bewegen. Beim Purple Teaming geht es weniger darum, welches Team bei Cybersicherheitsübungen gewinnt, sondern vielmehr darum, wie Teams zusammenarbeiten, um die Sicherheit einer Organisation zu verbessern.

Da es sich um eine Kombination aus roten und blauen Teams handelt, umfassen die Aktivitäten des Purple Teaming Folgendes:

  • Identifizierung von Schwachstellen.
  • Penetrationstests.
  • Threat Intelligence.
  • Reaktion auf Vorfälle.
  • Patching.
  • Netzwerküberwachung.
  • Bewertung von Tools und Sicherheitskontrollen.

Vorteile der Zusammenarbeit zwischen roten, blauen und violetten Teams

Jedes Team hat seine eigenen Stärken, aber Unternehmen können die größten Vorteile erzielen, wenn sie die verschiedenen Teams und Strategien kombinieren. Purple-Team-Übungen helfen insbesondere bei folgenden Aufgaben:

  • Die Zusammenarbeit verbessern,
  • für einen gesunden Wettbewerb sorgen,
  • identifizieren, wo weitere Trainings nötig sind,
  • die Mitarbeiter motivieren außerhalb vorgegebener Wege zu denken,
  • die Teammitglieder dabei unterstützen, echte Sicherheitsfähigkeiten aus der „realen Welt“ zu entwickeln,
  • die Erkennung von Bedrohungen und die Reaktionszeiten zu verbessern sowie
  • die Sicherheitssituation in einem Unternehmen kontinuierlich zu verbessern.

 

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit