Red Teaming soll realistisch sein. Doch wie realistisch ist zu realistisch?

Red Team Assessments haben das Ziel, einen realistischen Angriff unter echten Bedingungen zu simulieren – so, wie ihn ein motivierter, externer Angreifer (Threat Actor) durchführen würde. Dabei geht es in erster Linie darum die Reaktionsfähigkeit und Cyber-Resilienz eines Unternehmens zu analysieren: Wie gut wird ein Angriff erkannt? Welche Schwachstellen kann man ausnutzen? Wie wird darauf reagiert? Welche technischen und organisatorischen Abwehrmechanismen greifen – und welche versagen? Doch was passiert, wenn man in dieser Simulation zu weit geht? Was, wenn ein Red Team sich dazu entschließt, durch einen DDoS-Angriff (Distributed Denial of Service) gezielt Systeme vom Netz zu nehmen? In diesem Beitrag analysieren wir ein theoretisches Gedankenspiel: Ist es sinnvoll – oder vertretbar –, DDoS-Angriffe als Bestandteil eines Red Team Assessments einzusetzen? Und wenn ja, unter welchen Voraussetzungen?

1. Was ist ein DDoS-Angriff?

Ein Distributed Denial of Service (DDoS)-Angriff zielt darauf ab, die Verfügbarkeit von Systemen, Diensten oder Infrastrukturen gezielt zu stören – in der Regel durch massenhafte, automatisierte Anfragen an Webserver, Anwendungen oder APIs. Meist erfolgt das über Botnetze oder angemietete Cloud-Ressourcen, die innerhalb kurzer Zeit eine systematische Überlast erzeugen oder gezielt darauf abzielen, auf dem Zielsystem Ressourcen wie CPU zu erschöpfen oder Connection Tables voll zu müllen. CERTAINITY führt DDoS-Simulationen im Rahmen kontrollierter Stresstests durch. Gemeinsam mit unseren Technologiepartnern simulieren wir dabei ein realistisches Botnetz und können Tests sowohl auf Netzwerkebene (Layer 3 und 4) als auch auf Anwendungsebene (Layer 7) durchführen. Die Durchführung erfolgt abgestimmt und zielgerichtet – mit klarer Mission. Ziel ist es in der Regel, bestehende DDoS-Schutzmaßnahmen zu testen oder zu optimieren. Dabei wird die Reaktion einzelner Systemkomponenten oder vorgeschalteter Schutzmechanismen (z. B. durch Provider) unter realistischen Bedingungen geprüft. Neben diesen klassischen Leistungsnachweisen kann ein solcher Test auch als Compliance-Nachweis dienen – beispielsweise im Kontext von NIS, DORA oder vergleichbaren regulatorischen Anforderungen.

In Red Team Assessments hingegen sind DDoS-Angriffe typischerweise ausgeschlossen oder stark limitiert, da ihr disruptives Potenzial schwer kalkulierbar ist und sich selten mit den Zielsetzungen eines Red Teamings deckt.

2. Red Team Assessments

Red Team Assessments sind keine klassischen Penetrationstests. Ziel ist es, ein Unternehmen so realistisch wie möglich anzugreifen – aus der Perspektive eines externen, motivierten Angreifers (Threat Actor). Dabei steht nicht die einzelne Schwachstelle im Fokus, sondern die gesamte Angriffskette: vom initialen Zugang (Initial Compromise) über die Bewegung im Netzwerk (Lateral Movement) bis hin zur Zielerreichung (Privilege Escalation). Ein typisches Ziel ist zum Beispiel der uneingeschränkte Zugriff auf kritische Daten oder Systeme.

Red Team Assessments zielen darauf ab, die Fähigkeit eines Unternehmens zur Erkennung, Reaktion und Eindämmung eines gezielten Angriffs zu überprüfen – sowohl auf technischer als auch auf organisatorischer Ebene.

Dabei gelten klare Regeln, die sogenannten Rules of Engagement. Typischerweise sind das:

  1. Kein physischer Schaden, keine Personenschäden.
  2. Keine Beeinträchtigung des Geschäftsbetriebs.
  3. Kein bewusster Eingriff in die Verfügbarkeit – insbesondere durch DoS- oder DDoS-Angriffe.

Diese Regeln sorgen dafür, dass Red Team Assessments wertvolle Erkenntnisse liefern – ohne den operativen Betrieb zu gefährden. Die Simulation soll fordern und Erkenntnisse generieren, nicht zerstören.

Im Zusammenspiel eines Red Team Assessments gibt es üblicherweise drei Rollen:

  1. Das Red Team übernimmt die Rolle des Angreifers und führt den simulierten Angriff durch.
  2. Das Blue Team ist das verteidigende Sicherheitsteam des Kunden – idealerweise ohne Vorwissen über den Test.
  3. Das White Team fungiert als überwachende Instanz, die Koordination und Sicherheit des Assessments sicherstellt und bei Bedarf eingreift.

3. DDoS im Red Teaming – ein theoretisches Gedankenspiel

Gezielte DDoS-Angriffe sind in der Realität keine Seltenheit. Zwei prominente Beispiele verdeutlichen die potenzielle Wirkung solcher Angriffe:

  1. Cloudflare (Mai 2025): Cloudflare wehrte den bislang größten bekannten DDoS-Angriff ab, bei dem innerhalb von 45 Sekunden 37,4 Terabyte Daten auf eine einzelne IP-Adresse übertragen wurden. Der Angriff erreichte eine Spitzenlast von 7,3 Terabit pro Sekunde und nutzte verschiedene Techniken wie UDP-Floods sowie Reflection- und Amplification-Ansätze.
    → Quelle: Golem.de – Cloudflare blockt Rekord-DDoS-Angriff

  2. Truth Social (Juni 2025): Nach der Ankündigung einer US-Militäraktion gegen iranische Nuklearanlagen durch Donald Trump wurde seine Social-Media-Plattform „Truth Social“ Ziel eines politisch motivierten DDoS-Angriffs. Die iranisch ausgerichtete Hackergruppe Team 313 bekannte sich zum Angriff, der zu einer temporären Nichtverfügbarkeit der Plattform führte
    → Quelle: IT-Daily .– Iranische Hacker legen Truth Social lahm

Diese Beispiele zeigen, dass DDoS-Angriffe von realen Angreifern als effektives Mittel eingesetzt werden – sei es zur Ablenkung, zur Destabilisierung, zur Erpressung oder zur gezielten Störung kritischer Dienste.

Neben dem Erpressungspotenzial kann ein DDoS-Angriff auch aus strategischer Sicht sinnvoll sein – etwa zur Ablenkung von Sicherheitsteams, zur Überlastung von Erkennungssystemen oder zur gezielten Provokation von Incident-Response-Prozessen. Die Ablenkung kann genutzt werden, um einen eigentlichen Angriff unentdeckt durchzuführen oder eine größere Datenmenge aus der Zielumgebung zu extrahieren. In manchen Fällen kann sie sogar dazu führen, dass im Rahmen von Ad-hoc-Maßnahmen Schutzmechanismen wie XDR-Systeme deaktiviert oder geschwächt werden – ein Vorteil, den ein Angreifer gezielt ausnutzen könnte.

Im Rahmen eines Red Team Assessments wäre der gezielte Einsatz eines DDoS-Angriffs zwar eine bewusste Grenzüberschreitung – aber nicht zwangsläufig ein Ausschlusskriterium. Vielmehr kommt es auf die Umstände und die Einbettung in das Gesamtszenario an. Denkbar wäre etwa ein kontrollierter DDoS-Stresstest als Teil eines Red Team Assessment, der gemeinsam mit einem Ansprechpartner innerhalb der Zielorganisation (White Team) geplant und außerhalb der regulären Geschäftszeiten durchgeführt wird – zum Beispiel nachts oder an einem traffic-armen Wochenende.

Ein solcher Test könnte zeitlich begrenzt sein, etwa auf 30 Minuten, um eine realistische, aber überschaubare Unterbrechung zu simulieren. Der damit verbundene operative Schaden wäre begrenzt, während die Erkenntnisse potenziell hochrelevant wären. Ein solcher Ansatz würde ausreichen, um die Reaktionsfähigkeit des Blue Teams der Kundenorganisation unter realitätsnahen Bedingungen zu testen: Wie schnell wird der Vorfall erkannt, wenn er nicht angekündigt stattfindet? Gibt es einen strukturierten Incident Response Prozess? Werden Gegenmaßnahmen wie Cloudflare-Regeln, Scrubbing-Services oder providerseitige DDoS-Filter rechtzeitig aktiviert? Funktionieren interne Entscheidungswege auch außerhalb der Kernzeiten?

Gerade in Fällen, in denen Anwendungen und Systeme an Dienstleister ausgelagert wurden, kann eine solche Simulation wertvolle Erkenntnisse liefern. Mit einem sauberen Testfenster, klaren Eskalationswegen und definierten technischen Grenzen ließe sich ein solcher Test verantwortungsvoll umsetzen – und gezielt in ein Red Team Assessment integrieren.

Solche Szenarien sind bislang selten – aber durchaus denkbar.

4. Argumente pro und contra

Die Integration von DDoS-Szenarien in ein Red Team Assessment ist ein kontroverses Thema. Es gibt sowohl valide Argumente dafür als auch klare Risiken und Bedenken.

Argumente für den gezielten Einsatz eines DDoS-Angriffs im Red Teaming:

  1. Realismus: Ein vollständiges Angriffsszenario ohne Verfügbarkeitsangriffe bildet nicht das gesamte Spektrum realer Bedrohungen ab.
  2. Reaktionsfähigkeit testen: Es lässt sich beobachten, wie schnell und strukturiert ein Unternehmen auf einen Vorfall reagiert – besonders, wenn dieser überraschend eintritt.
  3. Prozesse in der Tiefe prüfen: Incident Response, Notfallkommunikation, Dienstleister-Abstimmung – all das wird unter Last sichtbar.
  4. Kompetenznachweis: Unternehmen, die solche Szenarien durchlaufen, haben im Ernstfall ein erprobtes Reaktionsmuster – auch gegenüber Prüfern oder Aufsichtsbehörden.

Argumente gegen den Einsatz von DDoS im Red Teaming:

  1. Eingeschränkte Anwendbarkeit: In vielen Fällen ist ein DDoS-Angriff aus Sicht eines realen Angreifers schlicht nicht sinnvoll. Das Szenario muss passen – das ist nicht bei jedem Unternehmen gegeben.
  2. Geschäftsrisiko: Ein nicht exakt kontrollierbarer Ausfall kann zu Umsatzverlusten, Reputationsschäden oder anderen unvorhersehbaren Folgen führen.
  3. Rechtliche Unsicherheit: Ein solcher Test kann problematisch sein – insbesondere ohne explizite Zustimmung der verantwortlichen Dienstleister oder des Telekommunikationsanbieters.
  4. Technische Kollateralschäden: Shared Services, externe APIs oder Multi-Tenant-Systeme könnten unbeabsichtigt andere Organisationen mitbeeinträchtigen oder schädigen.
  5. Ethik und Vertrauen: Red Teams arbeiten auf Basis von Vertrauen. Ein nicht ausreichend abgestimmter Eingriff in die Verfügbarkeit kann dieses Vertrauen beschädigen. Gut definierte Rules of Engagement und enge Abstimmung mit dem White Team sind hier essenziell.

Die Entscheidung für oder gegen ein DDoS-Szenario im Red Teaming sollte daher nicht pauschal getroffen werden, sondern immer risikobasiert, abgestimmt und bewusst dokumentiert erfolgen.

5.Fazit

Die Idee, DDoS-Angriffe als Bestandteil eines Red Team Assessments zu integrieren, ist reizvoll – und aus Sicht realistischer Bedrohungsszenarien durchaus nachvollziehbar. In der Praxis ist sie jedoch komplex, risikobehaftet und nicht für jedes Unternehmen geeignet.

Mit einer sauberen Planung, enger White-Team-Begleitung, einem passenden Testzeitpunkt und klar definierten Zielen kann ein solches Szenario einen echten Mehrwert bieten. Gleichzeitig darf der Wunsch nach Realismus nicht zur Gefährdung des operativen Geschäfts führen. Wer DDoS in ein Red Team Assessment integrieren will, muss sich der Risiken bewusst sein – technisch, rechtlich und kommunikativ.

Kurz gesagt: Wenn alles stimmt – Kontext, Timing, Risikobewertung und Zielsetzung – kann DDoS im Red Teaming nicht nur erlaubt, sondern sogar sinnvoll sein.

Sie haben bis hierher gelesen und überlegen gerade, ob das auch für Ihr Unternehmen spannend wäre? Dann melden Sie sich gern – am besten heute noch. Wir beraten Sie gerne und finden gemeinsam heraus, welches Szenario am besten zu Ihrer Zielsetzung passt. Und wenn ein DDoS-Test für Sie keinen Sinn macht, sagen wir das auch.

Auch wenn unser Team das gern mal durchziehen würde. 😉